APT28
Ο κόσμος του εγκλήματος στον κυβερνοχώρο δεν αφορά μόνο τους χάκερ και τους κακούς ηθοποιούς που αναζητούν γρήγορα χρήματα, διαδίδοντας ανεπιθύμητα μηνύματα ηλεκτρονικού ψαρέματος. Υπάρχει ένα διαφορετικό είδος παραγόντων απειλής που υπερβαίνουν τα κερδοσκοπικά ransomware ή τους ενοχλητικούς ιούς. Αυτές οι ομάδες συνήθως ονομάζονται Advanced Persistent Threat Actors ή APT.
Η μεγαλύτερη διαφορά μεταξύ ενός APT και μιας ομάδας χάκερ που διαδίδουν κακόβουλο λογισμικό είναι ότι ένα APT είναι συνήθως ένας οργανισμός που χρηματοδοτείται από το κράτος, οι ενέργειες του οποίου χρησιμοποιούνται συνήθως για διείσδυση σε υψηλού προφίλ, συχνά κυβερνητικά δίκτυα, και εξαγωγή ευαίσθητων ή εμπιστευτικών πληροφοριών. Το "επίμονο" μέρος του ορισμού υποδηλώνει ότι οι παράγοντες της ομάδας έχουν καθορισμένους, μακροπρόθεσμους στόχους και δεν αναζητούν απλώς νομισματικά κέρδη, διατηρώντας ένα χαμηλό προφίλ για όσο το δυνατόν περισσότερο, ώστε να αποφευχθεί ο εντοπισμός.
Υποθέτοντας ότι ένα APT υποστηρίζεται από επίσημη κρατική αρχή, οι διαθέσιμοι πόροι της ομάδας θα είναι επίσης πολύ μεγαλύτεροι από ό,τι μπορούν να συγκεντρώσουν οι περισσότερες οργανώσεις εγκληματιών στον κυβερνοχώρο.
Αυτή την εβδομάδα σε κακόβουλο λογισμικό, επεισόδιο 37, Μέρος 2: Χάκερ που χορηγούνται από το κράτος (APT28 Fancy Bear) Στοχεύουν σε κατασκευαστές εμβολίων για τον COVID-19
Το αριθμητικό αναγνωριστικό που δίνεται σε διαφορετικά APT είναι απλώς βολική συντομογραφία για τους ερευνητές ασφαλείας να μιλήσουν για αυτά χωρίς να αναφέρουν ολόκληρα τα ψευδώνυμά τους, από τα οποία συχνά υπάρχουν πολλά.
Το APT28 (Advanced Persistent Threat) είναι μια ομάδα hacking που προέρχεται από τη Ρωσία. Η δραστηριότητά τους χρονολογείται από τα μέσα της δεκαετίας του 2000. Οι ερευνητές κακόβουλου λογισμικού πιστεύουν ότι οι καμπάνιες της ομάδας APT28 χρηματοδοτούνται από το Κρεμλίνο, καθώς συνήθως στοχεύουν ξένους πολιτικούς παράγοντες. Η ομάδα hacking APT28 είναι περισσότερο γνωστή ως Fancy Bear, αλλά αναγνωρίζεται επίσης με διάφορα άλλα ψευδώνυμα - Sofacy Group, STRONTIUM, Sednit, Pawn Storm και Tsar Team.
Πίνακας περιεχομένων
Οι διαβόητες εκστρατείες hacking που πραγματοποιήθηκαν από τη Fancy Bear
Οι ειδικοί πιστεύουν ότι το Fancy Bear είχε ρόλο στην εισβολή της Δημοκρατικής Εθνικής Επιτροπής του 2016, η οποία ορισμένοι πιστεύουν ότι είχε κάποια επιρροή στο αποτέλεσμα των προεδρικών εκλογών που πραγματοποιήθηκαν την ίδια χρονιά. Την ίδια χρονιά, η ομάδα Fancy Bear στόχευσε επίσης τον Παγκόσμιο Οργανισμό Αντιντόπινγκ λόγω του σκανδάλου που αφορούσε Ρώσους αθλητές. Τα δεδομένα που συγκέντρωσε η Fancy Bear δημοσιεύθηκαν στη συνέχεια και ήταν διαθέσιμα δημόσια. Τα στοιχεία αποκάλυψαν ότι ορισμένοι από τους αθλητές που βρέθηκαν θετικοί στο ντόπινγκ εξαιρέθηκαν αργότερα. Η έκθεση του Παγκόσμιου Οργανισμού κατά του Ντόπινγκ ανέφερε ότι οι παράνομες ουσίες προορίζονταν για «θεραπευτική χρήση». Την περίοδο 2014 έως 2017, η ομάδα Fancy Bear συμμετείχε σε διάφορες εκστρατείες που στόχευαν προσωπικότητες των μέσων ενημέρωσης στις Ηνωμένες Πολιτείες, τη Ρωσία, την Ουκρανία, τις χώρες της Βαλτικής και τη Μολδαβία. Η Fancy Bear καταδίωξε άτομα που εργάζονται σε εταιρείες μέσων ενημέρωσης, καθώς και ανεξάρτητους δημοσιογράφους. Όλοι οι στόχοι συμμετείχαν στην αναφορά της σύγκρουσης Ρωσίας-Ουκρανίας που έλαβε χώρα στην Ανατολική Ουκρανία. Το 2016 και το 2017, η Γερμανία και η Γαλλία είχαν μεγάλες εκλογές και είναι πιθανό η ομάδα Fancy Bear να βούτηξε και τα δάχτυλά της σε αυτές τις πίτες. Αξιωματούχοι και από τις δύο χώρες ανέφεραν ότι έλαβε χώρα μια εκστρατεία που χρησιμοποιεί ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) ως φορείς μόλυνσης, αλλά δήλωσαν ότι δεν υπήρχαν συνέπειες από την επίθεση χάκερ.
Η παρακάτω εικόνα είναι μια διαδρομή επίδειξης που χρησιμοποιεί το APT28/Fancy Bear για να πραγματοποιήσει τις εισβολές του στον κυβερνοχώρο σε συγκεκριμένα στοχευμένα συστήματα. Η κυβέρνηση των ΗΠΑ έχει επιβεβαιώσει τέτοιες ενέργειες εισβολής στο πολιτικό κόμμα από την πρώτη ομάδα ηθοποιών, την APT29 το 2015, και στη συνέχεια τη δεύτερη, την APT28, το 2016.
Διάγραμμα που δείχνει τις ενέργειες και τις διεργασίες των τεχνικών ψαρέματος με δόρυ και τις εισβολές του APT28/Fancy Bear σε στοχευμένα συστήματα - Πηγή: US-Cert.gov
Fancy Bear's Tools
Για να αποφύγει τα αδιάκριτα βλέμματα των ερευνητών στον κυβερνοχώρο, η ομάδα hacking Fancy Bear φροντίζει να αλλάζει τακτικά την υποδομή C&C (Command and Control). Η ομάδα διαθέτει ένα εντυπωσιακό οπλοστάσιο εργαλείων hacking , τα οποία έχει κατασκευάσει ιδιωτικά – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange και CHOPSTICK. Συχνά, αντί για άμεση διάδοση, το Fancy Bear προτιμά να φιλοξενεί το κακόβουλο λογισμικό του σε ιστότοπους τρίτων, τους οποίους κατασκευάζουν για να μιμηθούν νόμιμες σελίδες για να ξεγελάσουν τα θύματά τους.
Το Fancy Bear χρησιμοποιεί επίσης προηγμένες τεχνικές συσκότισης που τους βοηθούν να αποφύγουν τον εντοπισμό για όσο το δυνατόν περισσότερο. Η ομάδα άρχισε να προσθέτει ανεπιθύμητα δεδομένα στις κωδικοποιημένες συμβολοσειρές της, καθιστώντας πολύ δύσκολη την αποκωδικοποίηση των πληροφοριών χωρίς τον συγκεκριμένο αλγόριθμο για την αφαίρεση των ανεπιθύμητων κομματιών. Για να εμποδίσει περαιτέρω τους ερευνητές ασφάλειας, το APT28 επαναφέρει επίσης τις χρονικές σημάνσεις των αρχείων και καθαρίζει τακτικά τα αρχεία καταγραφής συμβάντων για να κάνει πιο δύσκολη την ανίχνευση κακόβουλης δραστηριότητας.
Το Fancy Bear είναι μια από τις πιο φημισμένες ομάδες hacking και δεν υπάρχουν ενδείξεις ότι θα σταματήσουν τις καμπάνιες τους σύντομα. Η ρωσική κυβέρνηση είναι γνωστό ότι χρησιμοποιεί τις υπηρεσίες ομάδων hacking και η Fancy Bear είναι μια από τις υψηλότερες ομάδες hacking εκεί έξω.
Γερμανικές Κατηγορίες Εναντίον Υποτιθέμενων Μελών της APT28
Τον Ιούνιο του 2020, το γερμανικό υπουργείο Εξωτερικών ενημέρωσε τον Ρώσο πρεσβευτή στη χώρα ότι θα επιδιώξει «κυρώσεις της ΕΕ» κατά του Ρώσου πολίτη Ντμίτρι Μπαντίν. Οι γερμανικές αρχές πιστεύουν ότι συνδέεται με το Fancy Bear / APT28 και ισχυρίζονται ότι έχουν αποδείξεις ότι συμμετείχε σε κυβερνοεπίθεση το 2015 στο γερμανικό κοινοβούλιο.
Η εκπρόσωπος του ρωσικού υπουργείου Εξωτερικών κα Ζαχάροβα χαρακτήρισε τους ισχυρισμούς "παράλογους" και τους απέρριψε κατηγορηματικά, υπογραμμίζοντας την πεποίθησή της ότι οι πληροφορίες που χρησιμοποίησαν οι γερμανικές αρχές προέρχονταν από αμερικανικές πηγές. Προέτρεψε επίσης τις γερμανικές αρχές να παράσχουν οποιαδήποτε απόδειξη για τη ρωσική συμμετοχή στην επίθεση.
