O Departamento de Segurança Interna americana e o FBI (Federal Bureau Investigation, em inglês) divulgaram no último 29 de dezembro um relatório de análise conjunta que confirma a longa pesquisa pública realizada pela FireEye, a qual indica que o grupo APT28 é responsável por operações extensivas em apoio aos interesses estratégicos russos, principalmente no que tange à questões de defesa e geopolítica.
De acordo com Laura Galante, diretora de inteligência contra ameaças da FireEye, o conteúdo do relatório revela muito mais do que a posição política assumida pela Rússia durante as eleições presidenciais norte-americanas em 2016 que culminaram na vitória do candidato republicano Donald Trump. “Agora o ponto mais importante é compreender como são executadas as operações bem-sucedidas da Rússia para angariar informação – incluindo intrusões e vazamentos – com o objetivo de enfraquecer instituições, governos e demais atores que, de acordo com a percepção do governo russo, constringem e condenam suas atividades.”
Em atuação desde 2007, o APT28 ganhou maior relevância nos últimos dois anos ao realizar atividades de intrusão. “As operações destinadas às eleições americanas são apenas o último exemplo de uma capacidade pouco compreendida e que já foram utilizadas contra a OTAN (Organização do Tratado do Atlântico Norte), governo alemão, organizações de mídia e indivíduos-chave”, conclui Laura Galante, da FireEye.
O malware e as táticas do APT28 – Emprega-se um conjunto de malware com características indicativas dos planos do grupo para operações contínuas, bem como o acesso do grupo a recursos e desenvolvedores qualificados, realizados com auxílio de um framework modular, ambiente de código formal e capacidade de incorporar análise de contagem.
Estas ferramentas utilizadas na condução das operações evidenciam o apoio do governo da Rússia, uma vez que 97% das amostras de malware foram compiladas durante os dias da semana em que há expediente, sendo 88% destas no período entre 8h e 18h no fuso horário de cidades como Moscou e St. Petersburgo. Além disso, os desenvolvedores do APT28 construíram malware com configuração em idioma russo até 2013.
O ataque costuma acontecer de quatro principais formas: infecção com malware via spear-phish; acesso ao webmail via spear-phish; malware via comprometimento estratégico na web (SWC, sigla em inglês); e acesso a servidores de internet. Cada uma destas táticas acontece em quatro ou cinco etapas até que a rede da vítima seja complemente invadida.
Depois de comprometer a organização vítima, o APT28 rouba os dados internos, os quais são compartilhados e alinhados às políticas e interesses russos.
Conclusão
Desde 2014 foram vistas mudanças no formato do ataque tais quais: exploração de vulnerabilidades zero-day; utilização de script de perfil para implantar zero-day e ferramentas, como forma de dificultar o acesso aos instrumentos do grupo; aumento do uso de depositórios de códigos públicos, como Carberp e PowerShell Empire; obtenção de credenciais através de pedidos de autorização de acesso fabricados no Google App e Oauth, que permitem ao grupo transpor fatores de dupla autenticação e outras medidas de segurança; movimentos laterais em rede utilizando apenas ferramentas legítimas já existentes no sistema da vítima.
Embora existam outras nações com orçamento e sofisticação técnica para desenvolver e manter a qualidade das ferramentas utilizadas nas operações do APT28, nenhum destes governos teria se beneficiado com o comprometimento e vazamento de informações prejudiciais sobre a gama de metas perseguidas pelo grupo – o foco de atuação na cooperação de segurança europeia, governo dos Estados Unidos, instituições democráticas ocidentais e postos diplomáticos, elevam a Rússia como o mais provável mantenedor.
Por outro lado, a infraestrutura usada para controlar as operações da APT28 teria sido facilmente interrompida por Moscou, caso o governo não aprovasse ações independentes conduzidas em solo russo. As explicações alternativas para o patrocínio do APT28 só parecem plausíveis quando apresentadas para explicar um incidente de cada vez, e não são críveis ao analisar a totalidade das operações.
Ao combinar uma ampla gama de inteligência técnica, soluções práticas de sistemas comprometidos, análise de mídia social controlada pela Rússia e compreensão dos objetivos geopolíticos com base nas próprias declarações públicas do governo russo, atribui-se aos russos o patrocínio e controle do APT28.