APT28
Ang mundo ng cyber crime ay hindi lamang tungkol sa mga hacker at masasamang aktor na naghahanap ng mabilis na pera, na kumakalat sa mga phishing na spam email. Mayroong ibang uri ng mga banta na aktor na higit pa sa for-profit na ransomware o nakakainis na mga virus. Ang mga grupong iyon ay karaniwang tinatawag na Advanced Persistent Threat actors, o APTs.
Ang pinakamalaking pagkakaiba sa pagitan ng isang APT at isang pangkat ng mga hacker na nagpapakalat ng malware ay ang isang APT ay karaniwang isang organisasyong itinataguyod ng estado, na ang mga aksyon ay karaniwang ginagamit upang makalusot sa mataas na profile, kadalasan sa mga network ng gobyerno, at kumuha ng sensitibo o kumpidensyal na impormasyon. Ang "patuloy" na bahagi ng kahulugan ay nagpapahiwatig na ang mga aktor sa grupo ay may tinukoy, pangmatagalang layunin at hindi lamang naghahanap ng mga hit-and-run na kita sa pera, na pinapanatili ang mababang profile hangga't maaari upang maiwasan ang pagtuklas.
Kung ipagpalagay na ang isang APT ay sinusuportahan ng isang opisyal na awtoridad ng estado, ang mga mapagkukunang magagamit sa grupo ay magiging mas malaki kaysa sa kung ano ang maaaring tipunin ng karamihan sa mga organisasyong cybercriminal.
Ngayong Linggo Sa Malware Episode 37 Bahagi 2: Mga Hacker na Sponsored ng Estado (APT28 Fancy Bear) Target ang mga Gumawa ng Bakuna sa COVID-19
Ang numeric identifier na ibinigay sa iba't ibang APT ay maginhawang shorthand lamang para sa mga mananaliksik ng seguridad na pag-usapan ang tungkol sa mga ito nang hindi binabanggit ang kanilang mga buong alyas, na kung saan ay madalas na marami.
Ang APT28 (Advanced Persistent Threat) ay isang hacking group na nagmula sa Russia. Ang kanilang aktibidad ay nagsimula noong kalagitnaan ng 2000s. Naniniwala ang mga mananaliksik ng malware na ang mga kampanya ng grupong APT28 ay pinondohan ng Kremlin, dahil karaniwan nilang pinupuntirya ang mga dayuhang aktor sa pulitika. Ang APT28 hacking group ay pinakamahusay na kilala bilang Fancy Bear, ngunit ito rin ay kinikilala sa ilalim ng iba't ibang mga alias - Sofacy Group, STRONTIUM, Sednit, Pawn Storm at Tsar Team.
Talaan ng mga Nilalaman
Ang Nakakahiyang Mga Kampanya sa Pag-hack na Isinagawa ng Fancy Bear
Naniniwala ang mga eksperto na may kinalaman ang Fancy Bear sa 2016 Democratic National Committee hack, na pinaniniwalaan ng ilan na may ilang impluwensya sa resulta ng Presidential Elections na nagaganap sa parehong taon. Sa parehong taon, pinuntirya rin ng grupong Fancy Bear ang World Anti-Doping Agency dahil sa iskandalo na kinasasangkutan ng mga Russian athletes. Ang data na nakuha ng Fancy Bear ay na-publish at magagamit sa publiko. Ang data ay nagsiwalat na ang ilan sa mga atleta na nagpositibo sa doping ay na-exempt sa kalaunan. Ang ulat ng World Anti-doping Agency ay nagsabi na ang mga ipinagbabawal na sangkap ay para sa 'therapeutic use.' Sa panahon ng 2014 hanggang 2017, ang grupong Fancy Bear ay kasangkot sa iba't ibang mga kampanya na nagta-target sa mga personalidad ng media sa United States, Russia, Ukraine, Baltic States at Moldova. Hinabol ni Fancy Bear ang mga indibidwal na nagtatrabaho sa mga korporasyon ng media, pati na rin ang mga independiyenteng mamamahayag. Ang lahat ng mga target ay kasangkot sa pag-uulat ng Russia-Ukraine conflict na naganap sa Eastern Ukraine. Noong 2016 at 2017, nagkaroon ng malalaking halalan ang Germany at France, at malamang na isinawsaw din ng grupong Fancy Bear ang kanilang mga daliri sa mga pie na ito. Ang mga opisyal mula sa parehong bansa ay nag-ulat na ang isang kampanyang gumagamit ng mga email ng spear-phishing bilang mga vector ng impeksyon ay naganap, ngunit sinabi nila na walang mga kahihinatnan ng pag-atake ng pag-hack.
Ang larawan sa ibaba ay isang demonstration path na ginagamit ng APT28/Fancy Bear upang isagawa ang mga cyber intrusions nito laban sa ilang mga naka-target na system. Kinumpirma ng Pamahalaan ng US ang gayong mga pagkilos ng panghihimasok sa partido ng pulitika mula sa unang grupo ng aktor, APT29 noong 2015, at pagkatapos ay ang pangalawa, APT28, hanggang 2016.
Diagram na nagpapakita ng mga aksyon at proseso ng mga diskarte at panghihimasok ng spear-phishing ng APT28/Fancy Bear laban sa mga naka-target na system - Source: US-Cert.gov
Mga Tool ng Fancy Bear
Upang makaiwas sa mapanlinlang na mga mata ng mga mananaliksik sa cybersecurity, tinitiyak ng Fancy Bear hacking group na regular na babaguhin ang kanilang imprastraktura ng C&C (Command and Control). Ang grupo ay may kahanga-hangang arsenal ng mga tool sa pag-hack , na ginawa nila nang pribado – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange at CHOPSTICK. Kadalasan, sa halip na direktang pagpapalaganap, mas pinipili ng Fancy Bear na i-host ang malware nito sa mga third-party na website, na kanilang binuo upang gayahin ang mga lehitimong pahina upang linlangin ang kanilang mga biktima.
Gumagamit din ang Fancy Bear ng mga advanced na obfuscation technique na tumutulong sa kanila na maiwasan ang pag-detect hangga't maaari. Nagsimula ang grupo na magdagdag ng junk data sa kanilang mga naka-encode na string, na ginagawang napakahirap i-decode ang impormasyon nang walang partikular na algorithm upang alisin ang mga junk bit. Upang higit pang hadlangan ang mga mananaliksik sa seguridad, nire-reset din ng APT28 ang mga timestamp ng mga file at regular na nililinis ang mga log ng kaganapan upang gawing mas mahirap ang pagsubaybay sa malisyosong aktibidad.
Ang Fancy Bear ay isa sa mga pinakakilalang grupo ng pag-hack, at walang mga indikasyon na ititigil nila ang kanilang mga kampanya anumang oras sa lalong madaling panahon. Ang gobyerno ng Russia ay kilala na gumagamit ng mga serbisyo ng mga grupo ng pag-hack, at ang Fancy Bear ay isa sa pinakamataas na antas ng mga grupo ng pag-hack out doon.
Mga Paratang ng Aleman Laban sa Mga Di-umano'y Miyembro ng APT28
Noong Hunyo 2020, ipinaalam ng German Foreign Ministry sa Russian ambassador sa bansa na ito ay humingi ng "EU sanction" laban sa Russian citizen na si Dmitriy Badin. Naniniwala ang mga awtoridad ng German na konektado siya sa Fancy Bear / APT28 at sinasabing may ebidensya siya na sangkot siya sa isang cyber attack noong 2015 sa German parliament.
Tinawag ng tagapagsalita ng Russian Foreign Ministry na si Ms. Zakharova ang mga paratang na "walang katotohanan" at mariing ibinasura ang mga ito, na binibigyang-diin ang kanyang paniniwala na ang impormasyong ginamit ng mga awtoridad ng Aleman ay nagmumula sa mga pinagmumulan ng US. Hinimok din niya ang mga awtoridad ng Aleman na magbigay ng anumang patunay ng pagkakasangkot ng Russia sa pag-atake.
