APT28

apt28 модний ведмедик Світ кіберзлочинності — це не лише хакери та погані актори, які хочуть швидко заробити, поширюючи фішингові спамові листи. Існують інші види загроз, які виходять за межі комерційних програм-вимагачів або дратівливих вірусів. Ці групи зазвичай називають розширеними акторами стійкої загрози або APT.

Найбільша відмінність між APT та групою хакерів, які поширюють шкідливе програмне забезпечення, полягає в тому, що APT найчастіше є спонсорованою державою організацією, чиї дії зазвичай використовуються для проникнення у високопрофільні, часто державні мережі, та вилучення конфіденційної чи конфіденційної інформації. «Постійна» частина визначення означає, що учасники групи мають визначені довгострокові цілі і не просто шукають безперервної грошової вигоди, зберігаючи прихований якомога довше, щоб уникнути виявлення.

Якщо припустити, що APT підтримується офіційним державним органом, ресурси, доступні для групи, також будуть набагато більшими, ніж ті, які можуть зібрати більшість кіберзлочинних організацій.


Цього тижня в епізоді 37 зловмисного програмного забезпечення, частина 2: спонсоровані державою хакери (APT28 Fancy Bear) націлені на виробників вакцин проти COVID-19

Числовий ідентифікатор, наданий різним APT, є просто зручним скороченням для дослідників безпеки, щоб говорити про них, не згадуючи їх усі псевдоніми, яких часто багато.

APT28 (Advanced Persistent Threat) — хакерська група, яка походить з Росії. Їхня діяльність припадає на середину 2000-х років. Дослідники шкідливого програмного забезпечення вважають, що кампанії групи APT28 фінансуються Кремлем, оскільки зазвичай вони націлені на іноземних політичних акторів. Хакерська група APT28 найбільш відома як Fancy Bear, але вона також відома під різними псевдонімами – Sofacy Group, STRONTIUM, Sednit, Pawn Storm і Tsar Team.

Сумнозвісні хакерські кампанії, проведені Fancy Bear

Експерти вважають, що Fancy Bear долучився до злому Національного комітету Демократичної партії 2016 року, який, на думку деяких, мав певний вплив на результати президентських виборів, що відбулися того ж року. У тому ж році група Fancy Bear також стала мішенню Всесвітнього антидопінгового агентства через скандал з російськими спортсменами. Дані, отримані Fancy Bear, потім були опубліковані та загальнодоступні. Дані показали, що деякі спортсмени, у яких був позитивний тест на допінг, пізніше були звільнені. У звіті Всесвітнього антидопінгового агентства зазначено, що заборонені речовини призначені для «терапевтичного застосування». У період з 2014 по 2017 рік група Fancy Bear брала участь у різноманітних кампаніях, спрямованих на представників ЗМІ в США, Росії, Україні, країнах Балтії та Молдові. Fancy Bear переслідував людей, які працюють у медіа-корпораціях, а також незалежних журналістів. Усі цілі були залучені до повідомлення про російсько-український конфлікт, який стався на сході України. У 2016 та 2017 роках у Німеччині та Франції відбулися великі вибори, і цілком ймовірно, що група Fancy Bear теж занурила пальці в ці пиріжки. Офіційні особи з обох країн повідомили, що була проведена кампанія з використанням фішингових листів як переносників інфекції, але вони заявили, що ніяких наслідків хакерської атаки не було.

На зображенні нижче показано демонстраційний шлях, який APT28/Fancy Bear використовує для здійснення кібер-вторгнення в певні цільові системи. Уряд США підтвердив такі дії вторгнення в політичну партію з боку першої групи акторів, APT29 у 2015 році, а потім другої, APT28, у 2016 році.

Методи атаки apt28
Діаграма, що демонструє дії та процеси техніки фішингу APT28/Fancy Bear та вторгнень у цільові системи - Джерело: US-Cert.gov

Інструменти Fancy Bear

Щоб уникнути сторонніх очей дослідників кібербезпеки, хакерська група Fancy Bear регулярно змінює свою інфраструктуру C&C (Command and Control). Група має вражаючий арсенал хакерських інструментів , які вони створили приватно – X-Agent, Xtunnel, Sofacy, JHUHUGIT, DownRange і CHOPSTICK. Часто замість прямого поширення Fancy Bear воліє розміщувати своє шкідливе програмне забезпечення на сторонніх веб-сайтах, які вони створюють, щоб імітувати законні сторінки, щоб обдурити своїх жертв.

Fancy Bear також використовує передові методи обфускації, які допомагають їм уникати виявлення якомога довше. Група почала додавати небажані дані в свої закодовані рядки, що дуже ускладнювало декодування інформації без спеціального алгоритму видалення небажаних бітів. Щоб ще більше перешкоджати дослідникам безпеки, APT28 також скидає часові позначки файлів і регулярно очищає журнали подій, щоб ускладнити відстеження шкідливої діяльності.

Fancy Bear є однією з найвідоміших хакерських груп, і немає жодних ознак того, що вони найближчим часом припинять свої кампанії. Відомо, що російський уряд користується послугами хакерських груп, а Fancy Bear є однією з найвищих хакерських груп.

Німецькі звинувачення проти ймовірних членів APT28

У червні 2020 року МЗС Німеччини повідомило посла Росії в країні, що буде домагатися "санкцій ЄС" проти громадянина Росії Дмитра Бадіна. Німецька влада вважає його пов’язаним з Fancy Bear / APT28 і стверджує, що має докази того, що він був причетний до кібератаки на німецький парламент у 2015 році.
Прес-секретар МЗС Росії пані Захарова назвала звинувачення «абсурдними» та рішуче відкинула їх, підкресливши, що вона переконана, що інформація, яку використовувала німецька влада, надходила з американських джерел. Вона також закликала німецьку владу надати будь-які докази причетності Росії до нападу.

В тренді

Найбільше переглянуті

Завантаження...