Мащабна кибершпионска кампания, провеждана от подкрепяната от руската държава хакерска група APT28 (известна още като Fancy Bear или Forest Blizzard), е насочена към международни организации от 2022 г. насам. Целта на атаките е събиране на чувствителна информация и саботиране на усилията за доставка на хуманитарна и военна помощ към Украйна.

Кои сектори и държави са засегнати?

Атаките са фокусирани върху организации в следните ключови сектори:

• отбрана,

• транспорт,

• информационни технологии,

• въздушен трафик,

• морски транспорт.

Засегнати са институции и компании в САЩ, България, Чехия, Франция, Германия, Гърция, Италия, Молдова, Нидерландия, Полша, Румъния, Словакия и Украйна.

Шпионаж чрез камери и достъп до логистична информация

Една от най-забележителните тактики е компрометиране на частни интернет-свързани камери, разположени на ключови локации – гранични пунктове, военни обекти, железопътни гари и други. По този начин хакерите проследяват движението на материални средства и логистиката на помощ към Украйна.

Повече от 10 000 камери са били цел на атаките, като над 80% от тях се намират в Украйна, а почти 1000 — в Румъния.

Тактики и техники на APT28

Според съвместен доклад на 21 разузнавателни и кибер агенции от Западна Европа и САЩ, групата използва следните методи:

• Password spraying и брут форс атаки;

• Spear-phishing за кражба на идентификационни данни или доставка на зловреден софтуер;

• Експлоатиране на уязвимости в Microsoft Exchange (включително CVE-2023-23397);

• Злоупотреба с уязвимости в Roundcube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026);

• Атаки чрез уязвимост в WinRAR (CVE-2023-38831);

• SQL инжекции и уязвимости в публично достъпна инфраструктура, включително VPN-и.

Хакерите често прикриват произхода на атаките, като пренасочват трафика си през компрометирани SOHO (малък офис/домашен офис) устройства, намиращи се близо до целта.

Дълбоко проникване и устойчива компрометация

След като получат начален достъп, APT28 извършват вътрешно разузнаване с цел:

• установяване на контактни точки в киберсигурността, логистиката и партньорски фирми;

• използване на инструменти като PsExec, Impacket, Remote Desktop Protocol, Certipy и ADExplorer за странично придвижване в мрежата и ексфилтрация на данни;

• събиране на списъци с потребители в Office 365 и завземане на имейл акаунти;

• вписване на компрометирани акаунти в MFA механизми, за да се увеличи доверието към тях и да се осигури дългосрочен достъп.

Събрани са чувствителни данни като име на изпращач и получател, съдържание на пратки, маршрути, регистрационни номера и дестинации.

Използван зловреден софтуер

По време на кампанията са наблюдавани backdoor зловредни програми като Headlace и Masepie, а методите за ексфилтрация на данни варират според средата на жертвата – от Living-off-the-land (LOtL) техники до класически malware.

Хакерите са проявили изключителна дискретност – ползвали са локална инфраструктура, легитимни протоколи и са разделяли ексфилтрацията на етапи във времето, за да избегнат засичане.

Потенциални заплахи и препоръки

Според Джон Хълткуист от Google Threat Intelligence Group, целта на групата не е само събиране на информация, а дестабилизиране и саботиране на помощта за Украйна — физически или кибернетично. Той предупреждава, че всяка организация, участваща в процеса по оказване на помощ, трябва да се счита за потенциална цел.

В доклада са включени и индикатори за компрометиране, обхващащи:

• зловредни скриптове и инструменти;

• домейни и имейл доставчици, използвани от атакуващите;

• IP адреси;

• зловредни архивни файлове и техники за експлоатация на Outlook.

Заключение

Кампанията на APT28 е един от най-ярките примери за военно насочена кибершпионажна операция, използваща комбинация от модерни тактики, задълбочено проникване в инфраструктурата на съюзнически държави и прикрито събиране на чувствителна логистична информация. Защитата срещу подобен противник изисква съвместни усилия от правителства, частни компании и експерти по киберсигурност.