Як діє пов'язане з ГРУ хакерське угруповання APT28: від розширення переліку цілей до зміни тактики — звіт Maverits

Кібершпигунське угруповання APT28 (також відоме як Fancy Bear), пов'язане з військовою частиною 26165 головного розвідувального управління росії (ГРУ), після початку повномасштабної війни в Україні значно змінило тактику атак, розширивши географію своїх операцій та впровадивши нові методи уникнення виявлення. 

Про це йдеться у звіті компанії з кібербезпеки Maverits, підготовленому за підтримки Інституту досліджень кібервійни та Фундації жіночого лідерства на запит Ради національної безпеки і оборони України та Національного координаційного центру кібербезпеки.

За даними дослідження, яке охоплює період з 2022 по 2024 рік, група перейшла від традиційного шпигунства до гібридної моделі, яка включає активну кібервійну, для досягнення політичного впливу та підриву міжнародної співпраці.

З початком великої війни, Україна стала головною мішенню групи, на яку припадає 37% їхніх атак. Ще 23 лютого, за день до повномасштабного вторгнення росії, деякі українські державні сайти перестали працювати. Перебої почались приблизно о 16:30. Зокрема не відкривалися сайти Верховної Ради, Міністерства закордонних справ, Служби безпеки України та Кабінету міністрів України. За атакою стояла саме група APT28. Польща, яка відіграє ключову роль у підтримці України та операціях НАТО, стала другою за кількістю атак – 18%. 

До 2022 року основний фокус APT28 був спрямований на країни Східної Європи, однак за останні три роки майже кожна європейська країна стала мішенню. Крім того, APT28 в останні роки розширила свою діяльність за межі Європи, зокрема Кавказ, Центральну Азію та окремі країни Азійсько-Тихоокеанського регіону, що відповідає ширшим геополітичним інтересам росії.

APT28 зосередила свою діяльність на атаках на урядові та дипломатичні установи, військові та оборонні організації, а також міжнародні організації, зокрема Європейську комісії, агентства ООН, Світовий банк, ВООЗ тощо. Група також проявляє інтерес до аналітичних центрів, через їхню роль у формуванні регіональної стратегічної політики, та приватних безпекових компаній.

У звіті детально розглядаються основні кампанії та шкідливе програмне забезпечення, які використовувала APT28 з початку війни у 2022 році, висвітлюється стратегічне використання кастомних інструментів, експлуатація вразливостей та інноваційні методи для досягнення оперативних цілей.

APT28 активно використовує використовують вразливості нульового дня та спеціалізовані бекдори, а також впроваджує нові тактики для обходу систем безпеки. Особливої уваги у звіті приділено фішинговим кампаніям групи, спрямованим на викрадення облікових даних користувачів. Для цього зловмисники застосовують складні методи обходу двофакторної автентифікації, використовуючи скомпрометовані роутери та легітимні інтернет-сервіси.

Звіт Maverits підкреслює, що діяльність APT28 дедалі більше узгоджується з російськими військовими та геополітичними стратегіями.

Нагадаємо, що у 2024 році кількість кібератак на Україну зросла на 69,8%. Всього команда при Держспецзв’язку CERT-UA у 2024 році опрацювала 4315 кіберінцидентів, у 2023 році український кіберпростір атакували 2541 раз. 

19 грудня 2024 року українські держреєстри зазнали наймасштабнішої зовнішньої кібератаки, через яку тимчасово припинили свою роботу реєстри Міністерства юстиції й сервіс «Дія». Держреєстри відновили свою роботу лише 20 січня 2025 року. 

Читайте також: Масштабна кібератака на державні реєстри. Чому це сталося та як вберегти інші системи – пояснюють фахівці з кібербезпеки