Grupa APT28, znana również jako Fancy Bear lub Sofacy, jest dobrze znaną jednostką zajmującą się cyberatakami, często działającą na rzecz rosyjskich interesów. Ich działania obejmują szeroki zakres ataków na instytucje rządowe, firmy, a choćby organizacje pozarządowe na całym świecie.
Tym razem kolportowali szkodliwe oprogramowanie w Polsce, a ich celem była infrastruktura informatyczna wielu instytucji.
Atak rosyjskich hakerów w Polsce
W ostatnich dniach Polska stanęła w obliczu groźnego ataku ze strony grupy hakerów, co wywołało alarm wśród agencji odpowiedzialnych za cyberbezpieczeństwo. Naukowa Akademicka Sieć Komputerowa (NASK) oraz Centrum Monitoringu Cyberzagrożeń Ministerstwa Obrony Narodowej (CSIRT MON) zareagowały na zagrożenie i ostrzegły przed możliwymi konsekwencjami ataku.
W komunikacie przekazanym przez NASK CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach sprawdzili, czy pracownicy nie byli obiektem ataku. Przypomniał, iż zabezpieczenie sieci przed takimi atakami jest najważniejsze dla zapewnienia bezpieczeństwa danych i infrastruktury informatycznej.
Zdaniem Sebastiana Kondraszuka, kierującego działającym w NASK zespołem CERT Polska, wspólne działanie analityków CERT Polska i CSIRT MON przyniosło efekty w postaci rekomendacji, które pozwalają administratorom na wykrycie i przecięcie tej wrogiej działalności.
Grupa związana z GRU – specjalne metody
Według autorów komunikatu przekazanego przez NASK i CSIRT MON, identyfikacja grupy APT28 była możliwa dzięki analizie wskaźników technicznych oraz podobieństw do wcześniejszych ataków. Wskazują oni, iż grupa ta jest powiązana z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Atak rozpoczyna się od wysyłki wiadomości e-mail, które wykorzystują elementy socjotechniki w celu zainteresowania odbiorcy i nakłonienia go do kliknięcia w link. Link ten prowadzi do adresu w domenie run.mocky.io, która jest darmowym serwisem często używanym przez programistów. Jednakże w tym przypadku został on wykorzystany jedynie do przekierowania na inny serwis: webhook.site – dowiadujemy się z oficjalnego komuniaktu.
Grupa hakerska APT28, znana również jako Fancy Bear lub Sofacy, przez cały czas stanowi poważne zagrożenie dla instytucji na całym świecie. Ostatnie wydarzenia potwierdzają, iż grupa ta wykorzystuje nowoczesne metody i narzędzia, aby prowadzić swoje ataki z większą skutecznością i bez wykrycia.
Według doniesień NASK i CSIRT MON, APT28 wykorzystuje popularne darmowe usługi internetowe, takie jak run.mocky.io i webhook.site, aby uniknąć wykrycia złośliwych linków. To świadczy o zwiększającej się złożoności i zaawansowaniu technologicznym działań tej grupy. Ponadto korzystanie z darmowych usług pozwala na obniżenie kosztów operacji, co jest kolejnym czynnikiem sprzyjającym rozprzestrzenianiu się zagrożenia.
Jednym z najbardziej znanych incydentów autorstwa APT28 jest atak na zarząd Socjaldemokratycznej Partii Niemiec (SPD) w 2023 roku. W piątek szefowa niemieckiej dyplomacji potwierdziła, iż nasi zachodni byli ofiarami ataku.
