Grupa hakerska APT-28, znana również jako Fancy Bear, Sofacy, BlueDelta czy Forest Blizzard, ponownie znalazła się w centrum uwagi specjalistów ds. cyberbezpieczeństwa. Badacze z zespołu ds. wykrywania i reagowania na zagrożenia (Threat Detection and Response) w Sekoia.io zidentyfikowali nową kampanię tej grupy, nazwaną „Phantom Net Voxel”. Działania APT-28 skupiają się na wykorzystaniu zaawansowanych technik, które umożliwiają omijanie standardowych metod wykrywania i neutralizacji zagrożeń.
Techniki stosowane przez APT-28
Jednym z najważniejszych elementów w działaniach tej grupy jest wykorzystanie steganografii, czyli techniki ukrywania danych w innych plikach lub komunikacjach, która staje się coraz bardziej popularna w świecie cyberprzestępczym. W kontekście „Phantom Net Voxel”, steganografia służy ukryciu złośliwego oprogramowania i transmisji danych kontrolnych w niepozornych plikach graficznych. Zastosowanie tej techniki utrudnia wykrycie złośliwych działań przez tradycyjne systemy zabezpieczeń, które zazwyczaj skupiają się na analizie ruchu sieciowego i identyfikacji nietypowych wzorców.
Zastosowanie C2 w chmurze
Kolejnym kluczowym aspektem kampanii jest wykorzystanie infrastruktury Command and Control (C2) w chmurze, co pozwala na dynamiczne i trudniejsze do namierzenia zarządzanie złośliwymi operacjami. Chmury obliczeniowe oferują dużą elastyczność oraz możliwość szybkiego zmieniania lokalizacji serwerów, co znacząco utrudnia ich blokowanie i monitorowanie przez służby bezpieczeństwa. Systemy C2 odpowiadają za komunikację pomiędzy zainfekowanymi urządzeniami a serwerami zarządzającymi, co jest niezbędne do zdalnej kontroli nad atakowanymi systemami.
Zagrożenia płynące z kampanii
Tego rodzaju zaawansowane kampanie stwarzają poważne zagrożenie nie tylko dla poszczególnych firm, ale i całych sektorów gospodarki oraz infrastruktury krytycznej. Dzięki wykorzystaniu zaawansowanych metod ukrycia, takich jak steganografia i chmury C2, APT-28 zwiększa swoje szanse na dłuższe pozostawanie w ukryciu, co w konsekwencji przekłada się na większe zyski z nielegalnych działań i wyższe koszty dla ofiar ataków.
Jak chronić się przed takimi zagrożeniami?
Aby skutecznie przeciwstawić się tego rodzaju zaawansowanym kampaniom, niezbędne jest stosowanie zaawansowanych narzędzi do analizy ruchu sieciowego, które potrafią identyfikować anomalie nawet w zaszyfrowanym ruchu. Organizacje powinny także aktualizować swoje systemy zabezpieczeń i wprowadzać polityki bezpieczeństwa uwzględniające możliwość wykorzystania steganografii oraz metod C2 w chmurze. Regularne szkolenia dla pracowników, uwrażliwiające ich na zagrożenia płynące z otwierania załączników z nieznanych źródeł, są również istotnym elementem strategii bezpieczeństwa.
Wnioski
„Dzięki” kreatywności i determinacji grup hakerskich takich jak APT-28, cyberbezpieczeństwo to dziedzina, która musi nieustannie się rozwijać. Zarówno firmy, jak i indywidualni użytkownicy internetu muszą być czujni i świadomi zagrożeń, z jakimi mogą się spotkać. W szczególności, konieczne jest śledzenie najnowszych trendów i technik stosowanych przez cyberprzestępców. Utrzymywanie wysokiego poziomu zabezpieczeń i regularne ich aktualizowanie to klucz do minimalizacji ryzyka wystawienia się na niebezpieczeństwo w świecie, który staje się coraz bardziej cyfrowy i podatny na ataki.
