Открыть сервис

APT28

APT28 (также известная как Fancy Bear, Sofacy Group, Sednit, Pawn Storm, Strontium, Tsar Team) — это хакерская группировка, которая, по оценкам разведывательных служб и компаний в области кибербезопасности, действует в интересах Генерального штаба Вооружённых сил Российской Федерации (ГРУ). APT28 считается одной из наиболее активных и технически оснащённых групп, занимающихся кибершпионажем, кражей данных и вмешательством в политические процессы.

История

Ранние кампании (2004—2014)

Первые следы активности APT28 были зафиксированы в середине 2000-х годов. Группа начинала с атак на правительственные и военные учреждения стран постсоветского пространства, а также на организации, связанные с НАТО. В 2008 году APT28 использовала вредоносное ПО для атак на грузинские правительственные сайты в преддверии и во время войны в Грузии. В 2014 году группировка была впервые детально описана компанией FireEye, которая присвоила ей обозначение APT28 (Advanced Persistent Threat 28).

Вмешательство в выборы в США (2016)

Наибольшую известность APT28 получила в связи с атаками на Демократическую партию США в 2016 году. В марте 2016 года члены группы осуществили фишинговую атаку на сотрудников избирательного штаба Хиллари Клинтон, а затем проникли в сети Национального комитета Демократической партии (DNC). В результате были похищены и опубликованы тысячи внутренних документов и электронных писем, что, по мнению американских спецслужб, было частью кампании по вмешательству в президентские выборы. В 2018 году Министерство юстиции США предъявило обвинения 12 сотрудникам ГРУ, связанным с APT28.

Дальнейшая активность (2017—2024)

После 2016 года APT28 продолжила атаки на правительственные учреждения, оборонные предприятия, журналистов и правозащитные организации по всему миру. В 2017 году группа атаковала французскую предвыборную кампанию Эммануэля Макрона. В 2020 году были зафиксированы атаки на исследовательские центры, работающие над вакцинами от COVID-19. В 2022 году, после начала полномасштабного вторжения России в Украину, APT28 активизировала атаки на украинские государственные и военные сети, а также на критическую инфраструктуру стран, поддерживающих Украину. В 2023—2024 годах группировка была замечена в атаках на энергетические системы и транспортные узлы в Европе.

Характеристики и методы

Технические инструменты

APT28 известна использованием широкого спектра вредоносного ПО, включая:

  • X-Agent — бэкдор для удалённого управления заражёнными системами.
  • X-Tunnel — инструмент для туннелирования трафика и кражи данных.
  • Seduploader — загрузчик для доставки дополнительных модулей.
  • Zebrocy — многофункциональный троян, используемый для шпионажа.
  • GameOver — бэкдор, написанный на Delphi.

Тактики и техники

Группа применяет следующие методы:

  • Фишинг — целевые рассылки писем с вредоносными вложениями (например, документами с макросами) или ссылками на поддельные сайты.
  • Сбор учётных данных — использование подставных страниц для входа, имитирующих легитимные сервисы (например, Gmail, Outlook).
  • Эксплуатация уязвимостей — использование уязвимостей нулевого дня (0-day) в программном обеспечении, включая Microsoft Office и Adobe Flash.
  • Сетевое сканирование — поиск открытых портов и уязвимых сервисов.
  • Использование легитимных инструментов — применение стандартных утилит Windows (PowerShell, WMI, PsExec) для движения по сети и выполнения команд.

Цели

Основными целями APT28 являются:

  • Правительственные учреждения (министерства обороны, иностранных дел, разведки).
  • Военные организации и оборонные предприятия.
  • Политические партии и избирательные штабы.
  • Журналисты и оппозиционные активисты.
  • Исследовательские центры и университеты.
  • Организации, занимающиеся кибербезопасностью.

Организационная структура

Принадлежность к ГРУ

По данным разведок США, Великобритании, Нидерландов и других стран, APT28 является подразделением Главного разведывательного управления (ГРУ) России. Конкретно группировку связывают с 85-м Главным центром специальных служб (ГЦСС) ГРУ (в/ч 26165) и 72-м ГЦСС (в/ч 54777). В 2018 году Минюст США обнародовал имена 12 офицеров ГРУ, обвиняемых в кибератаках, связанных с APT28.

Связь с другими группами

APT28 часто действует параллельно или в координации с другой хакерской группой, связанной с ГРУ — APT29 (Cozy Bear, The Dukes). Если APT28 ориентирована на быстрые атаки и кражу данных, то APT29 специализируется на долгосрочном проникновении и сборе разведывательной информации. Также существуют свидетельства обмена инструментами и тактиками между этими группами.

Крупные атаки и инциденты

Атака на DNC (2016)

Наиболее известная операция APT28. Группа проникла в сети Национального комитета Демократической партии США, похитила и опубликовала через WikiLeaks и другие платформы более 19 000 электронных писем. Это привело к масштабному политическому скандалу и расследованиям.

Атака на ОЗХО (2018)

В апреле 2018 года APT28 атаковала сети Организации по запрещению химического оружия (ОЗХО) в Гааге. Группа пыталась похитить данные о расследовании отравления Сергея и Юлии Скрипалей в Солсбери. Атака была обнаружена и пресечена нидерландской разведкой.

Атака на Бундестаг (2015)

В 2015 году APT28 осуществила атаку на компьютерную сеть немецкого парламента (Бундестага). В результате были похищены данные, в том числе переписка депутатов, включая канцлера Ангелу Меркель. Атака привела к масштабной модернизации кибербезопасности в Германии.

Атаки на украинские сети (2022—2024)

С начала полномасштабной войны APT28 активно атакует украинские государственные учреждения, военные сети и энергетическую инфраструктуру. В 2022 году группа использовала вредоносное ПО для атак на украинские телекоммуникационные компании, что привело к сбоям в работе связи.

Реакция и защита

Международные санкции

В ответ на деятельность APT28 США, Великобритания, ЕС и другие страны ввели санкции против физических и юридических лиц, связанных с группой. В 2018 году США ввели санкции против 12 офицеров ГРУ. В 2021 году Великобритания ввела санкции против 7 лиц, связанных с APT28.

Меры защиты

Для защиты от APT28 рекомендуется:

  • Регулярное обновление программного обеспечения (особенно браузеров, офисных пакетов и операционных систем).
  • Использование многофакторной аутентификации (MFA).
  • Обучение сотрудников распознаванию фишинговых писем.
  • Мониторинг сетевой активности на предмет подозрительных подключений.
  • Использование средств защиты от вредоносного ПО и систем обнаружения вторжений (IDS/IPS).

Критика и обвинения

Политический контекст

Деятельность APT28 часто рассматривается как часть более широкой стратегии гибридной войны, проводимой Россией. Критики утверждают, что атаки группы направлены на подрыв демократических институтов, дестабилизацию политических процессов и кражу интеллектуальной собственности. Россия последовательно отрицает свою причастность к кибератакам, называя обвинения голословными.

Спорные атрибуции

Некоторые эксперты и организации ставят под сомнение точность атрибуции атак APT28. Они указывают на возможность использования «ложного флага» (false flag) — когда атакующие маскируются под другую группу, чтобы подставить её. Однако большинство разведывательных служб и компаний в области кибербезопасности сходятся во мнении, что связь APT28 с ГРУ является доказанной.

Источники

  • FireEye. «APT28: A Window into Russia’s Cyber Espionage Operations» (2014).
  • CrowdStrike. «Fancy Bear: The Russian Cyber Espionage Group» (2016).
  • Министерство юстиции США. «Indictment of 12 Russian GRU Officers» (2018).
  • Нидерландская разведка (MIVD). «Report on APT28 Attack on OPCW» (2018).
  • Microsoft. «Strontium: The Russian Cyber Threat» (2020).
  • Mandiant. «APT28: The Evolution of a Threat Actor» (2022).
  • Управление по контролю за иностранными активами США (OFAC). «Sanctions on GRU Officers» (2021).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →