APT28 – Tajemnicza Grupa Hakerska
APT28 (ang. Advanced Persistent Threat 28), znana również jako STRONTIUM, Sofacy lub Fancy Bear, to określenia nadawane przez analityków dla grupy nieznanych sprawców związanych z wieloma głośnymi incydentami hakerskimi i atakami komputerowymi.
Eksperci zajmujący się bezpieczeństwem IT z takich firm jak Microsoft, CrowdStrike, Kaspersky Lab, FireEye oraz ThreatConnect z dużą pewnością określają, że grupa ta ma powiązania z rosyjskojęzyczną instytucją państwową, prawdopodobnie związaną z GRU – wywiadem wojskowym Federacji Rosyjskiej.
APT28 jest związana z próbami włamania do systemów takich jak parlament Niemiec, Biały Dom, Komisja Europejska, Bank Światowy, NATO oraz amerykańska Partia Demokratyczna. Inne cele to instytucje na Ukrainie, w Turcji oraz w Gruzji w kontekście konfliktów z Rosją. Niektóre incydenty dotyczyły również Polski. Celem działań APT28 zdaje się być prowadzenie ataków cybernetycznych zgodnych z politycznymi celami GRU.
Grupa APT28 wykazuje znaczne zasoby i umiejętności, na przykład w 2016 roku, w ciągu zaledwie czterech miesięcy, wykorzystała sześć nowych, nieznanych wcześniej exploitów typu zero-day w zamkniętym oprogramowaniu. Narzędzia, z których korzysta ta organizacja, są zaawansowane i opracowywane w metodycznym oraz profesjonalnym środowisku, w godzinach roboczych odpowiadających strefie czasowej Moskwy. Grupa używa również VPN, płatności w bitcoinach oraz fałszywych tożsamości, takich jak Guccifer 2.0 czy Anonymous Poland, aby ukryć swoje prawdziwe pochodzenie. Niemniej jednak, zidentyfikowano dowody łączące te tożsamości z działalnością APT28.
Działalność grupy
Działalność APT28 sięga przynajmniej 2004 roku, jednak po raz pierwszy została publicznie zidentyfikowana w 2014 roku przez analityków firmy FireEye. Powiązali oni zestaw charakterystycznych narzędzi i technik z atakami na cele publiczne w krajach Kaukazu, Europy Środkowej i Wschodniej (w tym w Polsce) oraz NATO, co sugeruje działalność państwowej organizacji zajmującej się cyberwojną i szpiegostwem.
Parlament niemiecki (od 2014)
W 2016 roku niemiecki kontrwywiad publicznie oskarżył władze Rosji o kierowanie APT28 i prowadzenie kampanii włamań teleinformatycznych skierowanych przeciwko niemieckiemu parlamentowi. Atak został wykryty w 2015 roku, gdy na około 20 000 komputerów znaleziono złośliwe oprogramowanie służące do monitorowania i kradzieży danych.
Telewizja TV5 Monde (2015)
8 kwietnia 2015 roku systemy francuskiej telewizji TV5 Monde zostały zaatakowane, a sprawcy podpisali się jako grupa „CyberCaliphate”, rzekomo związana z ISIL. Transmisja programów została wstrzymana na trzy godziny, a profile społecznościowe ofiary zostały przejęte. W trakcie dochodzenia odrzucono powiązania z Państwem Islamskim i skierowano śledztwo w stronę APT28 oraz rosyjskich służb.
Światowa Agencja Antydopingowa (2016)
Podczas skandalu dopingowego związane z wykryciem nielegalnych substancji u wielu rosyjskich sportowców podczas Letnich Igrzysk Olimpijskich 2016, Światowa Agencja Antydopingowa oraz Sportowy Sąd Arbitrażowy stały się ofiarami włamania komputerowego. Rzekomy użytkownik Twittera Anonymous Poland przyznał się do ataku i ujawnił dane wykradzione z prywatnych serwerów tych instytucji. Analitycy, w tym z ThreatConnect, powiązali techniki włamania z charakterystycznym profilem APT28 oraz uznali, że „Anonymous Poland” to fałszywa tożsamość, zauważając, że film opublikowany przez tego użytkownika wskazywał na korzystanie z wyszukiwarki Google.ru.
Przecieki z amerykańskiej Partii Demokratycznej (2015-2016)
W trakcie kampanii wyborczej przed wyborami prezydenckimi w USA w 2016 roku, władze Partii Demokratycznej oraz sztab kandydatki Hillary Clinton zostali ofiarami głośnych włamań i anonimowych wycieków danych. Analitycy CrowdStrike, zatrudnieni przez partię do zbadania ataku, przypisali odpowiedzialność APT28 (oraz APT-29, prawdopodobnie związane z rosyjskim FSB). Niedługo po ataku, anonimowa osoba o pseudonimie Guccifer 2.0 przyznała się do ataku, twierdząc, że jest rumuńskim informatykiem. Późniejsze analizy ThreatConnect powiązały tę tożsamość z narzędziami i VPN używanymi przez APT28, uznając ją za prawdopodobnie fałszywą, co potwierdzają również analitycy SecureWorks.
Śledztwo w sprawie zestrzelenia samolotu Malaysia Airlines (2015-2016)
Oficjalne instytucje śledcze oraz dziennikarze holenderscy, prowadzący dochodzenie w sprawie zestrzelenia samolotu Malaysia Airlines nad obwodem donieckim na Ukrainie, zostali w 2016 roku, według analityków ThreatConnect, ofiarami prób phishingu i włamań przy użyciu narzędzi i serwerów wykorzystywanych przez APT28. Rzekoma grupa ukraińska CyberBerkut przyznała się do ataków, jednak analizy ThreatConnect uznały tę tożsamość za fałszywą.
Artyleria ukraińska (od 2014)
Raport CrowdStrike opublikowany w grudniu 2016 roku opisuje złośliwe oprogramowanie wykryte w Internecie, zaprojektowane w celu infekowania i uszkadzania oprogramowania używanego w systemach artyleryjskich w konflikcie na wschodniej Ukrainie. W oprogramowaniu znaleziono moduły typowe dla APT28. Minister Obrony Ukrainy zaprzeczył jednak, że odnotowano jakiekolwiek straty sprzętu w związku z tym incydentem.
Polskie instytucje rządowe (od 2016)
Analiza przeprowadzona przez firmę Prevenity powiązała z APT28 próby włamań do polskich instytucji rządowych, takich jak Ministerstwo Spraw Zagranicznych, które miały miejsce w maju oraz grudniu 2016 roku, na podstawie charakterystycznych cech użytego złośliwego oprogramowania. Była to część szerszych ataków, które obejmowały również instytucje rządowe w USA oraz innych krajach NATO, o czym informowały także firmy Palo Alto i Cisco Talos.