Share to: share facebook share twitter share wa share telegram print page

 

APT28

APT28 (ang. Advanced Persistent Threat 28), STRONTIUM, Sofacy lub Fancy Bear, to nazwy nadawane przez analityków dla określenia nieznanych sprawców powiązanych z szeregiem głośnych włamań i ataków komputerowych.

Specjaliści od bezpieczeństwa teleinformatycznego z takich firm jak Microsoft[1], CrowdStrike[2], Kaspersky Lab[3], FireEye[4] i ThreatConnect[5] określają ze stopniem pewności od średniego do wysokiego, że jest to rosyjskojęzyczna instytucja państwowa, prawdopodobnie część GRU – wywiadu wojskowego Federacji Rosyjskiej.

Grupa ta została powiązana z włamaniami lub próbami włamań do systemów parlamentu Niemiec, Białego Domu, Komisji Europejskiej, Banku Światowego, NATO[4], amerykańskiej Partii Demokratycznej[6] i innych instytucji, m.in. na Ukrainie, w Turcji[5], oraz w Gruzji w czasie konfliktów tych krajów z Rosją. Część incydentów dotyczyła też Polski[7]. Celem działania APT28 wydaje się być prowadzenie ataków teleinformatycznych zgodnych z zadaniami politycznymi GRU.

Grupa APT28 zdradza dysponowanie dużymi zasobami i możliwościami, przykładowo, w ciągu zaledwie czterech miesięcy w 2016 r. wykorzystała sześć nowych, nieznanych z innych źródeł exploitów typu zero-day na zamknięte oprogramowanie[8]. Narzędzia jakimi posługuje się organizacja są złożone i programowane w metodycznym i profesjonalnym środowisku, w godzinach roboczych odpowiadających moskiewskiej strefie czasowej[4][9][10]. Grupa korzysta też z VPN, płatności przy pomocy bitcoinów, oraz fałszywych tożsamości, takich jak Guccifer 2.0 lub Anonymous Poland w celu ukrycia swojego prawdziwego pochodzenia. Wykryto jednak przesłanki wiążące te tożsamości z resztą działalności APT28[11].

Działalność grupy

Działalność APT28 sięga co najmniej 2004 r.[12], jednak grupa została zidentyfikowana publicznie po raz pierwszy w 2014 r. przez analityków firmy FireEye. Powiązali oni zbiór charakterystycznych i spójnych narzędzi i technik z ataków na cele publiczne w państwach Kaukazu, Europy Środkowej i Wschodniej (m.in. Polsce), oraz NATO, w prawdopodobny obraz działalności państwowej organizacji zajmującej się wojną i szpiegostwem teleinformatycznym[4].

Parlament niemiecki (od 2014)

W 2016 r., kontrwywiad niemiecki wysunął publiczne oskarżenie w stosunku do władz Rosji, zarzucając im kierowanie APT28 i prowadzenie kampanii włamań teleinformatycznych wymierzonej w niemiecki parlament[12]. Atak wykryto w trakcie 2015 r., gdy na ok. 20 000 komputerów stwierdzono obecność szkodliwego oprogramowania służącego do śledzenia i wykradania danych[13].

Telewizja TV5 Monde (2015)

8 kwietnia 2015 r. systemy francuskiej telewizji TV5 Monde padła ofiarą włamania, pod którym podpisała się grupa „CyberCaliphate”, mająca być powiązana z ISIL. Transmisja programów została zakłócona na trzy godziny, przejęte zostały także profile społecznościowe ofiary. W trakcie dochodzenia odrzucono powiązanie z Państwem Islamskim, i skierowano śledztwo w stronę APT28 i służb rosyjskich[14].

Światowa Agencja Antydopingowa (2016)

W trakcie skandalu związanego z wykryciem dopingu u licznych sportowców rosyjskich w trakcie Letnich Igrzysk Olimpijskich 2016[15], Światowa Agencja Antydopingowa oraz Sportowy Sąd Arbitrażowy padły ofiarą włamania komputerowego, do którego przyznał się nieaktywny wcześniej użytkownik Twittera Anonymous Poland. Upublicznił on następnie dane wykradzione z prywatnych serwerów tych instytucji[16]. Analitycy, m.in. firmy ThreatConnect, powiązali narzędzia i metody włamania z typowym profilem działalności APT28, oraz wysunęli podejrzenie, że rzekome „Anonymous Poland” to fałszywa tożsamość. Zauważono między innymi, że film udostępniony przez tego użytkownika zdradza, że korzystał on z wyszukiwarki Google.ru[17][18].

Przecieki z amerykańskiej Partii Demokratycznej (2015-2016)

W trakcie kampanii wyborczej przed wyborami prezydenckimi w USA w 2016 r., władze Partii Demokratycznej oraz sztab jej kandydatki Hillary Clinton padły ofiarą głośnych włamań i anonimowych wycieków danych. Analitycy CrowdStrike zatrudnieni przez partię do zbadania ataku przypisali odpowiedzialność APT28 (oraz APT-29, prawdopodobnie powiązane z rosyjską służbą specjalną FSB)[19][20]. W krótkim czasie do ataku przyznała się anonimowa osoba o pseudonimie Guccifer 2.0, rzekomo informatyk pochodzenia rumuńskiego. Późniejsze analizy ThreatConnect powiązały tę tożsamość z narzędziami i VPN używanymi przez APT28, i uznały, że jest ona prawdopodobnie fałszywa[6][21]. Opinie te podzielają również analitycy SecureWorks[22].

Śledztwo w sprawie zestrzelenia samolotu Malaysia Airlines (2015-2016)

Oficjalna instytucja śledcza oraz dziennikarze holenderscy zajmujący się zestrzeleniem samolotu Malaysia Airlines nad obwodem donieckim na Ukrainie padli zdaniem analityków ThreatConnect w 2016 r. ofiarą prób phishingu i włamań przy pomocy narzędzi i serwerów, jakich używa grupa APT28. Do ataków miała się przyznać rzekoma grupa ukraińska CyberBerkut, jednak według analiz ThreatConnect, jest to fałszywa tożsamość[23].

Artyleria ukraińska (od 2014)

Raport CrowdStrike opublikowany w grudniu 2016 r. opisuje wykryte w Internecie złośliwe oprogramowanie, zaprojektowane specyficznie do celu infekowania i wywoływania uszkodzeń w oprogramowaniu obsługującym artylerię stosowaną w konflikcie na wschodniej Ukrainie. W oprogramowaniu znaleziono moduły charakterystyczne dla APT28[24]. Minister Obrony Ukrainy zaprzeczył jednak, by zaobserwowano w związku z tym straty sprzętu[25].

Polskie instytucje rządowe (od 2016)

Analiza firmy Prevenity powiązała z APT28 próby wąsko wymierzonych włamań do polskich instytucji rządowych, takie jak Ministerstwo Spraw Zagranicznych, dokonane w maju oraz od grudnia 2016 r., na podstawie charakterystycznych cech zastosowanego złośliwego oprogramowania[26]. Była to część ataków obejmujących również instytucje rządowe w USA i innych krajach NATO, które opisały także firmy Palo Alto i Cisco Talos[27][28].

Przypisy

  1. Microsoft Security Intelligence Report Volume 19 is now available | Microsoft Secure Blog [online], blogs.microsoft.com [dostęp 2017-01-11].
  2. Who is FANCY BEAR? » [online], 12 września 2016 [dostęp 2017-01-11] (ang.).
  3. Grupa cyberszpiegowska Sofacy wraca do gry z nowymi szkodliwymi narzędziami | Kaspersky Lab [online], www.kaspersky.pl [dostęp 2017-01-11].
  4. a b c d APT28: A Window into Russia’s Cyber Espionage Operations? « Threat Research Blog [online], FireEye [dostęp 2017-01-11].
  5. a b Can a BEAR Fit Down a Rabbit Hole? [online], www.threatconnect.com [dostęp 2017-01-11].
  6. a b ThreatConnect Identifies DCLeaks As Another Russian-backed Influence Outlet [online], www.threatconnect.com [dostęp 2017-01-11].
  7. Operation Pawn Storm: The Red in SEDNIT – TrendLabs Security Intelligence Blog, „TrendLabs Security Intelligence Blog”, 22 października 2014 [dostęp 2017-01-11] (ang.).
  8. Office, Java Patches Erase Latest APT 28 Zero Days, „Threatpost | The first stop for security news”, 16 lipca 2015 [dostęp 2017-01-11] (ang.).
  9. InfoSec Resources – APT28: Cybercrime or State-sponsored Hacking? [online], resources.infosecinstitute.com [dostęp 2017-01-11].
  10. Sofacy APT hits high profile targets with updated toolset – Securelist [online], securelist.com [dostęp 2017-01-11] [zarchiwizowane z adresu 2015-12-13].
  11. Guccifer 2.0: All Roads Lead to Russia [online], www.threatconnect.com [dostęp 2017-01-11].
  12. a b Russia 'was behind German parliament hack’, „BBC News”, 13 maja 2016 [dostęp 2017-01-11] (ang.).
  13. German parliament cyber-attack still ‘live’, „BBC News”, 11 czerwca 2015 [dostęp 2017-01-11] (ang.).
  14. France probes Russian lead in TV5Monde hacking: sources, „Reuters”, 10 czerwca 2017 [dostęp 2017-01-11].
  15. WADA Statement: Independent Investigation confirms Russian State manipulation of the doping control process (July 18, 2016), „World Anti-Doping Agency”, 18 lipca 2016 [dostęp 2017-01-11].
  16. Catalin Cimpanu, Anonymous Hacks World Anti-Doping Agency & International Sports Court, „softpedia” [dostęp 2017-01-11].
  17. Russian Cyber Operations On Steroids [online], www.threatconnect.com [dostęp 2017-01-11].
  18. Catalin Cimpanu, Russia Behind World Anti-Doping Agency & International Sports Court Hacks, „softpedia” [dostęp 2017-01-11] [zarchiwizowane z adresu 2016-08-23].
  19. Bears in the Midst: Intrusion into the Democratic National Committee » [online], 15 czerwca 2016 [dostęp 2017-01-11] (ang.).
  20. Bear on bear, „The Economist”, 24 września 2016, ISSN 0013-0613 [dostęp 2017-01-11].
  21. Fancy Bears and Where to Find Them [online], threatconnect.com [dostęp 2017-01-11].
  22. Hillary Clinton Email Targeted by Threat Group-4127 [online], www.secureworks.com [dostęp 2017-01-12].
  23. ThreatConnect reviews activity targeting Bellingcat, a key contributor in the MH17 investigation. [online], www.threatconnect.com [dostęp 2017-01-11].
  24. Danger Close: Fancy Bear Tracking of Ukrainian Field Artillery Units [online], 22 grudnia 2016 [dostęp 2017-01-11] (ang.).
  25. Defense ministry denies reports of alleged artillery losses because of Russian hackers’ break into software, „Interfax-Ukraine” [dostęp 2017-01-11].
  26. Prevenity, Ataki na instytucje rządowe – grudzień 2016 [online], malware.prevenity.com [dostęp 2017-02-04].
  27. New Sofacy Attacks Against US Government Agency – Palo Alto Networks Blog, „Palo Alto Networks Blog”, 14 czerwca 2016 [dostęp 2017-02-04] (ang.).
  28. Cisco’s Talos Intelligence Group Blog, Matryoshka Doll Reconnaissance Framework [online], blog.talosintel.com [dostęp 2017-02-04].
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya