APT28

APT28 (ang. Advanced Persistent Threat 28), STRONTIUM, Sofacy lub Fancy Bear, to nazwy nadawane przez analityków dla określenia nieznanych sprawców powiązanych z szeregiem głośnych włamań i ataków komputerowych.

Specjaliści od bezpieczeństwa teleinformatycznego z takich firm jak Microsoft^[1], CrowdStrike^[2], Kaspersky Lab^[3], FireEye^[4] i ThreatConnect^[5] określają ze stopniem pewności od średniego do wysokiego, że jest to rosyjskojęzyczna instytucja państwowa, prawdopodobnie część GRU – wywiadu wojskowego Federacji Rosyjskiej.

Grupa ta została powiązana z włamaniami lub próbami włamań do systemów parlamentu Niemiec, Białego Domu, Komisji Europejskiej, Banku Światowego, NATO^[4], amerykańskiej Partii Demokratycznej^[6] i innych instytucji, m.in. na Ukrainie, w Turcji^[5], oraz w Gruzji w czasie konfliktów tych krajów z Rosją. Część incydentów dotyczyła też Polski^[7]. Celem działania APT28 wydaje się być prowadzenie ataków teleinformatycznych zgodnych z zadaniami politycznymi GRU.

Grupa APT28 zdradza dysponowanie dużymi zasobami i możliwościami, przykładowo, w ciągu zaledwie czterech miesięcy w 2016 r. wykorzystała sześć nowych, nieznanych z innych źródeł exploitów typu zero-day na zamknięte oprogramowanie^[8]. Narzędzia jakimi posługuje się organizacja są złożone i programowane w metodycznym i profesjonalnym środowisku, w godzinach roboczych odpowiadających moskiewskiej strefie czasowej^[4][9][10]. Grupa korzysta też z VPN, płatności przy pomocy bitcoinów, oraz fałszywych tożsamości, takich jak Guccifer 2.0 lub Anonymous Poland w celu ukrycia swojego prawdziwego pochodzenia. Wykryto jednak przesłanki wiążące te tożsamości z resztą działalności APT28^[11].

Działalność grupy

Działalność APT28 sięga co najmniej 2004 r.^[12], jednak grupa została zidentyfikowana publicznie po raz pierwszy w 2014 r. przez analityków firmy FireEye. Powiązali oni zbiór charakterystycznych i spójnych narzędzi i technik z ataków na cele publiczne w państwach Kaukazu, Europy Środkowej i Wschodniej (m.in. Polsce), oraz NATO, w prawdopodobny obraz działalności państwowej organizacji zajmującej się wojną i szpiegostwem teleinformatycznym^[4].

Parlament niemiecki (od 2014)

W 2016 r., kontrwywiad niemiecki wysunął publiczne oskarżenie w stosunku do władz Rosji, zarzucając im kierowanie APT28 i prowadzenie kampanii włamań teleinformatycznych wymierzonej w niemiecki parlament^[12]. Atak wykryto w trakcie 2015 r., gdy na ok. 20 000 komputerów stwierdzono obecność szkodliwego oprogramowania służącego do śledzenia i wykradania danych^[13].

Telewizja TV5 Monde (2015)

8 kwietnia 2015 r. systemy francuskiej telewizji TV5 Monde padła ofiarą włamania, pod którym podpisała się grupa „CyberCaliphate”, mająca być powiązana z ISIL. Transmisja programów została zakłócona na trzy godziny, przejęte zostały także profile społecznościowe ofiary. W trakcie dochodzenia odrzucono powiązanie z Państwem Islamskim, i skierowano śledztwo w stronę APT28 i służb rosyjskich^[14].

Światowa Agencja Antydopingowa (2016)

W trakcie skandalu związanego z wykryciem dopingu u licznych sportowców rosyjskich w trakcie Letnich Igrzysk Olimpijskich 2016^[15], Światowa Agencja Antydopingowa oraz Sportowy Sąd Arbitrażowy padły ofiarą włamania komputerowego, do którego przyznał się nieaktywny wcześniej użytkownik Twittera Anonymous Poland. Upublicznił on następnie dane wykradzione z prywatnych serwerów tych instytucji^[16]. Analitycy, m.in. firmy ThreatConnect, powiązali narzędzia i metody włamania z typowym profilem działalności APT28, oraz wysunęli podejrzenie, że rzekome „Anonymous Poland” to fałszywa tożsamość. Zauważono między innymi, że film udostępniony przez tego użytkownika zdradza, że korzystał on z wyszukiwarki Google.ru^[17][18].

Przecieki z amerykańskiej Partii Demokratycznej (2015-2016)

W trakcie kampanii wyborczej przed wyborami prezydenckimi w USA w 2016 r., władze Partii Demokratycznej oraz sztab jej kandydatki Hillary Clinton padły ofiarą głośnych włamań i anonimowych wycieków danych. Analitycy CrowdStrike zatrudnieni przez partię do zbadania ataku przypisali odpowiedzialność APT28 (oraz APT-29, prawdopodobnie powiązane z rosyjską służbą specjalną FSB)^[19][20]. W krótkim czasie do ataku przyznała się anonimowa osoba o pseudonimie Guccifer 2.0, rzekomo informatyk pochodzenia rumuńskiego. Późniejsze analizy ThreatConnect powiązały tę tożsamość z narzędziami i VPN używanymi przez APT28, i uznały, że jest ona prawdopodobnie fałszywa^[6][21]. Opinie te podzielają również analitycy SecureWorks^[22].

Śledztwo w sprawie zestrzelenia samolotu Malaysia Airlines (2015-2016)

Oficjalna instytucja śledcza oraz dziennikarze holenderscy zajmujący się zestrzeleniem samolotu Malaysia Airlines nad obwodem donieckim na Ukrainie padli zdaniem analityków ThreatConnect w 2016 r. ofiarą prób phishingu i włamań przy pomocy narzędzi i serwerów, jakich używa grupa APT28. Do ataków miała się przyznać rzekoma grupa ukraińska CyberBerkut, jednak według analiz ThreatConnect, jest to fałszywa tożsamość^[23].

Artyleria ukraińska (od 2014)

Raport CrowdStrike opublikowany w grudniu 2016 r. opisuje wykryte w Internecie złośliwe oprogramowanie, zaprojektowane specyficznie do celu infekowania i wywoływania uszkodzeń w oprogramowaniu obsługującym artylerię stosowaną w konflikcie na wschodniej Ukrainie. W oprogramowaniu znaleziono moduły charakterystyczne dla APT28^[24]. Minister Obrony Ukrainy zaprzeczył jednak, by zaobserwowano w związku z tym straty sprzętu^[25].

Polskie instytucje rządowe (od 2016)

Analiza firmy Prevenity powiązała z APT28 próby wąsko wymierzonych włamań do polskich instytucji rządowych, takie jak Ministerstwo Spraw Zagranicznych, dokonane w maju oraz od grudnia 2016 r., na podstawie charakterystycznych cech zastosowanego złośliwego oprogramowania^[26]. Była to część ataków obejmujących również instytucje rządowe w USA i innych krajach NATO, które opisały także firmy Palo Alto i Cisco Talos^[27][28].

Przypisy

1. Microsoft Security Intelligence Report Volume 19 is now available | Microsoft Secure Blog [online], blogs.microsoft.com [dostęp 2017-01-11] .
2. Who is FANCY BEAR? » [online], 12 września 2016 [dostęp 2017-01-11]  (ang.).
3. Grupa cyberszpiegowska Sofacy wraca do gry z nowymi szkodliwymi narzędziami | Kaspersky Lab [online], www.kaspersky.pl [dostęp 2017-01-11] .
4. APT28: A Window into Russia’s Cyber Espionage Operations? « Threat Research Blog [online], FireEye [dostęp 2017-01-11] .
5. Can a BEAR Fit Down a Rabbit Hole? [online], www.threatconnect.com [dostęp 2017-01-11] .
6. ThreatConnect Identifies DCLeaks As Another Russian-backed Influence Outlet [online], www.threatconnect.com [dostęp 2017-01-11] .
7. Operation Pawn Storm: The Red in SEDNIT – TrendLabs Security Intelligence Blog, „TrendLabs Security Intelligence Blog”, 22 października 2014 [dostęp 2017-01-11]  (ang.).
8. Office, Java Patches Erase Latest APT 28 Zero Days, „Threatpost | The first stop for security news”, 16 lipca 2015 [dostęp 2017-01-11]  (ang.).
9. InfoSec Resources – APT28: Cybercrime or State-sponsored Hacking? [online], resources.infosecinstitute.com [dostęp 2017-01-11] .
10. Sofacy APT hits high profile targets with updated toolset – Securelist [online], securelist.com [dostęp 2017-01-11] [zarchiwizowane z adresu 2015-12-13] .
11. Guccifer 2.0: All Roads Lead to Russia [online], www.threatconnect.com [dostęp 2017-01-11] .
12. Russia 'was behind German parliament hack’, „BBC News”, 13 maja 2016 [dostęp 2017-01-11]  (ang.).
13. German parliament cyber-attack still ‘live’, „BBC News”, 11 czerwca 2015 [dostęp 2017-01-11]  (ang.).
14. France probes Russian lead in TV5Monde hacking: sources, „Reuters”, 10 czerwca 2017 [dostęp 2017-01-11] .
15. WADA Statement: Independent Investigation confirms Russian State manipulation of the doping control process (July 18, 2016), „World Anti-Doping Agency”, 18 lipca 2016 [dostęp 2017-01-11] .
16. CatalinC. Cimpanu CatalinC., Anonymous Hacks World Anti-Doping Agency & International Sports Court, „softpedia” [dostęp 2017-01-11] .
17. Russian Cyber Operations On Steroids [online], www.threatconnect.com [dostęp 2017-01-11] .
18. CatalinC. Cimpanu CatalinC., Russia Behind World Anti-Doping Agency & International Sports Court Hacks, „softpedia” [dostęp 2017-01-11] [zarchiwizowane z adresu 2016-08-23] .
19. Bears in the Midst: Intrusion into the Democratic National Committee » [online], 15 czerwca 2016 [dostęp 2017-01-11]  (ang.).
20. Bear on bear, „The Economist”, 24 września 2016, ISSN 0013-0613 [dostęp 2017-01-11] .brak strony (czasopismo)
21. Fancy Bears and Where to Find Them [online], threatconnect.com [dostęp 2017-01-11] .
22. Hillary Clinton Email Targeted by Threat Group-4127 [online], www.secureworks.com [dostęp 2017-01-12] .
23. ThreatConnect reviews activity targeting Bellingcat, a key contributor in the MH17 investigation. [online], www.threatconnect.com [dostęp 2017-01-11] .
24. Danger Close: Fancy Bear Tracking of Ukrainian Field Artillery Units [online], 22 grudnia 2016 [dostęp 2017-01-11]  (ang.).
25. Defense ministry denies reports of alleged artillery losses because of Russian hackers’ break into software, „Interfax-Ukraine” [dostęp 2017-01-11] .
26. Prevenity, Ataki na instytucje rządowe – grudzień 2016 [online], malware.prevenity.com [dostęp 2017-02-04] .
27. New Sofacy Attacks Against US Government Agency – Palo Alto Networks Blog, „Palo Alto Networks Blog”, 14 czerwca 2016 [dostęp 2017-02-04]  (ang.).
28. Cisco’s Talos Intelligence Group Blog, Matryoshka Doll Reconnaissance Framework [online], blog.talosintel.com [dostęp 2017-02-04] .