АПТ28

апт28 фенси медвед Свет сајбер криминала није само хакери и лоши актери који траже брзи новац, ширећи по пхисхинг нежељеним имејловима. Постоји друга врста претњи које превазилазе профитни рансомваре или досадне вирусе. Те групе се обично називају актери напредне трајне претње или АПТ.

Највећа разлика између АПТ-а и групе хакера који шире злонамерни софтвер је у томе што је АПТ најчешће организација коју спонзорише држава, чије се акције обично користе за инфилтрирање у високопрофилне, често владине мреже, и извлачење осетљивих или поверљивих информација. „Упорни“ део дефиниције подразумева да актери у групи имају дефинисане, дугорочне циљеве и да не траже само хит-анд-бек новчану добит, држећи ниски профил што је дуже могуће како би избегли откривање.

Под претпоставком да АПТ подржава званична државна власт, ресурси доступни групи ће такође бити много већи од онога што већина сајбер криминалних организација може прикупити.


Ове недеље у 37. епизоди злонамерног софтвера, 2. део: Хакери које спонзорише држава (АПТ28 Фанци Беар) циљају на произвођаче вакцина против ЦОВИД-19

Нумерички идентификатор дат различитим АПТ-овима је само згодна скраћеница за истраживаче безбедности да говоре о њима без помињања њихових целих алиаса, којих често има много.

АПТ28 (Адванцед Персистент Тхреат) је хакерска група која потиче из Русије. Њихова активност датира још од средине 2000-их. Истраживачи злонамерног софтвера верују да кампање групе АПТ28 финансира Кремљ, јер обично циљају на стране политичке актере. Хакерска група АПТ28 је најпознатија као Фанци Беар, али је такође препозната под разним другим псеудонимима – Софаци Гроуп, СТРОНТИУМ, Седнит, Павн Сторм и Цар Теам.

Злогласне хакерске кампање које спроводи Фанци Беар

Стручњаци верују да је Фанци Беар умео у хакирање Демократског националног комитета 2016, за које неки верују да је утицало на исход председничких избора који су одржани исте године. Током исте године, група Фанци Беар такође је на мети Светске антидопинг агенције због скандала у које су умешани руски спортисти. Подаци до којих је Фанци Беар дошао тада су објављени и доступни јавности. Подаци су открили да су неки од спортиста који су били позитивни на допинг тесту касније били изузети. У извештају Светске антидопинг агенције наводи се да су недозвољене супстанце биле намењене „терапијској употреби“. У периоду од 2014. до 2017. године, група Фанци Беар је била укључена у различите кампање усмерене на медијске личности у Сједињеним Државама, Русији, Украјини, Балтичким државама и Молдавији. Фанци Беар је кренуо на појединце који раде у медијским корпорацијама, као и на независне новинаре. Све мете су биле укључене у извештавање о сукобу Русије и Украјине који се одиграо у источној Украјини. 2016. и 2017. године, Немачка и Француска су имале велике изборе, а вероватно је и група Фанци Беар умочила прсте у ове пите. Званичници обе земље известили су да је спроведена кампања која користи спеар-пхисхинг мејлове као векторе инфекције, али су навели да није било последица хакерског напада.

Слика испод је демонстрациона путања коју АПТ28/Фанци Беар користи да изврши своје сајбер упаде на одређене циљане системе. Влада САД је потврдила такве акције упада у политичку партију из прве групе актера, АПТ29 2015. године, а затим друге, АПТ28, у 2016.

апт28 методе пада
Дијаграм који показује радње и процесе АПТ28/Фанци Беар техника спеар-пхисхинга и упада у циљане системе – Извор: УС-Церт.гов

Фанци Беар'с Тоолс

Да би избегла радознале очи истраживача сајбер безбедности, група за хаковање Фанци Беар се стара да редовно мења своју инфраструктуру Ц&Ц (Цомманд анд Цонтрол). Група има импресиван арсенал хакерских алата , које су изградили приватно – Кс-Агент, Кстуннел, Софаци, ЈХУХУГИТ, ДовнРанге и ЦХОПСТИЦК. Често, уместо директног ширења, Фанци Беар преферира да хостује свој малвер на веб локацијама трећих страна, које праве да имитирају легитимне странице како би преварили своје жртве.

Фанци Беар такође користи напредне технике замагљивања које им помажу да избегну откривање што је дуже могуће. Група је почела да додаје нежељене податке у своје кодиране стрингове, што отежава декодирање информација без специфичног алгоритма за уклањање нежељених битова. Да би додатно ометао истраживаче безбедности, АПТ28 такође ресетује временске ознаке датотека и редовно чисти евиденције догађаја како би отежао праћење злонамерне активности.

Фанци Беар је једна од најзлогласнијих хакерских група и нема назнака да ће ускоро прекинути своје кампање. Познато је да руска влада користи услуге хакерских група, а Фанци Беар је једна од највећих хакерских група.

Немачке оптужбе против наводних чланова АПТ28

У јуну 2020. немачко Министарство спољних послова обавестило је руског амбасадора у земљи да ће тражити „санкције ЕУ“ против руског држављанина Дмитрија Бадина. Немачке власти верују да је повезан са Фанци Беар-ом / АПТ28 и тврде да имају доказе да је био умешан у сајбер напад на немачки парламент 2015.
Портпарол руског министарства спољних послова госпођа Захарова назвала је ове наводе „апсурдним“ и одлучно их одбацила, подвлачећи своје уверење да информације које су немачке власти користиле долазе из америчких извора. Она је такође позвала немачке власти да доставе било какав доказ о умешаности Русије у напад.

У тренду

Најгледанији

Учитавање...