APT28

apt28 modni medved V svetu kibernetskega kriminala niso samo hekerji in slabi akterji, ki iščejo hiter denar in širijo po e-poštnih sporočilih z lažnim predstavljanjem. Obstajajo različni akterji groženj, ki presegajo profitno odkupovalno programsko opremo ali nadležne viruse. Te skupine se običajno imenujejo akterji napredne obstojne grožnje ali APT.

Največja razlika med APT in skupino hekerjev, ki širijo zlonamerno programsko opremo, je v tem, da je APT najpogosteje organizacija, ki jo sponzorira država, katere dejanja se običajno uporabljajo za infiltriranje v odmevna, pogosto vladna omrežja, in pridobivanje občutljivih ali zaupnih informacij. "Vztrajni" del definicije pomeni, da imajo akterji v skupini opredeljene, dolgoročne cilje in ne iščejo le denarnih dobičkov, ki jih zadenejo in se zadržujejo, čim dlje ostanejo prikrito, da bi se izognili odkrivanju.

Ob predpostavki, da APT podpira uradni državni organ, bodo sredstva, ki so na voljo skupini, tudi veliko večja od tistih, ki jih lahko zbere večina kibernetičnih kriminalnih organizacij.


Ta teden v 37. epizodi zlonamerne programske opreme, 2. del: Hekerji, ki jih sponzorira država (APT28 Fancy Bear) ciljajo na izdelovalce cepiv proti COVID-19

Številčni identifikator, ki je dodeljen različnim APT-jem, je le priročna okrajšava, da raziskovalci varnosti govorijo o njih, ne da bi omenili njihove celotne vzdevke, ki jih je pogosto veliko.

APT28 (Advanced Persistent Threat) je hekerska skupina, ki izvira iz Rusije. Njihova dejavnost sega že v sredino 2000-ih. Raziskovalci zlonamerne programske opreme menijo, da kampanje skupine APT28 financira Kremelj, saj običajno ciljajo na tuje politične akterje. Hekerska skupina APT28 je najbolj znana kot Fancy Bear, vendar je prepoznana tudi pod različnimi drugimi vzdevki – Sofacy Group, STRONTIUM, Sednit, Pawn Storm in Tsar Team.

Zloglasne hekerske akcije, ki jih izvaja Fancy Bear

Strokovnjaki menijo, da je Fancy Bear sodeloval pri vdoru v Demokratični nacionalni odbor leta 2016, za katerega nekateri menijo, da je imel določen vpliv na izid predsedniških volitev, ki so potekale istega leta. Istega leta je skupina Fancy Bear zaradi škandala z ruskimi športniki ciljala tudi na Svetovno protidopinško agencijo. Podatki, ki jih je pridobil Fancy Bear, so bili nato objavljeni in javno dostopni. Podatki so razkrili, da so bili nekateri športniki, ki so bili pozitivni na dopinški test, pozneje izvzeti. V poročilu Svetovne protidopinške agencije je navedeno, da so bile prepovedane snovi namenjene "terapevtski uporabi". V obdobju od 2014 do 2017 je bila skupina Fancy Bear vključena v različne kampanje, namenjene medijskim osebnostim v ZDA, Rusiji, Ukrajini, baltskih državah in Moldaviji. Fancy Bear je sledil posameznikom, ki delajo v medijskih korporacijah, pa tudi neodvisnim novinarjem. Vse tarče so bile vključene v poročanje o konfliktu med Rusijo in Ukrajino, ki se je zgodil v vzhodni Ukrajini. V letih 2016 in 2017 sta imeli v Nemčiji in Franciji velike volitve in verjetno je v te pite prste namakala tudi skupina Fancy Bear. Uradniki obeh držav so poročali, da je potekala kampanja, ki je uporabljala e-poštna sporočila z lažnim predstavljanjem kot prenašalci okužbe, vendar so navedli, da ni bilo posledic hekerskega napada.

Spodnja slika je demonstracijska pot, ki jo APT28/Fancy Bear uporablja za izvajanje svojih kibernetskih vdorov v določene ciljne sisteme. Vlada ZDA je potrdila taka dejanja vdora v politično stranko iz prve skupine akterjev, APT29 leta 2015, in nato druge, APT28, v letu 2016.

metode napada apt28
Diagram, ki prikazuje dejanja in procese tehnik spear-phishinga APT28/Fancy Bear in vdorov v ciljne sisteme – Vir: US-Cert.gov

Orodja Fancy Bear's

Da bi se izognili radovednim očem raziskovalcev kibernetske varnosti, hekerska skupina Fancy Bear poskrbi, da redno spreminja svojo infrastrukturo C&C (Command and Control). Skupina ima impresiven arzenal hekerskih orodij , ki so jih zgradili zasebno – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange in CHOPSTICK. Fancy Bear pogosto namesto neposrednega širjenja raje gosti svojo zlonamerno programsko opremo na spletnih mestih tretjih oseb, ki jih zgradijo, da posnemajo zakonite strani, da prevarajo svoje žrtve.

Fancy Bear uporablja tudi napredne tehnike zakrivanja, ki jim pomagajo, da se čim dlje izognejo odkrivanju. Skupina je začela dodajati neželene podatke v svoje kodirane nize, zaradi česar je bilo zelo težko dekodirati informacije brez posebnega algoritma za odstranjevanje neželenih bitov. Da bi dodatno oviral varnostne raziskovalce, APT28 tudi ponastavi časovne žige datotek in redno čisti dnevnike dogodkov, da oteži sledenje zlonamerne dejavnosti.

Fancy Bear je ena najbolj slabo znanih hekerskih skupin in nič ne kaže, da bodo kmalu ustavile svoje kampanje. Znano je, da ruska vlada uporablja storitve hekerskih skupin, Fancy Bear pa je ena najvišjih hekerskih skupin.

Nemške obtožbe zoper domnevne člane APT28

Junija 2020 je nemško zunanje ministrstvo obvestilo ruskega veleposlanika v državi, da si bo prizadevalo za "sankcije EU" proti ruskemu državljanu Dmitriju Badinu. Nemške oblasti verjamejo, da je povezan s Fancy Bearom / APT28, in trdijo, da imajo dokaze, da je bil leta 2015 vpleten v kibernetski napad na nemški parlament.
Tiskovna predstavnica ruskega zunanjega ministrstva ga. Zakharova je obtožbe označila za "absurdne" in jih odločno zavrnila ter poudarila svoje prepričanje, da informacije, ki so jih nemške oblasti uporabile, prihajajo iz ameriških virov. Nemške oblasti je tudi pozvala, naj predložijo kakršne koli dokaze o vpletenosti Rusije v napad.

V trendu

Najbolj gledan

Nalaganje...