(
http://www.fireeye.com/blog/technical/2 ... tions.html)
APT28: A Window into Russia’s Cyber Espionage Operations?
October 27, 2014 | By Dan McWhorter | Threat Intelligence, Threat Research |
Comments
0
The role of nation-state actors in cyber attacks was perhaps most widely revealed in February 2013 when Mandiant released the APT1 report, which detailed a professional cyber espionage group based in China. Today we release a new report: APT28: A Window Into Russia’s Cyber Espionage Operations?
This report focuses on a threat group that we have designated as APT28. While APT28’s malware is fairly well known in the cybersecurity community, our report details additional information exposing ongoing, focused operations that we believe indicate a government sponsor based in Moscow.
In contrast with the China-based threat actors that FireEye tracks, APT28 does not appear to conduct widespread intellectual property theft for economic gain. Instead, APT28 focuses on collecting intelligence that would be most useful to a government. Specifically, FireEye found that since at least 2007, APT28 has been targeting privileged information related to governments, militaries and security organizations that would likely benefit the Russian government.
In our report, we also describe several malware samples containing details that indicate that the developers are Russian language speakers operating during business hours that are consistent with the time zone of Russia’s major cities, including Moscow and St. Petersburg. FireEye analysts also found that APT28 has systematically evolved its malware since 2007, using flexible and lasting platforms indicative of plans for long-term use and sophisticated coding practices that suggest an interest in complicating reverse engineering efforts.
We assess that APT28 is most likely sponsored by the Russian government based on numerous factors summarized below:
Table for APT28
FireEye is also releasing indicators to help organizations detect APT28 activity. Those indicators can be downloaded at
https://github.com/fireeye/iocs.
As with the APT1 report, we recognize that no single entity completely understands the entire complex picture of intense cyber espionage over many years. Our goal by releasing this report is to offer an assessment that informs and educates the community about attacks originating from Russia. The complete report can be downloaded here:
http://www.fireeye.com/resources/pdfs/apt28.pdf.
GOOGLE :
"""
APT28: Вікно в кібершпіонажу операцій Росії?
27 жовтня 2014 | По Dan McWhorter | Threat Intelligence , загрози Research |
Коментарі
0
Роль національно-державних суб'єктів в кібер-атак був, мабуть, найбільш широко показали в лютому 2013 року, коли Mandiant випустила звіт APT1, в якому детально професійної групи кібер шпигунство в Китаї. Сьогодні ми випускаємо новий звіт: APT28: вікно в кібершпіонажу операцій Росії?
Справжній доповідь присвячена загрозу групі, що ми позначили як APT28. Тоді як шкідливі програми APT28 є досить добре відомі в області кібербезпеки спільноти, наша доповіді докладно додаткову інформацію, що розкриває поточних, орієнтованих операцій, які ми вважаємо вказують уряду спонсора, заснований в Москві.
На відміну від акторів загроз Китай основі, що FireEye відстежує, APT28 не відображається провести широке крадіжки інтелектуальної власності для отримання економічної вигоди. Натомість APT28 фокусується на веденні розвідки, яка була б найбільш корисна для уряду. Зокрема, FireEye виявили, що принаймні з 2007 року, APT28 був таргетингу конфіденційної інформації, пов'язаної з урядами, військовими і охоронних організацій, що, швидше за все, виграють російський уряд.
У нашому звіті ми також опишемо декілька шкідливих зразків, що містять відомості, які вказують, що розробники носії мови росіяни, що працюють в робочий час, які узгоджуються з тимчасової зоні великих міст Росії, включаючи Москву і Санкт-Петербург. Аналітики FireEye також виявили, що APT28 систематично розвиває свою шкідливого з 2007 року, з використанням гнучких і міцних платформ індикативні плани для довгострокового використання та витончених методів кодування, які пропонують інтерес до ускладнюють зворотний інжиніринг зусилля.
Ми оцінюємо, що APT28, швидше за все, під егідою російського уряду на основі численних факторів, зазначених нижче:
Таблиця для APT28
FireEye також випускає показники, щоб допомогти організаціям виявляти APT28 діяльність. Ці показники можуть бути завантажені на
https://github.com/fireeye/iocs .
Як з доповіддю APT1, ми визнаємо, що жодна організація повністю не розуміє всю складну картину інтенсивного кібершпіонажу протягом багатьох років. Наша мета, випустивши цей звіт є запропонувати оцінку, що інформування та просвіти спільноти про хід нападів з Росією. Повний звіт можна скачати тут:
http://www.fireeye.com/resources/pdfs/apt28.pdf .
"""
APT28: Вікно кібершпіонажних операцій Росії ?