Το ότι άγνωστοι χάκερ εισέβαλαν σε μια αντιπροσωπεία της ομοσπονδιακής κυβέρνησης των ΗΠΑ και έκλεψαν τα δεδομένα τους είναι αρκετά ανησυχητικό. Αλλά μάλλον εντοπίστηκαν οι εισβολείς και φαίνεται πιθανό να αποτελούν μέρος μιας διαβόητης ομάδας hacking που εργάζεται στην υπηρεσία του ρωσικού στρατιωτικού γραφείου πληροφοριών, την GRU.
Την περασμένη εβδομάδα, η CISA δημοσίευσε ένα advisory ότι οι χάκερ είχαν διεισδύσει σε μια ομοσπονδιακή υπηρεσία των ΗΠΑ. Δεν ταυτοποίησε ούτε τους επιτιθέμενους ούτε το πρακτορείο, αλλά ανέλυσε λεπτομερώς τις μεθόδους των χάκερ και τη χρήση μιας νέας και μοναδικής μορφής malware σε μια επιχείρηση που έκλεψε με επιτυχία τα δεδομένα των στόχων. Τα στοιχεία που αποκαλύφθηκαν από έναν ερευνητή της εταιρείας κυβερνοασφάλειας Dragos και μια ειδοποίηση του FBI που έλαβε η WIRED τον Ιούλιο υποδηλώνουν μια πιθανή απάντηση στο μυστήριο του ποιος βρίσκεται πίσω από την εισβολή. Φαίνεται ότι είναι η Fancy Bear, μια ομάδα που εργάζεται για την GRU της Ρωσίας. Επίσης γνωστή ως APT28, η ομάδα είναι υπεύθυνη για τα πάντα, από επιχειρήσεις hacking που στοχεύουν στις προεδρικές εκλογές του 2016 στις ΗΠΑ έως μια ευρεία εκστρατεία απόπειρων hacking που στοχεύουν πολιτικά κόμματα, συμβούλους και εκστρατείες.
Οι ενδείξεις που δείχνουν την APT28 βασίζονται εν μέρει σε μια ειδοποίηση που έστειλε το FBI σε στόχους μιας εκστρατείας hacking τον Μάιο του τρέχοντος έτους, την οποία έλαβε η WIRED. Η ειδοποίηση ανέφερε ότι η APT28 στοχεύει ευρέως τα δίκτυα των ΗΠΑ, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών και εκπαιδευτικών ιδρυμάτων, και απαριθμεί αρκετές διευθύνσεις IP που χρησιμοποιούν στις επιχειρήσεις τους. Ο ερευνητής του Dragos Joe Slowik παρατήρησε ότι μια διεύθυνση IP που προσδιορίζει έναν server στην Ουγγαρία που χρησιμοποιήθηκε σε αυτήν την καμπάνια της APT28 αντιστοιχούσε σε μια διεύθυνση IP που αναφέρεται στο CISA advisory. Αυτό υποδηλώνει ότι η APT28 χρησιμοποίησε τον ίδιο ουγγρικό server στο hacking που περιγράφεται από την CISA – και ότι τουλάχιστον μία από τις απόπειρες εισβολών που περιγράφονται από το FBI ήταν επιτυχής.
Εκτός από αυτήν την ειδοποίηση του FBI, ο Slowik βρήκε επίσης μια δεύτερη σύνδεση. Μια περσινή αναφορά από το Υπουργείο Ενέργειας προειδοποίησε ότι η ομάδα APT28 είχε εντοπίσει ένα δίκτυο αμερικανικής κυβέρνησης από έναν server στη Λετονία, αναφέροντας τη διεύθυνση IP του συγκεκριμένου server. Και αυτή η διεύθυνση IP της Λετονίας επανεμφανίστηκε επίσης στο hacking που περιγράφεται στο CISA advisory. Aυτές οι αντίστοιχες IP δημιουργούν έναν ιστό κοινής υποδομής που συνδέει όλες αυτές τις λειτουργίες.
Αλλά αν η APT28 είναι πράγματι η ομάδα hacking που περιγράφεται στο CISA advisory, είναι μια υπενθύμιση ότι είναι ικανή για πιο εξελιγμένες και στοχευμένες επιχειρήσεις κατασκοπείας, λέει ο John Hultquist, διευθυντής μυστικών υπηρεσιών της εταιρείας ασφαλείας FireEye. “Είναι μια πολύ εξελιγμένη ομάδα και εξακολουθεί να είναι σε θέση να έχει πρόσβαση σε ευαίσθητου περιεχομένου υπηρεσίες”, λέει ο Hultquist.
Η APT28, έχει μια μακρά ιστορία κατασκοπευτικών επιχειρήσεων που στοχεύουν κυβερνητικούς και στρατιωτικούς στόχους των ΗΠΑ, του ΝΑΤΟ και της Ανατολικής Ευρώπης. Το CISA advisory, μαζί με τα ευρήματα του DOE και του FBI που παρακολουθούν τις σχετικές εκστρατείες hacking της APT28, υποδηλώνουν ότι αυτές οι κατασκοπευτικές επιχειρήσεις συνεχίζονται μέχρι σήμερα.
