APT28
دنیای جرایم سایبری فقط مربوط به هکرها و بازیگران بدی نیست که به دنبال پول سریع هستند و در اطراف ایمیل های هرزنامه فیشینگ پخش می شوند. نوع متفاوتی از عوامل تهدید وجود دارد که فراتر از باج افزارهای انتفاعی یا ویروس های مزاحم هستند. این گروه ها معمولاً بازیگران تهدید مداوم پیشرفته یا APT نامیده می شوند.
بزرگترین تفاوت بین یک APT و گروهی از هکرها که بدافزار را منتشر می کنند این است که یک APT معمولاً یک سازمان تحت حمایت دولتی است که اقدامات آن معمولاً برای نفوذ به شبکه های با مشخصات بالا و اغلب دولتی و استخراج اطلاعات حساس یا محرمانه استفاده می شود. بخش "مداوم" این تعریف به این معناست که بازیگران گروه اهداف بلندمدت و تعریف شده ای دارند و فقط به دنبال سودهای پولی یکسان نیستند، بلکه برای جلوگیری از شناسایی تا زمانی که ممکن است مشخصات پایینی را حفظ می کنند.
با فرض اینکه یک APT توسط یک مقام رسمی دولتی پشتیبانی می شود، منابع در دسترس این گروه نیز بسیار بیشتر از آن چیزی است که اکثر سازمان های مجرم سایبری می توانند جمع آوری کنند.
این هفته در بدافزار قسمت 37 قسمت 2: هکرهای تحت حمایت دولت (APT28 Fancy Bear) سازندگان واکسن COVID-19 را هدف قرار می دهند
شناسه عددی دادهشده به APTهای مختلف صرفاً کوتاهنویسی مناسبی برای محققان امنیتی است که بدون ذکر نام مستعار کل آنها، که اغلب تعداد زیادی از آنها وجود دارد، در مورد آنها صحبت کنند.
APT28 (Advanced Persistent Threat) یک گروه هکری است که منشا آن روسیه است. فعالیت آنها به اواسط دهه 2000 باز می گردد. محققان بدافزار معتقدند که کمپین های گروه APT28 توسط کرملین تامین مالی می شود، زیرا آنها معمولاً بازیگران سیاسی خارجی را هدف قرار می دهند. گروه هک APT28 بیشتر با نام Fancy Bear شناخته میشود، اما با نامهای مستعار مختلف دیگری نیز شناخته میشود - Sofacy Group، STRONTIUM، Sednit، Pawn Storm و Tsar Team.
فهرست مطالب
کمپین های هک بدنام که توسط Fancy Bear انجام شد
کارشناسان بر این باورند که خرس فانتزی در هک کمیته ملی دموکرات در سال 2016 نقش داشته است، که برخی معتقدند تأثیری بر نتیجه انتخابات ریاست جمهوری در همان سال داشته است. در همان سال، گروه Fancy Bear آژانس جهانی ضد دوپینگ را نیز به دلیل رسوایی ورزشکاران روسی هدف قرار داد. سپس داده هایی که Fancy Bear به دست آورد منتشر شد و در دسترس عموم قرار گرفت. داده ها نشان داد که برخی از ورزشکارانی که تست دوپینگ آنها مثبت بود، بعداً معاف شدند. در گزارش آژانس جهانی مبارزه با دوپینگ آمده است که این مواد غیرقانونی برای «استفاده درمانی» بوده است. در بازه زمانی 2014 تا 2017، گروه خرس فانتزی در کمپین های مختلفی با هدف قرار دادن شخصیت های رسانه ای در ایالات متحده، روسیه، اوکراین، کشورهای بالتیک و مولداوی شرکت داشت. Fancy Bear افراد شاغل در شرکت های رسانه ای و همچنین روزنامه نگاران مستقل را دنبال کرد. همه اهداف در گزارش درگیری روسیه و اوکراین که در شرق اوکراین رخ داد، دخیل بودند. در سالهای 2016 و 2017، آلمان و فرانسه انتخابات مهمی داشتند و احتمالاً گروه خرس فانتزی نیز انگشتان خود را در این کیکها فرو کرده بودند. مقامات هر دو کشور گزارش دادند که کمپینی با استفاده از ایمیلهای فیشینگ نیزهای بهعنوان ناقل عفونت صورت گرفت، اما آنها اظهار داشتند که هیچ عواقبی از حمله هکری وجود ندارد.
تصویر زیر یک مسیر نمایشی است که APT28/Fancy Bear از آن برای انجام نفوذهای سایبری خود علیه سیستم های هدفمند خاص استفاده می کند. دولت ایالات متحده چنین اقدامات نفوذ به حزب سیاسی را از اولین گروه بازیگر، APT29 در سال 2015، و سپس گروه دوم، APT28، در سال 2016 تأیید کرده است.
نمودار نشاندهنده اقدامات و فرآیندهای تکنیکهای فیشینگ و نفوذ نیزهای APT28/Fancy Bear علیه سیستمهای هدف - منبع: US-Cert.gov
ابزار خرس فانتزی
برای فرار از چشم کنجکاو محققان امنیت سایبری، گروه هک Fancy Bear اطمینان حاصل می کند که زیرساخت C&C (فرماندهی و کنترل) خود را به طور منظم تغییر می دهد. این گروه دارای زرادخانه قابل توجهی از ابزارهای هک است که آنها را به صورت خصوصی ساخته اند - X-Agent، Xtunnel، Sofacy، JHUHUGIT، DownRange و CHOPSTICK. اغلب، به جای انتشار مستقیم، Fancy Bear ترجیح میدهد بدافزار خود را روی وبسایتهای شخص ثالث میزبانی کند، وبسایتهایی که آنها برای تقلید از صفحات قانونی برای فریب قربانیان خود میسازند.
Fancy Bear همچنین از تکنیکهای مبهمسازی پیشرفته استفاده میکند که به آنها کمک میکند تا زمانی که ممکن است از شناسایی جلوگیری کنند. این گروه شروع به اضافه کردن داده های ناخواسته در رشته های رمزگذاری شده خود کردند، که رمزگشایی اطلاعات را بدون الگوریتم خاصی برای حذف بیت های ناخواسته بسیار دشوار می کرد. برای ممانعت بیشتر از محققان امنیتی، APT28 همچنین مُهرهای زمانی فایلها را بازنشانی میکند و به طور منظم گزارشهای رویداد را پاک میکند تا ردیابی فعالیتهای مخرب را دشوارتر کند.
Fancy Bear یکی از معروفترین گروههای هک است و هیچ نشانهای مبنی بر توقف کمپینهای خود به این زودی وجود ندارد. دولت روسیه به استفاده از خدمات گروههای هک معروف است و Fancy Bear یکی از بالاترین گروههای هک موجود است.
اتهامات آلمانی علیه اعضای ادعایی APT28
در ژوئن 2020، وزارت خارجه آلمان به سفیر روسیه در این کشور اطلاع داد که به دنبال "تحریم های اتحادیه اروپا" علیه دیمیتری بادین، شهروند روس است. مقامات آلمانی معتقدند که او با Fancy Bear / APT28 مرتبط است و مدعی هستند که شواهدی دال بر دست داشتن او در یک حمله سایبری در سال 2015 به پارلمان آلمان دارد.
خانم زاخارووا، سخنگوی وزارت خارجه روسیه، این اتهامات را "پوچ" خواند و قاطعانه آنها را رد کرد و تاکید کرد که بر این باور است که اطلاعاتی که مقامات آلمانی استفاده کرده اند از منابع آمریکایی است. او همچنین از مقامات آلمانی خواست تا هرگونه مدرکی دال بر دخالت روسیه در این حمله ارائه دهند.