2024.04.01,

Քննադատ

Ռուսաստանի պետական հաքերային APT 28 խումբը. Հայաստանի դեմ նպատակային հարձակումների տասնամյակ

author_posts/samvel-martirosyan
Սամվել Մարտիրոսյան
twiterfacebook

Մեդիա հետազոտող

Պատկերը՝ crowdstrike-ից

Հայաստանը անընդհատ ենթարկվում է կիբերհարձակումների։ Դրանք իրականացնում են տարբեր խմբեր՝ շատ տարբեր դրդապատճառներով։ Հիմնական երկու ուղղություններն են զուտ քրեական կիբերհանցագործություները և տարբեր պետությունների շահերը։ Այս անգամ մի կողմ թողնենք կրիմինալը և դիտարկենք քաղաքական և աշխարհաքաղաքական շարժառիթները։  

Հասկանալի է, որ Ադրբեջանը անընդհատ գրոհում է Հայաստանի կիբերտիրույթը։ Սակայն, այստեղ մենք գործ ունենք շատ բազմազան հաքերային խմբերի հետ։ Մ մասն այսպես կոչված հայրենասիրական խմբավորումներ են, մի մասը պատկանում են զանազան պետական կառույցների, կամ վերահսկվում են դրանց կողմից։ Բացի դրանից, Ադրբեջանը օգտագործում է վարձկանների՝ հիմնականում ԱՊՀ տարածքում գործող անկախ հաքերային խմբերի, որոնք գումարի դիմաց կատարում են հատուկ ծառայությունների առաջադրանքները։ Ադրբեջանը նաև լրտեսական ծրագրերի շուկայում ակտիվ գնորդ է, հիմնականում՝ Pegasus-ի։  

Սակայն, եթե խոսենք ազդեցիկ պետությունների կողմից վերահսկվող արհեստավարժ և երկարաժամկետ աշխատող հաքերային խմբերի մասին, որոնք կարողանում են իրականացնել երկարաժամկետ և խորաթափանց հարձակումներ, ապա այսօր Ադրբեջանը, ինչպես նաև Հայաստանը դեռ այդպիսինների ցանկում չեն։  

Նմանատիպ պետական հաքերային խմբերի հարձակումների տեսակետից Հայաստանի ու հայաստանյան թիրախների դեմ ամենաակտիվը (թեև որոշ մարդկանց դա կարող է տարօրինակ թվալ) աշխատում է  ռուսաստանյան APT 28 թիմը։  

Ովքե՞ր են APT 28-ը  

Fancy Bear-ը, որը նաև հայտնի է որպես APT28, ռուսական հայտնի հաքերային կամ կիբերլրտեսական խումբ է, որը կապեր ունի ռուսական ռազմական հետախուզական գործակալության՝ ГРУ-ի հետ: Խումբն ակտիվ է 2000-ականների կեսերից և հիմնականում առաջ է մղում ռուսական քաղաքական շահերը: Խմբավորման թիրախները ներառում են կառավարական, ռազմական և անվտանգության կազմակերպություններ, որոնք կենտրոնացած են Հարավային Կովկասի, հետխորհրդային երկրների և ՆԱՏՕ-ին միացած երկրների վրա:  

Նրանք աղմկահարույց հարձակումներ են իրականացրել այնպիսի կառույցների վրա, ինչպիսիք են Գերմանիայի և Նորվեգիայի խորհրդարանները, TV5Monde-ը, ՆԱՏՕ-ն, Սպիտակ տունը, Դեմոկրատական ​​ազգային կոմիտեն և Հիլարի Քլինթոնի նախագահական արշավի և Ֆրանսիայի նախագահի թեկնածու Էմանուել Մակրոնի քարոզարշավի մասնակցիները: 

APT 28-ը նշվում է տարբեր անուններով (կախված կիբեր սպառնալիքների լաբորատորիայից). 

  • Fancy Bear
  • Pawn Storm 
  • Sofacy Group 
  • Sednit 
  • Forest Blizzard 
  • Tsar Team 
  • STRONTIUM 
  • ITG05 

Fancy Bear-ը Հայաստանում. վերջին հայտնի դեպքերը

Հայաստանի դեմ ամենաթարմ հարձակումների մասին մենք իմացանք վերջերս։  

2024 թվականի մարտին IBM X-Force հաղորդեց 2024 թվականի փետրվարի վերջին Ռուսաստանի պետական ​​հովանավորվող հաքերային թիմի՝ APT 28-ի, իրականացրած բազմաթիվ ֆիշինգային արշավների մասին, որոնց թիրախներն են կազմակերպություններ առնվազն Արգենտինայից, Ուկրաինայից, Վրաստանից, Բելառուսից, Ղազախստանից, Լեհաստանից, Հայաստանից, Ադրբեջանից և Միացյալ Նահանգներից։ 

Ավելի վաղ՝ 2023 թվականի սեպտեմբերին, ESET ընկերությունը հաղորդեց APT 28 խմբի թիրախային հարձակումների մասին Ուկրաինայի, Հայաստանի և Տաջիկստանի կառավարական հաստատությունների դեմ։  

Fancy Bear-ը Հայաստանում. հարձակում զինվորականների ու դիվանագետների վրա  

Մեզ հայտնի առաջին հարձակումները, որոնք այս խումբը իրականացրել է Հայաստանի դեմ, սկսվում են ուղիղ տասը տարի առաջ։ 2014 թվականի հոկտեմբերին հրապարակված FireEye-ի (այս պահին ընկերությունը կոչվում է Trellix) զեկույցում հետազոտողները պարզել են, որ APT28-ը գրանցել էր դոմեյն, որի միջոցով թիրախավորել էր հայ զինվորականներին՝ կեղծ էլեկտրոնային փոստի մուտքի էջ տեղադրելով: 

Հնարքը պարզ ու հանճարեղ էր. ՀՀ ՊՆ իրական տիրույթը Mil.am-ն է, կեղծը՝ RNil.am-ը։ Տեսողականորեն mil.am-ի և rnil.am-ի տարբերությունը մեկ պիքսելում է։ APT 28-ը տեղադրել էր Yahoo-ի կեղծ մուտքի էջը: 

Իսկ կեղծ տիրույթն օգտագործվել էր կեղծ նամակներով ֆիշինգը շարունակելու համար։ Trend Micro-ի զեկույցի համաձայն՝ mail.rnil.am-ը օգտագործվել էր որպես հայ զինվորականներին ուղղված ֆիշինգի արշավի գործիք: 

2015 թվականին APT 28-ը գրանցեց ևս մեկ կեղծ դոմեյն՝ ֆիշինգ գրոհների համար: Այս անգամ հաքերները թիրախավորել էին հայ դիվանագետներին՝ webmail-mfa.am-ով։ 

2016 թվականի ապրիլի սկզբին՝ Արցախի դեմ Ադրբեջանի կողմից իրականացված ռազմական հարձակման ժամանակ, անհայտ անձը առցանց գրանցել էր նոր կեղծ դոմեյն՝ ընդօրինակելով Հայաստանի ԱԳՆ կայքը և դրա վրա տեղադրել փոստային սերվերը՝ mail.rnfa.am։ Այս անգամ դոմեյնն անմիջապես արգելափակվել էր, ուստի մենք ուղղակի ապացույցներ չունենք՝ այն կրկին APT 28 էր գործու՞մ, թե՞ հնարավոր է ադրբեջանական հետախուզությունն էր ընդօրինակել մեթոդը: 

Citizen Lab-ը 2017թ հաղորդում է զանգվածային ֆիշինգ + ապատեղեկատվական հիբրիդային հարձակման մասին, որը ներառում էր APT 28-ի գործողությունները: Այս խումբը հայտնի է որպես հիբրիդային հարձակումների մաս, երբ կիբերհարձակումները ազդեցության գործողությունների մաս են կազմում: Ամենահայտնին 2016-ին ամերիկյան ընտրությունների ժամանակ իրականացված լայնածավալ հարձակումներն էին դեմոկրատների վրա։

Այս լայնածավալ հիբրիդային արշավի թիրախում էին նաև Հայաստանի քաղաքական գործիչներն ու զինվորականները. 

  • Քաղաքական գործիչներ, պետական ​​ծառայողներ և պետական ​​պաշտոնյաներ Աֆղանստանից, Հայաստանից, Ավստրիայից, Կամբոջայից, Եգիպտոսից, Վրաստանից, Ղազախստանից, Ղրղզստանից, Լատվիայից, Պերուից, Ռուսաստանից, Սլովակիայից, Սլովենիայից, Սուդանից, Թաիլանդից, Թուրքիայից, Ուկրաինայից, Ուզբեկստանից և Վիետնամից։ 
  • Զինվորական անձնակազմ Ալբանիայից, Հայաստանից, Ադրբեջանից, Վրաստանից, Հունաստանից, Լատվիայից, Չեռնոգորիայից, Մոզամբիկից, Պակիստանից, Սաուդյան Արաբիայից, Շվեդիայից, Թուրքիայից, Ուկրաինայից և ԱՄՆ-ից, ինչպես նաև ՆԱՏՕ-ի պաշտոնյաներ։ 

Հաջորդ քայլերը. քաղաքացիական հասարակությունը նույնպես թիրախ է 

2017-ին բացահայտվեց գլոբալ ֆիշինգի զանգվածային հարձակում լրագրողների, ակտիվիստների դեմ։ Եվ կրկին Fancy Bear կամ APT 28 : Եվ կրկին Հայաստանը հիմնական թիրախներից մեկն էր։

Հայաստանում APT 28-ը թիրախավորել էր ավելի քան 40 մարդու՝ հիմնականում լրագրողների, քաղաքացիական հասարակության անդամների և քաղաքական վերլուծաբանների: EVN Report խմբագիր Մարիա Թիթիզյանին Fancy Bear-ը, թիրախավորել էր 2015 թվականի հունիսի 26-ին: Թիթիզյանը հարձակումը կապել է Էլեկտրիկ Երևանի հետ:  

Սրանք հայկական թիրախների դեմ APT 28-ի միայն հայտնի հարձակումներն են։ Համոզված ենք, որ դա միայն մի մասն է։ Խումբը օգտագործում է շատ բարդ մարտավարություն, և շատ հարձակումներ կարող են աննկատ մնալ: Բայց այն, ինչ տեսնում ենք հետևյալն է՝ Հայաստանը եղել է և դեռևս ապագայում էլ կլինի Fancy Bear-ի գլխավոր թիրախներից մեկը։ 

Նաև նշենք, որ Հայաստանում ակտիվ են եղել նաև այլ ռուսաստանյան այլ պետական խմբեր, օրինակ, ФСБ-ի հետ կապված Turla, կամ կրկին ГРУ-ին վերագրվող Ember Bear խմբերը։

Սյունակում արտահայտված մտքերը պատկանում են հեղինակին եւ կարող են չհամընկնել media.am-ի տեսակետների հետ:

Մեկնաբանել

Media.am-ի ընթերցողների մեկնաբանությունները հրապարակվում են մոդերացիայից հետո: Կոչ ենք անում մեր ընթերցողներին անանուն մեկնաբանություններ չթողնել: Միշտ հաճելի է իմանալ, թե ում հետ ես խոսում:

Media.am-ը չի հրապարակի զրպարտություն, վիրավորանք, սպառնալիք, ատելություն, կանխակալ վերաբերմունք, անպարկեշտ բառեր եւ արտահայտություններ պարունակող մեկնաբանությունները կամ անընդունելի համարվող այլ բովանդակություն:

One Response to “Ռուսաստանի պետական հաքերային APT 28 խումբը. Հայաստանի դեմ նպատակային հարձակումների տասնամյակ”
  1. Lusik Saroyan says:
    2024.04.16 at 10:44 pm

    Միթե չկա դրանց դեմ պայքարի արդյունավետ միջոց’ մինչև լրիվ չեզոքացումը ու իրենց մեթոդն իրենց դեմ ուղղելը

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Սույն կայքը հնարավոր է դարձել Ամերիկայի ժողովրդի առատաձեռն աջակցությամբ՝ ԱՄՆ Միջազգային զարգացման գործակալության (ԱՄՆ ՄԶԳ) միջոցով:

Բովանդակության համար պատասխանատվություն է կրում Ինտերնյուս Նեթվորքի ենթադրամաշնորհառու Մեդիա նախաձեռնությունների կենտրոնը, և այն պարտադիր չէ, որ արտահայտի ԱՄՆ ՄԶԳ-ի կամ Միացյալ Նահանգների կառավարության տեսակետները: