APT28

apt28 خرس فانتزی دنیای جرایم سایبری فقط مربوط به هکرها و بازیگران بدی نیست که به دنبال پول سریع هستند و در اطراف ایمیل های هرزنامه فیشینگ پخش می شوند. نوع متفاوتی از عوامل تهدید وجود دارد که فراتر از باج افزارهای انتفاعی یا ویروس های مزاحم هستند. این گروه ها معمولاً بازیگران تهدید مداوم پیشرفته یا APT نامیده می شوند.

بزرگترین تفاوت بین یک APT و گروهی از هکرها که بدافزار را منتشر می کنند این است که یک APT معمولاً یک سازمان تحت حمایت دولتی است که اقدامات آن معمولاً برای نفوذ به شبکه های با مشخصات بالا و اغلب دولتی و استخراج اطلاعات حساس یا محرمانه استفاده می شود. بخش "مداوم" این تعریف به این معناست که بازیگران گروه اهداف بلندمدت و تعریف شده ای دارند و فقط به دنبال سودهای پولی یکسان نیستند، بلکه برای جلوگیری از شناسایی تا زمانی که ممکن است مشخصات پایینی را حفظ می کنند.

با فرض اینکه یک APT توسط یک مقام رسمی دولتی پشتیبانی می شود، منابع در دسترس این گروه نیز بسیار بیشتر از آن چیزی است که اکثر سازمان های مجرم سایبری می توانند جمع آوری کنند.


این هفته در بدافزار قسمت 37 قسمت 2: هکرهای تحت حمایت دولت (APT28 Fancy Bear) سازندگان واکسن COVID-19 را هدف قرار می دهند

شناسه عددی داده‌شده به APT‌های مختلف صرفاً کوتاه‌نویسی مناسبی برای محققان امنیتی است که بدون ذکر نام مستعار کل آنها، که اغلب تعداد زیادی از آنها وجود دارد، در مورد آنها صحبت کنند.

APT28 (Advanced Persistent Threat) یک گروه هکری است که منشا آن روسیه است. فعالیت آنها به اواسط دهه 2000 باز می گردد. محققان بدافزار معتقدند که کمپین های گروه APT28 توسط کرملین تامین مالی می شود، زیرا آنها معمولاً بازیگران سیاسی خارجی را هدف قرار می دهند. گروه هک APT28 بیشتر با نام Fancy Bear شناخته می‌شود، اما با نام‌های مستعار مختلف دیگری نیز شناخته می‌شود - Sofacy Group، STRONTIUM، Sednit، Pawn Storm و Tsar Team.

کمپین های هک بدنام که توسط Fancy Bear انجام شد

کارشناسان بر این باورند که خرس فانتزی در هک کمیته ملی دموکرات در سال 2016 نقش داشته است، که برخی معتقدند تأثیری بر نتیجه انتخابات ریاست جمهوری در همان سال داشته است. در همان سال، گروه Fancy Bear آژانس جهانی ضد دوپینگ را نیز به دلیل رسوایی ورزشکاران روسی هدف قرار داد. سپس داده هایی که Fancy Bear به دست آورد منتشر شد و در دسترس عموم قرار گرفت. داده ها نشان داد که برخی از ورزشکارانی که تست دوپینگ آنها مثبت بود، بعداً معاف شدند. در گزارش آژانس جهانی مبارزه با دوپینگ آمده است که این مواد غیرقانونی برای «استفاده درمانی» بوده است. در بازه زمانی 2014 تا 2017، گروه خرس فانتزی در کمپین های مختلفی با هدف قرار دادن شخصیت های رسانه ای در ایالات متحده، روسیه، اوکراین، کشورهای بالتیک و مولداوی شرکت داشت. Fancy Bear افراد شاغل در شرکت های رسانه ای و همچنین روزنامه نگاران مستقل را دنبال کرد. همه اهداف در گزارش درگیری روسیه و اوکراین که در شرق اوکراین رخ داد، دخیل بودند. در سال‌های 2016 و 2017، آلمان و فرانسه انتخابات مهمی داشتند و احتمالاً گروه خرس فانتزی نیز انگشتان خود را در این کیک‌ها فرو کرده بودند. مقامات هر دو کشور گزارش دادند که کمپینی با استفاده از ایمیل‌های فیشینگ نیزه‌ای به‌عنوان ناقل عفونت صورت گرفت، اما آنها اظهار داشتند که هیچ عواقبی از حمله هکری وجود ندارد.

تصویر زیر یک مسیر نمایشی است که APT28/Fancy Bear از آن برای انجام نفوذهای سایبری خود علیه سیستم های هدفمند خاص استفاده می کند. دولت ایالات متحده چنین اقدامات نفوذ به حزب سیاسی را از اولین گروه بازیگر، APT29 در سال 2015، و سپس گروه دوم، APT28، در سال 2016 تأیید کرده است.

روش های حمله apt28
نمودار نشان‌دهنده اقدامات و فرآیندهای تکنیک‌های فیشینگ و نفوذ نیزه‌ای APT28/Fancy Bear علیه سیستم‌های هدف - منبع: US-Cert.gov

ابزار خرس فانتزی

برای فرار از چشم کنجکاو محققان امنیت سایبری، گروه هک Fancy Bear اطمینان حاصل می کند که زیرساخت C&C (فرماندهی و کنترل) خود را به طور منظم تغییر می دهد. این گروه دارای زرادخانه قابل توجهی از ابزارهای هک است که آنها را به صورت خصوصی ساخته اند - X-Agent، Xtunnel، Sofacy، JHUHUGIT، DownRange و CHOPSTICK. اغلب، به جای انتشار مستقیم، Fancy Bear ترجیح می‌دهد بدافزار خود را روی وب‌سایت‌های شخص ثالث میزبانی کند، وب‌سایت‌هایی که آنها برای تقلید از صفحات قانونی برای فریب قربانیان خود می‌سازند.

Fancy Bear همچنین از تکنیک‌های مبهم‌سازی پیشرفته استفاده می‌کند که به آنها کمک می‌کند تا زمانی که ممکن است از شناسایی جلوگیری کنند. این گروه شروع به اضافه کردن داده های ناخواسته در رشته های رمزگذاری شده خود کردند، که رمزگشایی اطلاعات را بدون الگوریتم خاصی برای حذف بیت های ناخواسته بسیار دشوار می کرد. برای ممانعت بیشتر از محققان امنیتی، APT28 همچنین مُهرهای زمانی فایل‌ها را بازنشانی می‌کند و به طور منظم گزارش‌های رویداد را پاک می‌کند تا ردیابی فعالیت‌های مخرب را دشوارتر کند.

Fancy Bear یکی از معروف‌ترین گروه‌های هک است و هیچ نشانه‌ای مبنی بر توقف کمپین‌های خود به این زودی وجود ندارد. دولت روسیه به استفاده از خدمات گروه‌های هک معروف است و Fancy Bear یکی از بالاترین گروه‌های هک موجود است.

اتهامات آلمانی علیه اعضای ادعایی APT28

در ژوئن 2020، وزارت خارجه آلمان به سفیر روسیه در این کشور اطلاع داد که به دنبال "تحریم های اتحادیه اروپا" علیه دیمیتری بادین، شهروند روس است. مقامات آلمانی معتقدند که او با Fancy Bear / APT28 مرتبط است و مدعی هستند که شواهدی دال بر دست داشتن او در یک حمله سایبری در سال 2015 به پارلمان آلمان دارد.
خانم زاخارووا، سخنگوی وزارت خارجه روسیه، این اتهامات را "پوچ" خواند و قاطعانه آنها را رد کرد و تاکید کرد که بر این باور است که اطلاعاتی که مقامات آلمانی استفاده کرده اند از منابع آمریکایی است. او همچنین از مقامات آلمانی خواست تا هرگونه مدرکی دال بر دخالت روسیه در این حمله ارائه دهند.

پرطرفدار

پربیننده ترین

بارگذاری...