Mentionsy

Tutaj wchodzimy w świat grup APT.

O persistent to oczywiście, jeżeli mamy zaawansowane, zaawansowanie technologiczne, mamy zaawansowanie organizacyjne, mamy również zaawansowanie finansowe, bo najczęściej są to działania grup, które są wspierane przez państwa.

Mówimy też, jest pojęcie grup APT.

Czyli mamy grupę państw, nie wszystkich na to organizacyjnie, kompetencyjnie stać.

Może nie zawsze finansowym, bo na przykład w Rosji to było pozwolenie na to, na prowadzenie nielegalnej działalności dla grup przestępczych po to, żeby kiedy państwo wezwie, to te grupy przestępcze stawały do szeregu i wykonywały zadania państwowe, więc na tym trochę ten sponsoring polegał.

Bardzo ciekawe jest to, że te grupy starają się również finansować albo kontroluować do budżetów swoich mocodawców.

Tak jak wspomniałem, aktorzy APT, czyli te grupy, które albo działają za przyzwoleniem, to o czym wspominał Mirek w Rosji, pod tak zwaną kryszą, czyli za zgodą służb, często z inspiracji służb, często zasilane również przez służby swoimi kadrami.

Funkcjonujący tradycyjnie pod nazwą GRU od wielu, wielu lat.

Do każdej z tych służb podczepione jest kilka grup, które prowadzą działania o różnym charakterze.

W innych państwach te grupy mogą funkcjonować w ramach wsparcia udzielonego przez siły zbrojne.

Czyli mamy tutaj zarówno grupy afiliowane przy podmiotach cywilnych, jak i podmiotach wojskowych.

Natomiast jak ktoś by chciał zajrzeć, a są dostępne w wyniku różnych badań, takie struktury oficjalne sięgające do jednostek, którą bardzo trzeba wspominać, że grupy poszczególne wewnątrz, no to to się staje bardzo skomplikowane, co więcej.

Szczegółowe badania albo nagle odkrycia pokazują, że coś, co nam się wydawało do tej pory, bo wyodrębniliśmy jakąś grupę, ale okazuje się, że wyodrębniliśmy ją na podstawie modus operandi.

Osób zaangażowanych w działalność danej grupy.

Tak naprawdę niektóre grupy są troszeczkę takim tworem wirtualnym.

Wiem, że komplikujemy trochę ten obraz, ale musimy go opisać poprawnie, że te grupy APT to trochę są operacje APT.

One być może mają często historyczną ciągłość i dlatego się przyzwyczajamy do tego, że to jest jakaś grupa osób, ale tak naprawdę to jest umiejętność działania w jakimś reżimie z jakimiś motywami.

Jak my blisko jesteśmy takiego punktu, przekroczenia takiego punktu determinacji, żeby na przykład powstała polska grupa APT, czy polskie operacje APT, żeby były funkcjonalne?

Mamy już takie grupy.

Często fakt istnienia grupy APT lub nieistnienia jest wynikiem, bym powiedział tak paradoksalnie, nie tyle naszej decyzji, co wykrycia takiej grupy przez innych.

To znaczy, jak znajdziemy któregoś dnia w raporcie, no się czego nie życzymy, bo być może najlepiej, jak w ogóle inni nie wiedzą o tym, że takie grupy posiadamy, ale jak w raporcie, a przecież często będziemy mówili o raportach głównie amerykańskich, czy jakiś film,

Czym są grupy APT?

Od tego, więc ja nie wyobrażam sobie, że dowództwo komponentów Wojsk Obrony Cyberprzestrzeni zorganizuje konferencję prasową, na której ogłosi, że mamy grupę APT.

Nasze grupy wygrywają wiele konkursów, co więcej również możliwości poszczególnych państw są weryfikowane podczas ćwiczeń organizowanych chociażby pod auspicjami NATO.

Słyszeliśmy o kilku grupach, które były znane może nie z włamań, z ataków, natomiast z możliwości i swoich zdolności w zakresie odnajdywania podatności, które akurat nie były wykorzystywane w złych celach.

Czy ich przybywa, czy grup przybywa, czy są diagnozowane, czy ich obecność są rozpoznawane?

Skoro przeciwnicy Federacji Rosyjskiej są w coraz większym stopniu uzależnieni od nowoczesnej gospodarki, która bazuje na technologiach cyfrowych, no to stąd liczba takich podmiotów, które wykonują zadania specjalne, bo tak należy mówić, zadania specjalne w skrytości, bo to jest też również cecha grup APT,

W odróżnieniu od haktiwistów, te grupy się nie chwalą swoimi działaniami, no chyba, że następuje tutaj zakończenie de facto działalności, pokazanie skali, czy tak jak to miało miejsce w przypadku tej operacji, o której Mirek mówił, czyli ataku na Sony, gdzie pokazano rzeczywiście to, jaka była skala zniszczeń spowodowanych przez tą grupę.

Wspomnieliśmy o tym, że mamy troszeczkę kłopot atrybucji, to znaczy raz nam się wydaje, że już wszystko wiemy o jakiejś grupie, a za chwilę się okazuje, że ta grupa występowała.

Wystąpiła, że to ktoś inny, albo wystąpiła pod inną nazwą, albo się połączyła z czymś, co myśleliśmy wcześniej, że jest inną grupą.

Każdy chce nazwać swoją grupę po swojemu.

To znaczy jeden vendor nazwie swoim systemem, drugi vendor swoim systemem i nagle się okaże, że tych grup mamy

No to 30-40% z nich to jest przeprowadzane przez te grupy o charakterze państwowym, dzisiaj już państwowym, a nie tylko sponsorowanym przez państwo.

Myślę, że ta skala operacji realizowanych przez grupy APT, ona jest uwidaczniana przy okazji większych konfliktów kinetycznych.

Czyli tak jak w momencie mówiłem o rozpoczęciu pełnoskalowej operacji na Ukrainie, w lutym 2022 roku, od razu widzieliśmy te przyłbice de facto opadły, widzieliśmy wysyp tych grup, one były wcześniej obserwowane przez największych graczy, one były atrybuowane wtedy również z możliwością wskazania infrastruktury, z której te grupy wykorzystywały, bo o tym też na pewno będziemy mówili o infrastrukturze.

Ale z drugiej strony widzimy też działania grup, które, co najmniej sześciu grup, które zostały zbudowane zarówno przez Iran, przez Ministerstwo Bezpieczeństwa i Wywiadu Islamskiej Republiki Iranu.

One były wykorzystywane również do szkolenia i proliferacji wiedzy dla grup znajdujących się, czy to w strukturach Hamasu, czy w strukturach Hezbollahu.

Ale teraz widzimy gwałtowne uderzenia tych grup występujące pod różnymi nazwami.

W ubiegłym miesiącu były ataki na Parlament Albański, realizowane przez tą samą grupę.

Przez grupę, która sama siebie nazywa Homeland Justice.

Natomiast jest to jedna z grup, które nazywane są, w tej chwili Mirek mówił o nazwach, rzeczywiście te nazwy są różne w zależności od firm zajmujących się monitorowaniem tego typu grup.

Gdzie pierwsza nazwa członu to jest wskazanie sektora, który jest w zainteresowaniu takiej grupy APT, a druga nazwa wskazuje państwo, które sponsoruje te działanie.

Jeżeli mówimy tutaj o Iranie, no to mówimy tutaj o wszystkich grupach, które mają w drugim swoim członie nazwę Sandstorm.

Jeżeli słyszymy cokolwiek o Sandstorm, a tych grup jest co najmniej siedem w tej chwili, takich monitorowanych aktywnie, to na pewno za tym stoi Iran.

Rozmowy z Robertem Koślą i z Mirosławem Majem, bo weźmiemy sobie na warsztat, proszę Państwa, monograficznie poszczególne państwa, poprzez te atrybucje do kraju, sponsora danych grup.

Dzięki ekspertom Fundacji Bezpieczna Cyberprzestrzeń rozmawiamy o grupach APT, o takim rodzaju zagrożeń.