APT28

apt28 iedomātais lācis Kibernoziedzības pasaule nav saistīta tikai ar hakeriem un sliktiem aktieriem, kuri meklē ātru naudu un izplatās ap pikšķerēšanas surogātpasta e-pastiem. Ir dažāda veida draudu dalībnieki, kas pārsniedz peļņas gūšanas izpirkuma programmatūru vai kaitinošus vīrusus. Šīs grupas parasti sauc par Advanced Persistent Threat aktieriem jeb APT.

Lielākā atšķirība starp APT un hakeru grupu, kas izplata ļaunprātīgu programmatūru, ir tā, ka APT visbiežāk ir valsts sponsorēta organizācija, kuras darbības parasti tiek izmantotas, lai iefiltrētos augsta profila, bieži vien valdības tīklos, un iegūtu sensitīvu vai konfidenciālu informāciju. Definīcijas "pastāvīgā" daļa nozīmē, ka grupas dalībniekiem ir definēti ilgtermiņa mērķi un tie nemeklē tikai tūlītējus monetāros ieguvumus, saglabājot zemu profilu pēc iespējas ilgāk, lai izvairītos no atklāšanas.

Pieņemot, ka APT atbalsta oficiāla valsts iestāde, grupai pieejamie resursi arī būs daudz lielāki nekā lielākā daļa kibernoziedznieku organizāciju.


Šonedēļ ļaunprātīgas programmatūras 37. sērija 2. daļa: valsts sponsorēti hakeri (APT28 Fancy Bear), kuru mērķis ir Covid-19 vakcīnu ražotāji

Ciparu identifikators, kas tiek piešķirts dažādiem APT, ir tikai ērts saīsinājums, lai drošības pētnieki varētu par tiem runāt, neminot visus viņu aizstājvārdus, kuru bieži vien ir daudz.

APT28 (Advanced Persistent Threat) ir hakeru grupa, kuras izcelsme ir Krievija. Viņu darbība aizsākās 2000. gadu vidū. Ļaunprātīgo programmu pētnieki uzskata, ka APT28 grupas kampaņas finansē Kremlis, jo parasti tās ir vērstas pret ārvalstu politiskajiem dalībniekiem. APT28 hakeru grupa ir vislabāk pazīstama kā Fancy Bear, taču tā tiek atpazīta arī ar dažādiem citiem pseidonīmiem – Sofacy Group, STRONTIUM, Sednit, Pawn Storm un Tsar Team.

Bēdīgi slavenās hakeru kampaņas, ko īstenoja Fancy Bear

Eksperti uzskata, ka Fancy Bear bija iesaistīts 2016. gada Demokrātu nacionālās komitejas uzlaušanā, kas, pēc dažu domām, zināmā mērā ietekmēja tajā pašā gadā notikušo prezidenta vēlēšanu iznākumu. Tajā pašā gadā grupa Fancy Bear vērsās arī pret Pasaules Antidopinga aģentūru skandāla dēļ, kurā bija iesaistīti Krievijas sportisti. Pēc tam Fancy Bear iegūtie dati tika publicēti un pieejami publiski. Dati atklāja, ka daži sportisti, kuriem dopinga tests bija pozitīvs, vēlāk tika atbrīvoti. Pasaules Antidopinga aģentūras ziņojumā teikts, ka nelegālās vielas bija paredzētas "ārstnieciskai lietošanai". Laika posmā no 2014. līdz 2017. gadam grupa Fancy Bear bija iesaistīta dažādās kampaņās, kuru mērķauditorija bija mediju personības ASV, Krievijā, Ukrainā, Baltijas valstīs un Moldovā. Fancy Bear sekoja privātpersonām, kas strādāja mediju korporācijās, kā arī neatkarīgiem žurnālistiem. Visi mērķi bija iesaistīti ziņošanā par Krievijas un Ukrainas konfliktu, kas notika Austrumukrainā. 2016. un 2017. gadā Vācijā un Francijā notika lielas vēlēšanas, un visticamāk, ka Fancy Bear grupa arī iemērca savus pirkstus šajos pīrāgos. Abu valstu amatpersonas ziņoja, ka notikusi kampaņa, kurā kā infekcijas pārnēsātāji tika izmantoti pikšķerēšanas e-pasta ziņojumi, taču viņi paziņoja, ka hakeru uzbrukumam nav nekādu seku.

Tālāk esošajā attēlā ir parādīts demonstrācijas ceļš, ko APT28/Fancy Bear izmanto, lai veiktu kiberielaušanos noteiktās mērķsistēmās. ASV valdība ir apstiprinājusi šādas iejaukšanās politiskās partijas darbībā no pirmās dalībnieku grupas APT29 2015. gadā un pēc tam otrās, APT28, 2016. gadā.

apt28 uzbrukuma metodes
Diagramma, kurā parādītas APT28/Fancy Bear šķēpu pikšķerēšanas paņēmienu darbības un procesi un ielaušanās mērķsistēmās — Avots: US-Cert.gov

Izsmalcināti lāča instrumenti

Lai izvairītos no kiberdrošības pētnieku ziņkārīgo skatieniem, Fancy Bear hakeru grupa regulāri maina savu C&C (Command and Control) infrastruktūru. Grupai ir iespaidīgs hakeru rīku arsenāls , ko viņi ir izveidojuši privāti – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange un CHOPSTICK. Bieži vien tiešās izplatīšanas vietā Fancy Bear dod priekšroku savas ļaunprātīgās programmatūras mitināšanai trešo pušu vietnēs, kuras viņi veido, lai imitētu likumīgas lapas, lai apmānītu savus upurus.

Fancy Bear izmanto arī uzlabotas apmulsināšanas metodes, kas palīdz izvairīties no atklāšanas pēc iespējas ilgāk. Grupa sāka pievienot nevēlamos datus savās kodētajās virknēs, padarot ļoti sarežģītu informācijas atšifrēšanu bez īpaša algoritma nevēlamo bitu noņemšanai. Lai vēl vairāk kavētu drošības pētniekus, APT28 arī atiestata failu laikspiedolus un regulāri attīra notikumu žurnālus, lai apgrūtinātu ļaunprātīgas darbības izsekošanu.

Fancy Bear ir viena no visnelabvēlīgākajām hakeru grupām, un nekas neliecina, ka viņi tuvākajā laikā apturēs savas kampaņas. Ir zināms, ka Krievijas valdība izmanto hakeru grupu pakalpojumus, un Fancy Bear ir viena no augstākā līmeņa hakeru grupām.

Vācijas apsūdzības iespējamajiem APT28 dalībniekiem

2020.gada jūnijā Vācijas Ārlietu ministrija informēja Krievijas vēstnieku valstī, ka prasīs "ES sankcijas" pret Krievijas pilsoni Dmitriju Badinu. Vācijas varas iestādes uzskata, ka viņš ir saistīts ar Fancy Bear / APT28, un apgalvo, ka viņiem ir pierādījumi, ka viņš bija iesaistīts 2015. gada kiberuzbrukumā Vācijas parlamentam.
Krievijas Ārlietu ministrijas pārstāve Zaharova apsūdzības nodēvēja par "absurdiem" un stingri noraidīja, uzsverot viņas pārliecību, ka Vācijas varas iestāžu izmantotā informācija nāk no ASV avotiem. Viņa arī mudināja Vācijas varas iestādes sniegt jebkādus pierādījumus par Krievijas līdzdalību uzbrukumā.

Tendences

Visvairāk skatīts

Notiek ielāde...