APT28
साइबर अपराधको संसार भनेको ह्याकरहरू र खराब अभिनेताहरूको बारेमा मात्र होइन जो छिटो पैसाको लागि बाहिर छन्, फिसिङ स्प्याम इमेलहरू वरिपरि फैलाउँछन्। त्यहाँ एक फरक प्रकारको खतरा अभिनेताहरू छन् जुन नाफाको लागि ransomware वा कष्टप्रद भाइरसहरू भन्दा बाहिर जान्छन्। ती समूहहरूलाई सामान्यतया उन्नत पर्सिस्टेन्ट थ्रेट अभिनेताहरू, वा APTs भनिन्छ।
APT र मालवेयर फैलाउने ह्याकरहरूको समूह बीचको सबैभन्दा ठूलो भिन्नता यो हो कि APT प्राय: राज्य-प्रायोजित संस्था हो, जसका कार्यहरू प्राय: उच्च-प्रोफाइल, प्राय: सरकारी नेटवर्कहरूमा घुसपैठ गर्न, र संवेदनशील वा गोप्य जानकारी निकाल्न प्रयोग गरिन्छ। परिभाषाको "निरन्तर" भागले समूहका कलाकारहरूले परिभाषित, दीर्घकालीन उद्देश्यहरू र हिट-एन्ड-रन मौद्रिक लाभहरू मात्र खोजिरहेका छैनन्, पत्ता लगाउनबाट बच्न सकेसम्म लामो समयसम्म कम प्रोफाइल राखेर बुझाउँछ।
APT लाई आधिकारिक राज्य प्राधिकरणले समर्थन गरेको मानेर, समूहमा उपलब्ध स्रोतहरू पनि साइबर अपराधी संस्थाहरूले जम्मा गर्न सक्ने भन्दा धेरै हुनेछन्।
मालवेयर एपिसोड ३७ भाग २ मा यो हप्ता: राज्य-प्रायोजित ह्याकरहरू (APT28 फैन्सी बियर) लक्ष्य COVID-19 खोप निर्माताहरू
विभिन्न APTs लाई दिइएको संख्यात्मक पहिचानकर्ता सुरक्षा अनुसन्धानकर्ताहरूको लागि तिनीहरूको सम्पूर्ण उपनाम उल्लेख नगरी तिनीहरूको बारेमा कुरा गर्नको लागि मात्र सुविधाजनक छ, जसमध्ये प्राय: धेरै हुन्छन्।
APT28 (Advanced Persistent Threat) रुसबाट आएको ह्याकिङ समूह हो। तिनीहरूको गतिविधि 2000 को दशकको मध्यतिरको हो। मालवेयर अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि APT28 समूहका अभियानहरू क्रेमलिनद्वारा वित्त पोषित छन्, किनकि तिनीहरू सामान्यतया विदेशी राजनीतिक अभिनेताहरूलाई लक्षित गर्छन्। APT28 ह्याकिङ समूहलाई फ्यान्सी बियर भनेर चिनिन्छ, तर यसलाई अन्य विभिन्न उपनामहरू - Sofacy Group, STRONTIUM, Sednit, Pawn Storm र Tsar Team अन्तर्गत पनि चिनिन्छ।
सामग्रीको तालिका
फेन्सी बियरद्वारा गरिएको कुख्यात ह्याकिंग अभियानहरू
विज्ञहरू विश्वास गर्छन् कि 2016 डेमोक्रेटिक नेशनल कमिटी ह्याकमा फेन्सी भालुको हात थियो, जसलाई केहीले सोही वर्ष हुने राष्ट्रपति चुनावको नतिजामा केही प्रभाव पारेको विश्वास गर्छन्। सोही वर्षमा, फेन्सी बियर समूहले रुसी एथलीटहरूको काण्डका कारण विश्व एन्टी डोपिङ एजेन्सीलाई पनि निशाना बनाएको थियो। फेन्सी बियरले प्राप्त गरेको डाटा त्यसपछि प्रकाशित र सार्वजनिक रूपमा उपलब्ध थियो। तथ्याङ्कले पत्ता लगायो कि डोपिङको लागि सकारात्मक परीक्षण गर्ने केही खेलाडीहरूलाई पछि छूट दिइएको थियो। विश्व एन्टी डोपिङ एजेन्सीको प्रतिवेदनमा भनिएको छ कि अवैध पदार्थ 'चिकित्सात्मक प्रयोग' को लागी हो। 2014 देखि 2017 को अवधिमा, फैन्सी बियर समूह संयुक्त राज्य अमेरिका, रूस, युक्रेन, बाल्टिक राज्यहरू र मोल्डोभामा मिडिया व्यक्तित्वहरूलाई लक्षित गरी विभिन्न अभियानहरूमा संलग्न थियो। फैन्सी बियर मिडिया कर्पोरेशनहरूमा काम गर्ने व्यक्तिहरू, साथै स्वतन्त्र पत्रकारहरूको पछि लागे। सबै लक्ष्यहरू पूर्वी युक्रेनमा भएको रुस-युक्रेन द्वन्द्वको रिपोर्टिङमा संलग्न थिए। 2016 र 2017 मा, जर्मनी र फ्रान्समा प्रमुख चुनावहरू थिए, र यो सम्भव छ कि फेन्सी बियर समूहले यी पाईहरूमा पनि आफ्नो औंलाहरू डुबाएको छ। दुवै देशका अधिकारीहरूले रिपोर्ट गरे कि भाला-फिसिङ इमेलहरू प्रयोग गरेर संक्रमण भेक्टरको रूपमा अभियान चलेको थियो, तर उनीहरूले भने कि ह्याकिङ आक्रमणको कुनै परिणाम छैन।
तलको छवि APT28/Fancy Bear ले केही लक्षित प्रणालीहरू विरुद्ध आफ्नो साइबर घुसपैठ गर्न प्रयोग गर्ने प्रदर्शन मार्ग हो। अमेरिकी सरकारले 2015 मा पहिलो अभिनेता समूह, APT29, र त्यसपछि 2016 मा दोस्रो, APT28 बाट राजनीति पार्टीमा घुसपैठ गर्ने यस्ता कार्यहरू पुष्टि गरेको छ।
APT28/फ्यान्सी भालुको भाला-फिसिङ प्रविधि र लक्षित प्रणालीहरू विरुद्ध घुसपैठका कार्यहरू र प्रक्रियाहरू प्रदर्शन गर्ने रेखाचित्र - स्रोत: US-Cert.gov
फैंसी भालु को उपकरण
साइबरसेक्युरिटी अनुसन्धानकर्ताहरूको डरलाग्दो आँखाबाट बच्न, फ्यान्सी बियर ह्याकिङ समूहले नियमित रूपमा आफ्नो C&C (कमान्ड र कन्ट्रोल) पूर्वाधार परिवर्तन गर्न सुनिश्चित गर्दछ। समूहसँग ह्याकिङ उपकरणहरूको एक प्रभावशाली शस्त्रागार छ, जुन तिनीहरूले निजी रूपमा बनाएका छन् - X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange र CHOPSTICK। प्रायः, प्रत्यक्ष प्रचारको सट्टा, फेन्सी भालुले तेस्रो-पक्ष वेबसाइटहरूमा यसको मालवेयर होस्ट गर्न रुचाउँछ, जुन उनीहरूले आफ्ना पीडितहरूलाई छलाउन वैध पृष्ठहरूको नक्कल गर्न निर्माण गर्छन्।
फ्यान्सी बियरले उन्नत अव्यवस्थित प्रविधिहरू पनि प्रयोग गर्दछ जसले तिनीहरूलाई सकेसम्म लामो समयसम्म पत्ता लगाउनबाट बच्न मद्दत गर्दछ। समूहले आफ्नो एन्कोड गरिएको स्ट्रिङमा जंक डाटा थप्न थाल्यो, जङ्क बिटहरू हटाउनको लागि विशेष एल्गोरिदम बिना जानकारी डिकोड गर्न धेरै गाह्रो बनाउँदै। सुरक्षा अनुसन्धानकर्ताहरूलाई थप बाधा पुर्याउन, APT28 ले फाइलहरूको टाइमस्ट्याम्पहरू पनि रिसेट गर्छ र दुर्भावनापूर्ण गतिविधि ट्रेसिङलाई अझ गाह्रो बनाउन नियमित रूपमा घटना लगहरू सफा गर्छ।
फेन्सी बियर सबैभन्दा खराब प्रख्यात ह्याकिङ समूहहरू मध्ये एक हो, र तिनीहरूले कुनै पनि समय चाँडै आफ्नो अभियानहरू रोक्ने कुनै सङ्केतहरू छैनन्। रूसी सरकारले ह्याकिंग समूहहरूको सेवाहरू प्रयोग गर्न चिनिन्छ, र फ्यान्सी बियर त्यहाँको उच्च-स्तरीय ह्याकिंग समूहहरू मध्ये एक हो।
APT28 का कथित सदस्यहरू विरुद्ध जर्मन आरोपहरू
जुन २०२० मा, जर्मन विदेश मन्त्रालयले रुसी नागरिक दिमित्री बडिन विरुद्ध "ईयू प्रतिबन्धहरू" खोज्ने देशमा रूसी राजदूतलाई जानकारी गरायो। जर्मन अधिकारीहरूले उसलाई Fancy Bear / APT28 मा जोडिएको विश्वास गर्छन् र उनीसँग जर्मन संसदमा 2015 साइबर आक्रमणमा संलग्न रहेको प्रमाण भएको दाबी गर्छन्।
रूसी विदेश मन्त्रालयका प्रवक्ता सुश्री जाखारोभाले आरोपहरूलाई "बेतुका" भन्नुभयो र तिनीहरूलाई दृढताका साथ खारेज गर्नुभयो, जर्मन अधिकारीहरूले प्रयोग गरेको जानकारी अमेरिकी स्रोतहरूबाट आएको उनको विश्वासलाई जोड दिँदै। उनले जर्मन अधिकारीहरूलाई आक्रमणमा रूसी संलग्नताको कुनै प्रमाण उपलब्ध गराउन पनि आग्रह गरे।
