Átfogó APT28 elemzés az ukrán kormányzat megbízásából
2025. január 28- án az ukrajnai székhelyű kiberbiztonsági vállalat, a Maverits átfogó jelentést tett közzé az APT28-ról, a GRU 26165 katonai egységéhez kapcsolódó, orosz államilag támogatott kiberkémkedő csoportról. Az APT28, amely az orosz kormány számára stratégiai érdekeltségű személyeket és szervezeteket célzó fejlett műveleteiről ismert, kritikus szerepet játszott Oroszország kiberhadviselési stratégiájának kialakításában. A jelentés az APT28 tevékenységét vizsgálja az ukrán-orosz háború 2022-es kezdetétől indulva, elemezve főbb kampányaikat, változó taktikáikat és céljaikat. A Maverits célja a jelentéssel az, hogy fényt derítsenek Oroszország szélesebb körű geopolitikai és katonai céljaira, amelyek az APT28 csoport műveleteiben tükröződnek.
A jelentést a Maverits a Cyber Warfare Research és a Women Leadership and Strategic Initiatives Foundation segítségével, valamint Ukrajna Nemzetbiztonsági és Védelmi Tanácsa és a Nemzeti Kiberbiztonsági Koordinációs Központ felkérésére és segítségével készítette. A vállalat kihangsúlyozza, hogy a jelentés kizárólag tájékoztató jellegű, és nyilvánosan elérhető információkon, szakértői elemzéseken és hiteles harmadik féltől származó információkon alapul. A vállalat mindent megtett a bemutatott információk pontosságának és megbízhatóságának ellenőrzése érdekében, azonban a kiberfenyegetések dinamikus jellege és a változó geopolitikai helyzet miatt egyes részletek elavulhattak vagy változhattak. A jelentésben szereplő elemzések és következtetések nem jelentik egyetlen nemzet, szervezet vagy entitás támogatását vagy elítélését sem. A jelentés célja, hogy tényszerű és objektív áttekintést nyújtson az APT28-nak tulajdonított tevékenységekről. A jelentés a 2022 és 2024 közötti időszakot fedi le, és a 2024. december 31-i állapotot mutatja be.
A háború kitörése óta az APT28 a változó geopolitikai helyzethez alkalmazkodva fókuszt váltott. A csoport a stratégiai céljai elérése érdekében továbbfejlesztette taktikáit és eszközeit, és jelentősen megváltoztatta a megcélzott országokat és iparágakat. Ukrajna vált a csoport fő célpontjává, így a támadásainak 37%-a Ukrajnát érintette. A 2008-as grúziai háborúban az APT28 kormányzati szerveket vett célba, hogy hírszerzési információkat gyűjtsön a biztonsági és diplomáciai stratégiákról, és ez a tendencia folytatódik az ukrajnai kormányzati és diplomáciai intézmények, valamint a katonai és védelmi ágazatok érintő kibertevékenységekkel.
Ami a taktikát illeti, az APT28 továbbra is a zero-day és a nyilvánosan ismert sérülékenységek kihasználására törekszik, miközben a kémkedési céljaikat támogató speciális backdoor-okat és infostealer-eket fejleszt. A közelmúltbeli kampányok rávilágítanak a legitim internetes szolgáltatások, a LOLBIN-ek (living-off-the-land binárisok) és a hálózati eszközök kihasználása felé történő elmozdulásra, aminek az a célja, hogy elkerüljék az észlelést és a radar alatt maradjanak. Ezeket az innovációkat olyan nagyszabású adathalászkampányok egészítik ki, amelyek újszerű technikákat alkalmaznak hatékonyságuk fokozására. Bár az APT28 tevékenységei továbbra is a kémkedésben gyökereznek, a csoport a változó geopolitikai helyzethez igazította a módszereit és céljait.
