APT28

apt28 hieno karhu Tietoverkkorikollisuuden maailma ei ole vain hakkereista ja huonoista toimijoista, jotka kaipaavat nopeaa rahaa ja leviävät tietojenkalasteluroskapostisähköpostien ympärille. On olemassa erilaisia uhkatekijöitä, jotka menevät voittoa tavoittelevien kiristysohjelmien tai ärsyttävien virusten lisäksi. Näitä ryhmiä kutsutaan yleensä Advanced Persistent Threat -toimijoiksi tai APT:iksi.

Suurin ero APT:n ja haittaohjelmia levittävän hakkeriryhmän välillä on se, että APT on useimmiten valtion tukema organisaatio, jonka toimintaa käytetään yleensä tunkeutumaan korkean profiilin, usein valtionhallinnon verkkoihin, ja poimimaan arkaluontoisia tai luottamuksellisia tietoja. Määritelmän "pysyvä" osa tarkoittaa, että ryhmän toimijoilla on määritellyt pitkän aikavälin tavoitteet, eivätkä he etsi vain rahallisia voittoja, vaan pitävät matalaa profiilia mahdollisimman pitkään havaitsemisen välttämiseksi.

Olettaen, että APT:tä tukee virallinen valtion viranomainen, ryhmän käytettävissä olevat resurssit ovat myös paljon suuremmat kuin mitä useimmat kyberrikollisjärjestöt pystyvät keräämään.


Tämä viikko haittaohjelmien jaksossa 37, osa 2: valtion tukemat hakkerit (APT28 Fancy Bear) COVID-19-rokotteen valmistajat

Eri APT:ille annettu numeerinen tunniste on vain kätevä lyhenne, jotta tietoturvatutkijat voivat puhua niistä mainitsematta heidän koko aliaksiaan, joita on usein monia.

APT28 (Advanced Persistent Threat) on Venäjältä kotoisin oleva hakkerointiryhmä. Heidän toimintansa ulottuu jo 2000-luvun puoliväliin. Haittaohjelmatutkijat uskovat, että APT28-ryhmän kampanjat ovat Kremlin rahoittamia, koska ne kohdistuvat yleensä ulkomaisiin poliittisiin toimijoihin. APT28-hakkerointiryhmä tunnetaan parhaiten nimellä Fancy Bear, mutta se tunnetaan myös useilla muilla aliaksilla – Sofacy Group, STRONTIUM, Sednit, Pawn Storm ja Tsar Team.

Fancy Bearin toteuttamat surullisen hakkerointikampanjat

Asiantuntijat uskovat, että Fancy Bear osallistui vuoden 2016 demokraattisen kansallisen komitean hakkerointiin, jonka jotkut uskovat olleen jonkin verran vaikutusta samana vuonna pidettävien presidentinvaalien lopputulokseen. Samana vuonna Fancy Bear -ryhmä joutui myös Maailman antidopingtoimiston kohteeksi venäläisten urheilijoiden skandaalin vuoksi. Fancy Bearin hankkimat tiedot julkaistiin ja olivat julkisesti saatavilla. Tiedot paljastivat, että osa urheilijoista, jotka saivat positiivisen dopingtestin, vapautettiin myöhemmin. Maailman antidopingtoimiston raportissa todettiin, että laittomat aineet oli tarkoitettu "terapeuttiseen käyttöön". Vuosina 2014–2017 Fancy Bear -ryhmä oli mukana erilaisissa mediapersoonallisuuksiin kohdistetuissa kampanjoissa Yhdysvalloissa, Venäjällä, Ukrainassa, Baltian maissa ja Moldovassa. Fancy Bear seurasi mediayhtiöissä työskenteleviä henkilöitä sekä riippumattomia toimittajia. Kaikki kohteet olivat mukana Itä-Ukrainassa tapahtuneen Venäjän ja Ukrainan välisen konfliktin raportoinnissa. Vuosina 2016 ja 2017 Saksassa ja Ranskassa oli suuret vaalit, ja on todennäköistä, että myös Fancy Bear -ryhmä kastoi sormensa näihin piirakoihin. Molempien maiden viranomaiset ilmoittivat kampanjan, jossa käytettiin keihäshuijaussähköposteja tartunnan levittäjinä, mutta he totesivat, ettei hakkerointihyökkäyksellä ollut seurauksia.

Alla oleva kuva on esittelypolku, jota APT28/Fancy Bear käyttää kybertunkeutumisensa suorittamiseen tiettyjä kohdistettuja järjestelmiä vastaan. Yhdysvaltain hallitus on vahvistanut tällaisen tunkeutumisen puolueeseen ensimmäisestä toimijaryhmästä, APT29:stä vuonna 2015 ja sitten toisesta, APT28:sta, vuoteen 2016 asti.

apt28 hyökkäys menetelmiä
Kaavio, joka havainnollistaa APT28/Fancy Bearin keihäs-phishing-tekniikoiden toimia ja prosesseja sekä tunkeutumista kohdennettuihin järjestelmiin - Lähde: US-Cert.gov

Hienot karhun työkalut

Välttääkseen kyberturvallisuuden tutkijoiden uteliailta katseilta Fancy Bear -hakkerointiryhmä muuttaa säännöllisesti C&C (Command and Control) -infrastruktuuriaan. Ryhmällä on vaikuttava arsenaali hakkerointityökaluja , jotka he ovat rakentaneet yksityisesti – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange ja CHOPSTICK. Usein suoran levityksen sijaan Fancy Bear mieluummin isännöi haittaohjelmiaan kolmansien osapuolien verkkosivustoilla, jotka ne rakentavat jäljittelemään laillisia sivuja huijatakseen uhrejaan.

Fancy Bear käyttää myös kehittyneitä hämärätekniikoita, jotka auttavat heitä välttämään havaitsemisen mahdollisimman pitkään. Ryhmä alkoi lisätä roskatietoa koodattuihin merkkijonoihinsa, mikä teki tiedon purkamisesta erittäin vaikeaa ilman erityistä algoritmia roskabittien poistamiseksi. Turvallisuuden tutkijoiden estämiseksi APT28 myös nollaa tiedostojen aikaleimat ja puhdistaa säännöllisesti tapahtumalokit, mikä vaikeuttaa haitallisen toiminnan jäljittämistä.

Fancy Bear on yksi huonomaineimmista hakkerointiryhmistä, eikä ole merkkejä siitä, että ne lopettaisivat kampanjansa lähiaikoina. Venäjän hallituksen tiedetään käyttävän hakkerointiryhmien palveluita, ja Fancy Bear on yksi korkeimman tason hakkerointiryhmistä.

Saksan syytökset APT28:n väitettyjä jäseniä vastaan

Saksan ulkoministeriö ilmoitti kesäkuussa 2020 Venäjän suurlähettiläälle maassa, että se aikoo hakea "EU-pakotteita" Venäjän kansalaista Dmitri Badinia vastaan. Saksan viranomaiset uskovat hänen olevan yhteydessä Fancy Beariin / APT28:aan ja väittävät, että heillä on todisteita siitä, että hän oli osallisena vuonna 2015 tehtyyn kyberhyökkäykseen Saksan parlamenttiin.
Venäjän ulkoministeriön tiedottaja Zakharova kutsui syytöksiä "absurteiksi" ja hylkäsi ne tiukasti korostaen uskovansa, että Saksan viranomaisten käyttämät tiedot olivat peräisin yhdysvaltalaisista lähteistä. Hän kehotti myös Saksan viranomaisia toimittamaan todisteet Venäjän osallisuudesta hyökkäykseen.

Trendaavat

Eniten katsottu

Ladataan...