APT28

సైబర్ క్రైమ్ ప్రపంచం కేవలం హ్యాకర్లు మరియు త్వరిత బక్ కోసం దూరంగా ఉన్న చెడ్డ నటుల గురించి మాత్రమే కాదు, ఫిషింగ్ స్పామ్ ఇమెయిల్‌ల చుట్టూ వ్యాపిస్తుంది. లాభాపేక్షతో కూడిన ransomware లేదా బాధించే వైరస్‌లకు మించిన వేరొక రకమైన ముప్పు నటులు ఉన్నారు. ఆ సమూహాలను సాధారణంగా అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ యాక్టర్స్ లేదా APTలు అంటారు.

APT మరియు మాల్వేర్ వ్యాప్తి చెందుతున్న హ్యాకర్ల సమూహం మధ్య ఉన్న అతి పెద్ద వ్యత్యాసం ఏమిటంటే, APT అనేది సాధారణంగా రాష్ట్ర-ప్రాయోజిత సంస్థ, దీని చర్యలు సాధారణంగా ఉన్నత-ప్రొఫైల్, తరచుగా ప్రభుత్వ నెట్‌వర్క్‌లలోకి చొరబడటానికి మరియు సున్నితమైన లేదా రహస్య సమాచారాన్ని సేకరించేందుకు ఉపయోగించబడతాయి. నిర్వచనం యొక్క "నిరంతర" భాగం గుంపులోని నటులు నిర్వచించబడిన, దీర్ఘకాలిక లక్ష్యాలను మరియు కేవలం హిట్-అండ్-రన్ ద్రవ్య లాభాల కోసం వెతకడం లేదని సూచిస్తుంది, గుర్తించకుండా ఉండటానికి వీలైనంత కాలం తక్కువ ప్రొఫైల్‌ను ఉంచుతుంది.

అధికారిక రాష్ట్ర అధికారం ద్వారా APTకి మద్దతు ఉందని ఊహిస్తే, సమూహానికి అందుబాటులో ఉన్న వనరులు కూడా చాలా సైబర్‌క్రిమినల్ సంస్థలు సేకరించగలిగే దానికంటే చాలా ఎక్కువగా ఉంటాయి.

ఈ వారంలో మాల్వేర్ ఎపిసోడ్ 37 పార్ట్ 2: స్టేట్ స్పాన్సర్డ్ హ్యాకర్లు (APT28 ఫ్యాన్సీ బేర్) COVID-19 వ్యాక్సిన్ తయారీదారులను లక్ష్యంగా చేసుకోండి

వివిధ APTలకు అందించబడిన సంఖ్యా ఐడెంటిఫైయర్ భద్రతా పరిశోధకులకు వారి మొత్తం మారుపేర్లను పేర్కొనకుండా వాటి గురించి మాట్లాడటానికి అనుకూలమైన సంక్షిప్తలిపి మాత్రమే, వీటిలో చాలా తరచుగా ఉన్నాయి.

APT28 (అధునాతన పెర్సిస్టెంట్ థ్రెట్) అనేది రష్యా నుండి ఉద్భవించిన హ్యాకింగ్ సమూహం. వారి కార్యాచరణ 2000ల మధ్యకాలం నాటిది. మాల్వేర్ పరిశోధకులు APT28 సమూహం యొక్క ప్రచారాలకు క్రెమ్లిన్ నిధులు సమకూరుస్తుందని నమ్ముతారు, ఎందుకంటే అవి సాధారణంగా విదేశీ రాజకీయ నటులను లక్ష్యంగా చేసుకుంటాయి. APT28 హ్యాకింగ్ సమూహాన్ని ఫ్యాన్సీ బేర్ అని పిలుస్తారు, అయితే ఇది అనేక ఇతర మారుపేర్లతో గుర్తింపు పొందింది - సోఫాసీ గ్రూప్, స్ట్రోంటియం, సెడ్నిట్, పాన్ స్టార్మ్ మరియు జార్ టీమ్.

ఫ్యాన్సీ బేర్ ద్వారా అప్రసిద్ధ హ్యాకింగ్ ప్రచారాలు

2016 డెమొక్రాటిక్ నేషనల్ కమిటీ హ్యాక్‌లో ఫ్యాన్సీ బేర్ హస్తం ఉందని నిపుణులు భావిస్తున్నారు, అదే సంవత్సరం జరిగే అధ్యక్ష ఎన్నికల ఫలితాలపై కొంత ప్రభావం చూపిందని కొందరు భావిస్తున్నారు. అదే సంవత్సరంలో, రష్యన్ అథ్లెట్లకు సంబంధించిన కుంభకోణం కారణంగా ఫ్యాన్సీ బేర్ గ్రూప్ ప్రపంచ డోపింగ్ నిరోధక ఏజెన్సీని కూడా లక్ష్యంగా చేసుకుంది. ఫ్యాన్సీ బేర్ పొందిన డేటా తర్వాత ప్రచురించబడింది మరియు పబ్లిక్‌గా అందుబాటులో ఉంటుంది. డోపింగ్‌కు పాజిటివ్‌గా తేలిన కొంతమంది అథ్లెట్లకు తర్వాత మినహాయింపు ఇచ్చినట్లు డేటా వెల్లడించింది. ప్రపంచ డోపింగ్ నిరోధక ఏజెన్సీ యొక్క నివేదిక, అక్రమ పదార్ధాలు 'చికిత్స ఉపయోగం కోసం' ఉద్దేశించబడ్డాయి. 2014 నుండి 2017 మధ్య కాలంలో, Fancy Bear సమూహం యునైటెడ్ స్టేట్స్, రష్యా, ఉక్రెయిన్, బాల్టిక్ స్టేట్స్ మరియు మోల్డోవాలో మీడియా ప్రముఖులను లక్ష్యంగా చేసుకుని వివిధ ప్రచారాలలో పాల్గొంది. ఫ్యాన్సీ బేర్ మీడియా కార్పోరేషన్‌లలో పని చేస్తున్న వ్యక్తులను, అలాగే స్వతంత్ర పాత్రికేయులను అనుసరించింది. తూర్పు ఉక్రెయిన్‌లో జరిగిన రష్యా-ఉక్రెయిన్ వివాదం యొక్క రిపోర్టింగ్‌లో అన్ని లక్ష్యాలు పాల్గొన్నాయి. 2016 మరియు 2017లో, జర్మనీ మరియు ఫ్రాన్స్‌లలో ప్రధాన ఎన్నికలు జరిగాయి, మరియు ఫ్యాన్సీ బేర్ సమూహం కూడా ఈ పైస్‌లో తమ వేళ్లను ముంచి ఉండవచ్చు. రెండు దేశాల అధికారులు స్పియర్-ఫిషింగ్ ఇమెయిల్‌లను ఇన్ఫెక్షన్ వెక్టర్‌లుగా ఉపయోగించి ప్రచారం జరిగిందని నివేదించారు, అయితే హ్యాకింగ్ దాడి వల్ల ఎటువంటి పరిణామాలు లేవని వారు పేర్కొన్నారు.

దిగువ ఉన్న చిత్రం APT28/ఫ్యాన్సీ బేర్ నిర్దిష్ట లక్ష్య వ్యవస్థలకు వ్యతిరేకంగా సైబర్ చొరబాట్లను నిర్వహించడానికి ఉపయోగించే ఒక ప్రదర్శన మార్గం. 2015లో మొదటి నటుల సమూహం APT29, ఆపై రెండవది APT28 నుండి 2016లో రాజకీయ పార్టీలోకి చొరబడటం వంటి చర్యలను US ప్రభుత్వం ధృవీకరించింది.

APT28/ఫ్యాన్సీ బేర్ యొక్క స్పియర్-ఫిషింగ్ టెక్నిక్‌లు మరియు టార్గెటెడ్ సిస్టమ్‌లకు వ్యతిరేకంగా చొరబాట్లు యొక్క చర్యలు మరియు ప్రక్రియలను ప్రదర్శించే రేఖాచిత్రం - మూలం: US-Cert.gov

ఫ్యాన్సీ బేర్ సాధనాలు

సైబర్‌ సెక్యూరిటీ పరిశోధకుల కళ్లను తప్పించుకోవడానికి, ఫ్యాన్సీ బేర్ హ్యాకింగ్ గ్రూప్ వారి C&C (కమాండ్ అండ్ కంట్రోల్) ఇన్‌ఫ్రాస్ట్రక్చర్‌ను క్రమం తప్పకుండా మార్చేలా చేస్తుంది. సమూహం హ్యాకింగ్ సాధనాల యొక్క అద్భుతమైన ఆయుధశాలను కలిగి ఉంది, వారు ప్రైవేట్‌గా నిర్మించారు – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange మరియు CHOPSTICK. తరచుగా, ప్రత్యక్ష ప్రచారానికి బదులుగా, Fancy Bear దాని మాల్వేర్‌ను మూడవ పక్షం వెబ్‌సైట్‌లలో హోస్ట్ చేయడానికి ఇష్టపడుతుంది, వారు తమ బాధితులను మోసగించడానికి చట్టబద్ధమైన పేజీలను అనుకరించేలా రూపొందించారు.

ఫ్యాన్సీ బేర్ అధునాతన అస్పష్టత సాంకేతికతలను కూడా ఉపయోగిస్తుంది, అది వీలైనంత ఎక్కువ కాలం గుర్తించడాన్ని నివారించడంలో వారికి సహాయపడుతుంది. సమూహం వారి ఎన్‌కోడ్ చేసిన స్ట్రింగ్‌లలో జంక్ డేటాను జోడించడం ప్రారంభించింది, జంక్ బిట్‌లను తీసివేయడానికి నిర్దిష్ట అల్గారిథమ్ లేకుండా సమాచారాన్ని డీకోడ్ చేయడం చాలా కష్టతరం చేసింది. భద్రతా పరిశోధకులకు మరింత ఆటంకం కలిగించడానికి, APT28 ఫైల్‌ల టైమ్‌స్టాంప్‌లను కూడా రీసెట్ చేస్తుంది మరియు హానికరమైన కార్యాచరణను మరింత కష్టతరం చేయడానికి ఈవెంట్ లాగ్‌లను క్రమం తప్పకుండా శుభ్రపరుస్తుంది.

ఫ్యాన్సీ బేర్ అత్యంత ప్రసిద్ధ హ్యాకింగ్ సమూహాలలో ఒకటి, మరియు వారు తమ ప్రచారాలను ఎప్పుడైనా నిలిపివేసే సూచనలు లేవు. రష్యా ప్రభుత్వం హ్యాకింగ్ గ్రూపుల సేవలను ఉపయోగించుకుంటుంది మరియు ఫ్యాన్సీ బేర్ అత్యధిక స్థాయి హ్యాకింగ్ సమూహాలలో ఒకటి.

APT28 యొక్క ఆరోపించిన సభ్యులపై జర్మన్ ఆరోపణలు

జూన్ 2020లో, జర్మన్ విదేశాంగ మంత్రిత్వ శాఖ రష్యా పౌరుడు డిమిత్రి బాడిన్‌పై "EU ఆంక్షలు" కోరుతుందని దేశంలోని రష్యా రాయబారికి తెలియజేసింది. అతను ఫ్యాన్సీ బేర్ / APT28కి కనెక్ట్ అయ్యాడని జర్మన్ అధికారులు విశ్వసిస్తున్నారు మరియు అతను జర్మన్ పార్లమెంట్‌పై 2015 సైబర్ దాడిలో పాల్గొన్నట్లు ఆధారాలు ఉన్నాయని పేర్కొన్నారు.
రష్యా విదేశాంగ మంత్రిత్వ శాఖ అధికార ప్రతినిధి Ms. జఖరోవా ఆరోపణలను "అసంబద్ధం" అని పిలిచారు మరియు వాటిని గట్టిగా తోసిపుచ్చారు, జర్మన్ అధికారులు ఉపయోగించిన సమాచారం US మూలాల నుండి వస్తున్నదని ఆమె నమ్మకాన్ని నొక్కి చెప్పారు. దాడిలో రష్యా ప్రమేయానికి సంబంధించిన ఏదైనా రుజువును అందించాలని ఆమె జర్మన్ అధికారులను కోరింది.