2024.04.01,

Քննադատ

Ռուսաստանի պետական հաքերային APT 28 խումբը. Հայաստանի դեմ նպատակային հարձակումների տասնամյակ

author_posts/samvel-martirosyan
Սամվել Մարտիրոսյան
twiterfacebook

Մեդիա հետազոտող

Հայաստանը անընդհատ ենթարկվում է կիբերհարձակումների։ Դրանք իրականացնում են տարբեր խմբեր՝ շատ տարբեր դրդապատճառներով։ Հիմնական երկու ուղղություններն են զուտ քրեական կիբերհանցագործություները և տարբեր պետությունների շահերը։ Այս անգամ մի կողմ թողնենք կրիմինալը և դիտարկենք քաղաքական և աշխարհաքաղաքական շարժառիթները։  

Հասկանալի է, որ Ադրբեջանը անընդհատ գրոհում է Հայաստանի կիբերտիրույթը։ Սակայն, այստեղ մենք գործ ունենք շատ բազմազան հաքերային խմբերի հետ։ Մ մասն այսպես կոչված հայրենասիրական խմբավորումներ են, մի մասը պատկանում են զանազան պետական կառույցների, կամ վերահսկվում են դրանց կողմից։ Բացի դրանից, Ադրբեջանը օգտագործում է վարձկանների՝ հիմնականում ԱՊՀ տարածքում գործող անկախ հաքերային խմբերի, որոնք գումարի դիմաց կատարում են հատուկ ծառայությունների առաջադրանքները։ Ադրբեջանը նաև լրտեսական ծրագրերի շուկայում ակտիվ գնորդ է, հիմնականում՝ Pegasus-ի։  

Սակայն, եթե խոսենք ազդեցիկ պետությունների կողմից վերահսկվող արհեստավարժ և երկարաժամկետ աշխատող հաքերային խմբերի մասին, որոնք կարողանում են իրականացնել երկարաժամկետ և խորաթափանց հարձակումներ, ապա այսօր Ադրբեջանը, ինչպես նաև Հայաստանը դեռ այդպիսինների ցանկում չեն։  

Նմանատիպ պետական հաքերային խմբերի հարձակումների տեսակետից Հայաստանի ու հայաստանյան թիրախների դեմ ամենաակտիվը (թեև որոշ մարդկանց դա կարող է տարօրինակ թվալ) աշխատում է  ռուսաստանյան APT 28 թիմը։  

Ովքե՞ր են APT 28-ը  

Fancy Bear-ը, որը նաև հայտնի է որպես APT28, ռուսական հայտնի հաքերային կամ կիբերլրտեսական խումբ է, որը կապեր ունի ռուսական ռազմական հետախուզական գործակալության՝ ГРУ-ի հետ: Խումբն ակտիվ է 2000-ականների կեսերից և հիմնականում առաջ է մղում ռուսական քաղաքական շահերը: Խմբավորման թիրախները ներառում են կառավարական, ռազմական և անվտանգության կազմակերպություններ, որոնք կենտրոնացած են Հարավային Կովկասի, հետխորհրդային երկրների և ՆԱՏՕ-ին միացած երկրների վրա:  

Նրանք աղմկահարույց հարձակումներ են իրականացրել այնպիսի կառույցների վրա, ինչպիսիք են Գերմանիայի և Նորվեգիայի խորհրդարանները, TV5Monde-ը, ՆԱՏՕ-ն, Սպիտակ տունը, Դեմոկրատական ​​ազգային կոմիտեն և Հիլարի Քլինթոնի նախագահական արշավի և Ֆրանսիայի նախագահի թեկնածու Էմանուել Մակրոնի քարոզարշավի մասնակցիները: 

APT 28-ը նշվում է տարբեր անուններով (կախված կիբեր սպառնալիքների լաբորատորիայից). 

  • Fancy Bear
  • Pawn Storm 
  • Sofacy Group 
  • Sednit 
  • Forest Blizzard 
  • Tsar Team 
  • STRONTIUM 
  • ITG05 

Fancy Bear-ը Հայաստանում. վերջին հայտնի դեպքերը

Հայաստանի դեմ ամենաթարմ հարձակումների մասին մենք իմացանք վերջերս։  

2024 թվականի մարտին IBM X-Force հաղորդեց 2024 թվականի փետրվարի վերջին Ռուսաստանի պետական ​​հովանավորվող հաքերային թիմի՝ APT 28-ի, իրականացրած բազմաթիվ ֆիշինգային արշավների մասին, որոնց թիրախներն են կազմակերպություններ առնվազն Արգենտինայից, Ուկրաինայից, Վրաստանից, Բելառուսից, Ղազախստանից, Լեհաստանից, Հայաստանից, Ադրբեջանից և Միացյալ Նահանգներից։ 

Ավելի վաղ՝ 2023 թվականի սեպտեմբերին, ESET ընկերությունը հաղորդեց APT 28 խմբի թիրախային հարձակումների մասին Ուկրաինայի, Հայաստանի և Տաջիկստանի կառավարական հաստատությունների դեմ։  

Fancy Bear-ը Հայաստանում. հարձակում զինվորականների ու դիվանագետների վրա  

Մեզ հայտնի առաջին հարձակումները, որոնք այս խումբը իրականացրել է Հայաստանի դեմ, սկսվում են ուղիղ տասը տարի առաջ։ 2014 թվականի հոկտեմբերին հրապարակված FireEye-ի (այս պահին ընկերությունը կոչվում է Trellix) զեկույցում հետազոտողները պարզել են, որ APT28-ը գրանցել էր դոմեյն, որի միջոցով թիրախավորել էր հայ զինվորականներին՝ կեղծ էլեկտրոնային փոստի մուտքի էջ տեղադրելով: 

Հնարքը պարզ ու հանճարեղ էր. ՀՀ ՊՆ իրական տիրույթը Mil.am-ն է, կեղծը՝ RNil.am-ը։ Տեսողականորեն mil.am-ի և rnil.am-ի տարբերությունը մեկ պիքսելում է։ APT 28-ը տեղադրել էր Yahoo-ի կեղծ մուտքի էջը: 

Իսկ կեղծ տիրույթն օգտագործվել էր կեղծ նամակներով ֆիշինգը շարունակելու համար։ Trend Micro-ի զեկույցի համաձայն՝ mail.rnil.am-ը օգտագործվել էր որպես հայ զինվորականներին ուղղված ֆիշինգի արշավի գործիք: 

2015 թվականին APT 28-ը գրանցեց ևս մեկ կեղծ դոմեյն՝ ֆիշինգ գրոհների համար: Այս անգամ հաքերները թիրախավորել էին հայ դիվանագետներին՝ webmail-mfa.am-ով։ 

2016 թվականի ապրիլի սկզբին՝ Արցախի դեմ Ադրբեջանի կողմից իրականացված ռազմական հարձակման ժամանակ, անհայտ անձը առցանց գրանցել էր նոր կեղծ դոմեյն՝ ընդօրինակելով Հայաստանի ԱԳՆ կայքը և դրա վրա տեղադրել փոստային սերվերը՝ mail.rnfa.am։ Այս անգամ դոմեյնն անմիջապես արգելափակվել էր, ուստի մենք ուղղակի ապացույցներ չունենք՝ այն կրկին APT 28 էր գործու՞մ, թե՞ հնարավոր է ադրբեջանական հետախուզությունն էր ընդօրինակել մեթոդը: 

Citizen Lab-ը 2017թ հաղորդում է զանգվածային ֆիշինգ + ապատեղեկատվական հիբրիդային հարձակման մասին, որը ներառում էր APT 28-ի գործողությունները: Այս խումբը հայտնի է որպես հիբրիդային հարձակումների մաս, երբ կիբերհարձակումները ազդեցության գործողությունների մաս են կազմում: Ամենահայտնին 2016-ին ամերիկյան ընտրությունների ժամանակ իրականացված լայնածավալ հարձակումներն էին դեմոկրատների վրա։

Այս լայնածավալ հիբրիդային արշավի թիրախում էին նաև Հայաստանի քաղաքական գործիչներն ու զինվորականները. 

  • Քաղաքական գործիչներ, պետական ​​ծառայողներ և պետական ​​պաշտոնյաներ Աֆղանստանից, Հայաստանից, Ավստրիայից, Կամբոջայից, Եգիպտոսից, Վրաստանից, Ղազախստանից, Ղրղզստանից, Լատվիայից, Պերուից, Ռուսաստանից, Սլովակիայից, Սլովենիայից, Սուդանից, Թաիլանդից, Թուրքիայից, Ուկրաինայից, Ուզբեկստանից և Վիետնամից։ 
  • Զինվորական անձնակազմ Ալբանիայից, Հայաստանից, Ադրբեջանից, Վրաստանից, Հունաստանից, Լատվիայից, Չեռնոգորիայից, Մոզամբիկից, Պակիստանից, Սաուդյան Արաբիայից, Շվեդիայից, Թուրքիայից, Ուկրաինայից և ԱՄՆ-ից, ինչպես նաև ՆԱՏՕ-ի պաշտոնյաներ։ 

Հաջորդ քայլերը. քաղաքացիական հասարակությունը նույնպես թիրախ է 

2017-ին բացահայտվեց գլոբալ ֆիշինգի զանգվածային հարձակում լրագրողների, ակտիվիստների դեմ։ Եվ կրկին Fancy Bear կամ APT 28 : Եվ կրկին Հայաստանը հիմնական թիրախներից մեկն էր։

Հայաստանում APT 28-ը թիրախավորել էր ավելի քան 40 մարդու՝ հիմնականում լրագրողների, քաղաքացիական հասարակության անդամների և քաղաքական վերլուծաբանների: EVN Report խմբագիր Մարիա Թիթիզյանին Fancy Bear-ը, թիրախավորել էր 2015 թվականի հունիսի 26-ին: Թիթիզյանը հարձակումը կապել է Էլեկտրիկ Երևանի հետ:  

Սրանք հայկական թիրախների դեմ APT 28-ի միայն հայտնի հարձակումներն են։ Համոզված ենք, որ դա միայն մի մասն է։ Խումբը օգտագործում է շատ բարդ մարտավարություն, և շատ հարձակումներ կարող են աննկատ մնալ: Բայց այն, ինչ տեսնում ենք հետևյալն է՝ Հայաստանը եղել է և դեռևս ապագայում էլ կլինի Fancy Bear-ի գլխավոր թիրախներից մեկը։ 

Նաև նշենք, որ Հայաստանում ակտիվ են եղել նաև այլ ռուսաստանյան այլ պետական խմբեր, օրինակ, ФСБ-ի հետ կապված Turla, կամ կրկին ГРУ-ին վերագրվող Ember Bear խմբերը։

Սյունակում արտահայտված մտքերը պատկանում են հեղինակին եւ կարող են չհամընկնել media.am-ի տեսակետների հետ:


Մեկնաբանել

Media.am-ի ընթերցողների մեկնաբանությունները հրապարակվում են մոդերացիայից հետո: Կոչ ենք անում մեր ընթերցողներին անանուն մեկնաբանություններ չթողնել: Միշտ հաճելի է իմանալ, թե ում հետ ես խոսում:

Media.am-ը չի հրապարակի զրպարտություն, վիրավորանք, սպառնալիք, ատելություն, կանխակալ վերաբերմունք, անպարկեշտ բառեր եւ արտահայտություններ պարունակող մեկնաբանությունները կամ անընդունելի համարվող այլ բովանդակություն:

One Response to “Ռուսաստանի պետական հաքերային APT 28 խումբը. Հայաստանի դեմ նպատակային հարձակումների տասնամյակ”
  1. Միթե չկա դրանց դեմ պայքարի արդյունավետ միջոց’ մինչև լրիվ չեզոքացումը ու իրենց մեթոդն իրենց դեմ ուղղելը

Leave a Reply

Your email address will not be published. Required fields are marked *