APT28 támadások az Ukrán kormányzat ellen
Az Ukrán CERT‑UA által közzétett jelentés az Oroszországhoz köthető APT28 csoport sikeres kibertámadást hajtott végre ukrán állami célpontok ellen, amely során többek között a Covenant támadási keretrendszer és a saját fejlesztésű Beardshell backdoor használatát is bizonyították. A támadás során nem csupán hagyományos eszközöket használva jutottak be a rendszerekbe, de komplex, többkomponensű kártevői infrastruktúrát építettek ki, amely célzott adatlopást és rejtett kapcsolatot biztosított a támadók számára.
A Covenant keretein belül az APT28 egy robusztus, vezérlő (C2) rendszert épített ki, amelyen keresztül irányítani tudták a Beardshell modult – utóbbi valós időben adatokat lopott ki, és fenntartotta a tartós hozzáférést. A beágyazott megoldások egymással összhangban működtek, a Covenant szolgáltatta a parancsokat, Beardshell pedig végrehajtotta az azonnali adatgyűjtést, fájlmásolást és rendszerinformációk megszerzését.
Az eszközkészlet használata kifinomult technikai képességeket mutat, például a Beardshell mögött rejlő moduláris struktúra lehetővé tette, hogy célzott funkciókat töltsenek be a fertőzött rendszerekbe, mindezt úgy, hogy közben elkerülték a tradicionális detekciós megoldásokat.
Az APT28 nem csupán ismert malware-eket használ, hanem saját fejlesztésű vagy testre szabott szoftvereszközöket alkalmaz. Ennek köszönhetően a támadási lánc gyors, adaptív és rendkívül nehezen detektálható volt és ezekkel képesek hosszú távú, rejtett jelenlétet kialakítani a célpont rendszereiben. A védelemnek ezért túl kell lépnie a hagyományos signatúra-alapú modelleken, és a viselkedésalapú, C2-anomália figyelésin alapuló stratégiára kell építeni.
A CERT‑UA megosztott az azonosításhoz szükséges indikátorokat.
