APT28
Dunia jenayah siber bukan sahaja mengenai penggodam dan pelakon jahat yang mencari wang dengan cepat, menyebarkan e-mel spam pancingan data. Terdapat pelbagai jenis pelaku ancaman yang melangkaui perisian tebusan untung atau virus yang menjengkelkan. Kumpulan tersebut biasanya dipanggil pelakon Ancaman Berterusan Lanjutan, atau APT.
Perbezaan terbesar antara APT dan sekumpulan penggodam yang menyebarkan perisian hasad ialah APT biasanya merupakan organisasi tajaan kerajaan, yang tindakannya biasanya digunakan untuk menyusup berprofil tinggi, selalunya rangkaian kerajaan dan mengekstrak maklumat sensitif atau sulit. Bahagian takrifan "berterusan" membayangkan bahawa pelakon dalam kumpulan itu telah mentakrifkan objektif jangka panjang dan bukan hanya mencari keuntungan monetari hit-and-run, mengekalkan profil rendah selama mungkin untuk mengelakkan pengesanan.
Dengan mengandaikan APT disokong oleh pihak berkuasa negeri rasmi, sumber yang tersedia untuk kumpulan itu juga akan jauh lebih besar daripada yang boleh dikumpulkan oleh kebanyakan organisasi penjenayah siber.
Minggu Ini Dalam Malware Episod 37 Bahagian 2: Penggodam Tajaan Negara (APT28 Fancy Bear) Sasarkan Pembuat Vaksin COVID-19
Pengecam berangka yang diberikan kepada APT yang berbeza hanyalah trengkas yang mudah untuk penyelidik keselamatan bercakap tentang mereka tanpa menyebut keseluruhan alias mereka, yang selalunya terdapat banyak.
APT28 (Advanced Persistent Threat) ialah kumpulan penggodaman yang berasal dari Rusia. Aktiviti mereka bermula sejak pertengahan tahun 2000-an. Penyelidik perisian hasad percaya bahawa kempen kumpulan APT28 dibiayai oleh Kremlin, kerana ia biasanya menyasarkan aktor politik asing. Kumpulan penggodaman APT28 paling dikenali sebagai Fancy Bear, tetapi ia juga diiktiraf di bawah pelbagai alias lain - Kumpulan Sofacy, STRONTIUM, Sednit, Pawn Storm dan Pasukan Tsar.
Isi kandungan
Kempen Penggodaman Terkenal Yang Dijalankan oleh Fancy Bear
Pakar percaya bahawa Beruang Fancy telah terlibat dalam penggodaman Jawatankuasa Kebangsaan Demokratik 2016, yang dipercayai oleh sesetengah pihak mempunyai pengaruh terhadap keputusan Pilihan Raya Presiden yang berlangsung pada tahun yang sama. Pada tahun yang sama, kumpulan Fancy Bear turut menyasarkan Agensi Anti-Doping Dunia kerana skandal yang melibatkan atlet Rusia. Data yang diperoleh Fancy Bear kemudiannya diterbitkan dan tersedia secara umum. Data itu mendedahkan bahawa beberapa atlet yang didapati positif doping kemudiannya dikecualikan. Laporan Agensi Antidoping Dunia menyatakan bahawa bahan terlarang itu bertujuan untuk 'kegunaan terapeutik.' Dalam tempoh 2014 hingga 2017, kumpulan Fancy Bear telah terlibat dalam pelbagai kempen yang menyasarkan personaliti media di Amerika Syarikat, Rusia, Ukraine, Negara Baltik dan Moldova. Fancy Bear mengejar individu yang bekerja di syarikat media, serta wartawan bebas. Kesemua sasaran terbabit dalam pelaporan konflik Rusia-Ukraine yang berlaku di Timur Ukraine. Pada 2016 dan 2017, Jerman dan Perancis mengadakan pilihan raya besar, dan berkemungkinan kumpulan Beruang Fancy turut mencelupkan jari mereka ke dalam pai ini. Pegawai dari kedua-dua negara melaporkan bahawa kempen menggunakan e-mel spear-phishing sebagai vektor jangkitan berlaku, tetapi mereka menyatakan bahawa tidak ada akibat daripada serangan penggodaman itu.
Imej di bawah ialah laluan tunjuk cara yang APT28/Fancy Bear gunakan untuk melakukan pencerobohan sibernya terhadap sistem sasaran tertentu. Kerajaan AS telah mengesahkan tindakan pencerobohan seperti itu ke dalam parti politik daripada kumpulan pelakon pertama, APT29 pada 2015, dan kemudian yang kedua, APT28, hingga 2016.
Gambar rajah yang menunjukkan tindakan dan proses teknik pancingan lembing APT28/Fancy Bear dan pencerobohan terhadap sistem sasaran - Sumber: US-Cert.gov
Alatan Fancy Bear
Untuk mengelak daripada mengintip penyelidik keselamatan siber, kumpulan penggodam Fancy Bear memastikan untuk mengubah infrastruktur C&C (Perintah dan Kawalan) mereka dengan kerap. Kumpulan ini mempunyai senjata penggodaman yang mengagumkan, yang telah mereka bina secara peribadi - X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange dan CHOPSTICK. Selalunya, daripada penyebaran terus, Fancy Bear lebih suka mengehoskan perisian hasadnya pada tapak web pihak ketiga, yang mereka bina untuk meniru halaman yang sah untuk menipu mangsa mereka.
Fancy Bear juga menggunakan teknik pengeliruan lanjutan yang membantu mereka mengelakkan pengesanan selama mungkin. Kumpulan itu mula menambah data sampah dalam rentetan yang dikodkan, menjadikannya sangat sukar untuk menyahkod maklumat tanpa algoritma khusus untuk mengalih keluar bit sampah. Untuk menghalang lagi penyelidik keselamatan, APT28 juga menetapkan semula cap masa fail dan membersihkan log peristiwa secara kerap untuk menyukarkan pengesanan aktiviti berniat jahat.
Fancy Bear ialah salah satu kumpulan penggodaman yang paling terkenal dan tidak ada tanda-tanda bahawa mereka akan menghentikan kempen mereka dalam masa terdekat. Kerajaan Rusia diketahui menggunakan perkhidmatan kumpulan penggodaman, dan Fancy Bear adalah salah satu kumpulan penggodaman peringkat tertinggi di luar sana.
Tuduhan Jerman Terhadap Ahli Yang Didakwa APT28
Pada Jun 2020, Kementerian Luar Jerman memaklumkan kepada duta Rusia di negara itu bahawa ia akan mendapatkan "sekatan EU" terhadap warga Rusia Dmitriy Badin. Pihak berkuasa Jerman percaya dia mempunyai kaitan dengan Fancy Bear / APT28 dan mendakwa mempunyai bukti bahawa dia terlibat dalam serangan siber 2015 ke atas parlimen Jerman.
Jurucakap Kementerian Luar Rusia, Cik Zakharova menyifatkan dakwaan itu "tidak masuk akal" dan dengan tegas menolaknya, menggariskan kepercayaannya bahawa maklumat yang digunakan oleh pihak berkuasa Jerman adalah dari sumber AS. Dia juga menggesa pihak berkuasa Jerman untuk memberikan sebarang bukti penglibatan Rusia dalam serangan itu.
