APT28
APT28 (также известная как Fancy Bear, Sofacy Group, Sednit, Pawn Storm, Strontium, Tsar Team) — это хакерская группировка, которая, по оценкам разведывательных служб и компаний в области кибербезопасности, действует в интересах Генерального штаба Вооружённых сил Российской Федерации (ГРУ). APT28 считается одной из наиболее активных и технически оснащённых групп, занимающихся кибершпионажем, кражей данных и вмешательством в политические процессы.
История
Ранние кампании (2004—2014)
Первые следы активности APT28 были зафиксированы в середине 2000-х годов. Группа начинала с атак на правительственные и военные учреждения стран постсоветского пространства, а также на организации, связанные с НАТО. В 2008 году APT28 использовала вредоносное ПО для атак на грузинские правительственные сайты в преддверии и во время войны в Грузии. В 2014 году группировка была впервые детально описана компанией FireEye, которая присвоила ей обозначение APT28 (Advanced Persistent Threat 28).
Вмешательство в выборы в США (2016)
Наибольшую известность APT28 получила в связи с атаками на Демократическую партию США в 2016 году. В марте 2016 года члены группы осуществили фишинговую атаку на сотрудников избирательного штаба Хиллари Клинтон, а затем проникли в сети Национального комитета Демократической партии (DNC). В результате были похищены и опубликованы тысячи внутренних документов и электронных писем, что, по мнению американских спецслужб, было частью кампании по вмешательству в президентские выборы. В 2018 году Министерство юстиции США предъявило обвинения 12 сотрудникам ГРУ, связанным с APT28.
Дальнейшая активность (2017—2024)
После 2016 года APT28 продолжила атаки на правительственные учреждения, оборонные предприятия, журналистов и правозащитные организации по всему миру. В 2017 году группа атаковала французскую предвыборную кампанию Эммануэля Макрона. В 2020 году были зафиксированы атаки на исследовательские центры, работающие над вакцинами от COVID-19. В 2022 году, после начала полномасштабного вторжения России в Украину, APT28 активизировала атаки на украинские государственные и военные сети, а также на критическую инфраструктуру стран, поддерживающих Украину. В 2023—2024 годах группировка была замечена в атаках на энергетические системы и транспортные узлы в Европе.
Характеристики и методы
Технические инструменты
APT28 известна использованием широкого спектра вредоносного ПО, включая:
- X-Agent — бэкдор для удалённого управления заражёнными системами.
- X-Tunnel — инструмент для туннелирования трафика и кражи данных.
- Seduploader — загрузчик для доставки дополнительных модулей.
- Zebrocy — многофункциональный троян, используемый для шпионажа.
- GameOver — бэкдор, написанный на Delphi.
Тактики и техники
Группа применяет следующие методы:
- Фишинг — целевые рассылки писем с вредоносными вложениями (например, документами с макросами) или ссылками на поддельные сайты.
- Сбор учётных данных — использование подставных страниц для входа, имитирующих легитимные сервисы (например, Gmail, Outlook).
- Эксплуатация уязвимостей — использование уязвимостей нулевого дня (0-day) в программном обеспечении, включая Microsoft Office и Adobe Flash.
- Сетевое сканирование — поиск открытых портов и уязвимых сервисов.
- Использование легитимных инструментов — применение стандартных утилит Windows (PowerShell, WMI, PsExec) для движения по сети и выполнения команд.
Цели
Основными целями APT28 являются:
- Правительственные учреждения (министерства обороны, иностранных дел, разведки).
- Военные организации и оборонные предприятия.
- Политические партии и избирательные штабы.
- Журналисты и оппозиционные активисты.
- Исследовательские центры и университеты.
- Организации, занимающиеся кибербезопасностью.
Организационная структура
Принадлежность к ГРУ
По данным разведок США, Великобритании, Нидерландов и других стран, APT28 является подразделением Главного разведывательного управления (ГРУ) России. Конкретно группировку связывают с 85-м Главным центром специальных служб (ГЦСС) ГРУ (в/ч 26165) и 72-м ГЦСС (в/ч 54777). В 2018 году Минюст США обнародовал имена 12 офицеров ГРУ, обвиняемых в кибератаках, связанных с APT28.
Связь с другими группами
APT28 часто действует параллельно или в координации с другой хакерской группой, связанной с ГРУ — APT29 (Cozy Bear, The Dukes). Если APT28 ориентирована на быстрые атаки и кражу данных, то APT29 специализируется на долгосрочном проникновении и сборе разведывательной информации. Также существуют свидетельства обмена инструментами и тактиками между этими группами.
Крупные атаки и инциденты
Атака на DNC (2016)
Наиболее известная операция APT28. Группа проникла в сети Национального комитета Демократической партии США, похитила и опубликовала через WikiLeaks и другие платформы более 19 000 электронных писем. Это привело к масштабному политическому скандалу и расследованиям.
Атака на ОЗХО (2018)
В апреле 2018 года APT28 атаковала сети Организации по запрещению химического оружия (ОЗХО) в Гааге. Группа пыталась похитить данные о расследовании отравления Сергея и Юлии Скрипалей в Солсбери. Атака была обнаружена и пресечена нидерландской разведкой.
Атака на Бундестаг (2015)
В 2015 году APT28 осуществила атаку на компьютерную сеть немецкого парламента (Бундестага). В результате были похищены данные, в том числе переписка депутатов, включая канцлера Ангелу Меркель. Атака привела к масштабной модернизации кибербезопасности в Германии.
Атаки на украинские сети (2022—2024)
С начала полномасштабной войны APT28 активно атакует украинские государственные учреждения, военные сети и энергетическую инфраструктуру. В 2022 году группа использовала вредоносное ПО для атак на украинские телекоммуникационные компании, что привело к сбоям в работе связи.
Реакция и защита
Международные санкции
В ответ на деятельность APT28 США, Великобритания, ЕС и другие страны ввели санкции против физических и юридических лиц, связанных с группой. В 2018 году США ввели санкции против 12 офицеров ГРУ. В 2021 году Великобритания ввела санкции против 7 лиц, связанных с APT28.
Меры защиты
Для защиты от APT28 рекомендуется:
- Регулярное обновление программного обеспечения (особенно браузеров, офисных пакетов и операционных систем).
- Использование многофакторной аутентификации (MFA).
- Обучение сотрудников распознаванию фишинговых писем.
- Мониторинг сетевой активности на предмет подозрительных подключений.
- Использование средств защиты от вредоносного ПО и систем обнаружения вторжений (IDS/IPS).
Критика и обвинения
Политический контекст
Деятельность APT28 часто рассматривается как часть более широкой стратегии гибридной войны, проводимой Россией. Критики утверждают, что атаки группы направлены на подрыв демократических институтов, дестабилизацию политических процессов и кражу интеллектуальной собственности. Россия последовательно отрицает свою причастность к кибератакам, называя обвинения голословными.
Спорные атрибуции
Некоторые эксперты и организации ставят под сомнение точность атрибуции атак APT28. Они указывают на возможность использования «ложного флага» (false flag) — когда атакующие маскируются под другую группу, чтобы подставить её. Однако большинство разведывательных служб и компаний в области кибербезопасности сходятся во мнении, что связь APT28 с ГРУ является доказанной.
Источники
- FireEye. «APT28: A Window into Russia’s Cyber Espionage Operations» (2014).
- CrowdStrike. «Fancy Bear: The Russian Cyber Espionage Group» (2016).
- Министерство юстиции США. «Indictment of 12 Russian GRU Officers» (2018).
- Нидерландская разведка (MIVD). «Report on APT28 Attack on OPCW» (2018).
- Microsoft. «Strontium: The Russian Cyber Threat» (2020).
- Mandiant. «APT28: The Evolution of a Threat Actor» (2022).
- Управление по контролю за иностранными активами США (OFAC). «Sanctions on GRU Officers» (2021).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →