АНАЛІЗ КІБЕРАТАК ТА ДІЯЛЬНОСТІ APT ГРУП В УКРАЇНІ

Максим Опанович

doi:10.28925/2663-4023.2024.24.172184

Автор(и)

Максим Опанович Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-2748-2965

DOI:

https://doi.org/10.28925/2663-4023.2024.24.172184

Ключові слова:

APT, кіберзагрози, кібервійна, Mitre, Zero Trust, Defence in Depth

Анотація

Стаття присвячена аналізу кібератак та діяльності APT(Advanced Persistent Threat) груп в Україні, яка значно активізувалася протягом останнього десятиліття у контексті зростаючої глобалізації інформаційної війни та політичних конфліктів. В роботі поглиблено розглядаються методи, тактики та процедури (TTP), які використовуються відомими APT групами, такими як Sandworm, Fancy Bear (APT28), та Gamaredon, для здійснення цілеспрямованих кібератак проти України. Основною метою статті є виявлення закономірностей у діяльності APT груп і формування рекомендацій для розробки ефективних стратегій кіберзахисту. В роботі використані дані з відкритих джерел, звіти CERT-UA, та аналітичні матеріали міжнародних компаній для оцінки сучасного стану кібербезпеки та ідентифікації потенційних вразливостей, які можуть бути використані зловмисниками. В статті детально описано різні методи кібератак, що включають використання поліморфних і метаморфічних шкідливих програм, атаки на ланцюги поставок та методи, тактики та процедури відповідно до фреймворку Mitre. Значну увагу приділено стратегіям захисту від APT атак, з особливим фокусом на архітектурі нульової довіри (Zero Trust) та поглибленому захисті (Defence in Depth), що включає застосування багаторівневих систем захисту для мінімізації ризиків та забезпечення відновлення після інцидентів. Також обговорюються тактики протидії зловмисникам, використання передових рішень для захисту мережі та кінцевих точок, і широке впровадження багатофакторної аутентифікації та методів захисту проти фішингових атак. Стаття наголошує на важливості комплексного підходу до побудови системи захисту, який включає як технічні, так і організаційні аспекти. Результати дослідження підкреслюють необхідність постійної оновленості технологій та методів аналізу загроз для адекватного реагування на сучасні та майбутні кібератаки.

Завантаження

Дані завантаження ще не доступні.

Посилання

Hönö, O. (2023). From moonlight maze to solarwinds: how russian apt groups operate? Master’s Thesis. Jyväskylä.

Mwiki, H., Dargahi, T., Dehghantanha, A., & Choo, K.-K. R. (2019). Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure: APT28, RED October, and Regin. Critical Infrastructure Security and Resilience, 221–244. https://doi.org/10.1007/978-3-030-00024-0_12

Han, W. et al. (2021). APTMalInsight: Identify and cognize APT malware based on system call information and ontology knowledge framework. Information Sciences, 546, 633–664.

Mohamed, N. (2022). State-of-the-Art in Chinese APT Attack and Using Threat Intelligence for Detection. A Survey. Journal of Positive School Psychology, 6(5), 4419–4443.

Activity of the UAC-0114 (Winter Vivern) group in relation to the state bodies of Ukraine and Poland (CERT-UA#5909). (n.d.). cert.gov.ua. https://cert.gov.ua/article/3761023

Cyber attack by the APT28 group using the CredoMap malicious program (CERT-UA#4843). (n.d.). cert.gov.ua. https://cert.gov.ua/article/341128

Cyberattack by the APT28 group using the CredoMap_v2 malicious program (CERT-UA#4622). (n.d.). cert.gov.ua. https://cert.gov.ua/article/40102

APT28 cyberattack: distribution of emails with “instructions” for “updating the operating system” (CERTUA#6562). (n.d.). cert.gov.ua. https://cert.gov.ua/article/4492467

Cyber attack of the Sandworm group (UAC-0082) on the energy facilities of Ukraine using malicious programs INDUSTROYER2 and CADDYWIPER (CERT-UA#4435). (n.d.). cert.gov.ua. https://cert.gov.ua/article/39518

Cyber attack of the UAC-0026 group using the HeaderTip malware (CERT-UA#4244). (n.d.). cert.gov.ua. https://cert.gov.ua/article/38097

Cyber attack of the UAC-0035 group (InvisiMole) on state organizations of Ukraine (CERT-UA#4213). (n.d.). cert.gov.ua. https://cert.gov.ua/article/37829

Cyber attack of the UAC-0098 group on the state bodies of Ukraine using the Metasploit framework (CERT-UA#4560). (n.d.). https://cert.gov.ua/article/39934

Targeted Turla attacks (UAC-0024, UAC-0003) using CAPIBAR and KAZUAR malware (CERT-UA#6981). (n.d.). cert.gov.ua. https://cert.gov.ua/article/5213167

Cyber Operations during the Russo-Ukrainian War. (n.d.). www.csis.org. https://www.csis.org/analysis/cyber-operations-during-russo-ukrainian-war

2022 ICS Attacks: Fewer-Than-Expected on US Energy Sector, But Ransomware Surged. (n.d.). SecurityWeek. https://www.securityweek.com/2022-ics-attacks-fewer-than-expected-on-us-energy-sector-but-ransomware-surged/

Energy Provider in Ukraine Targeted With Industroyer2 ICS Malware. (n.d.). SecurityWeek. https://www.securityweek.com/energy-provider-ukraine-targeted-industroyer2-ics-malware/

Chinese threat actor Scarab targets Ukraine, CERT-UA warns. (n.d.). Security Affairs. https://securityaffairs.com/129477/apt/chinese-threat-actor-scarab-targets-ukraine-cert-ua-warns.html

Gamaredon APT Improves Toolset to Target Ukraine Government, Military. (n.d.). Threatpost | The first stop for security news. https://threatpost.com/gamaredon-apt-toolsetukraine/152568/

Possible APT attacks against Ukraine expand to target journalists, researchers say. (n.d.). CyberScoop. https://cyberscoop.com/gamaredon-apt-ukraine-anomali-foritnet/

Ukraine Targeted by Chinese Threat Actor Group, Scarab. (n.d.). www.anvilogic.com. https://www.anvilogic.com/threat-reports/scarab-attacks-ukraine-china

Pro-Russian CyberSpy Gamaredon Intensifies Ukrainian Security Targeting - SentinelLabs. (n.d.). SentinelOne. https://www.sentinelone.com/labs/pro-russian-cyberspy-gamaredon-intensifies-ukrainian-security-targeting/

Russian Cybercrime Trickbot Group is systematically attacking Ukraine. (n.d.). Security Affairs. https://securityaffairs.com/132999/cyber-crime/trickbot-systematically-attacking-ukraine.html

Unprecedented shift: The Trickbot group is systematically attacking Ukraine. (n.d.). securityintelligence.com. https://securityintelligence.com/x-force/trickbot-group-systematically-attacking-ukraine/

Enterprise Matrix. (n.d.). attack.mitre.org. https://attack.mitre.org/matrices/enterprise/

Zhuravchak, D., Glushchenko, P., Opanovych, M., Dudykevych, V., & Piskozub, A. (2023). A zero-trust concept for active directory protection to detect ransomware. Electronic specialized scientific publication “Cybersecurity: education, science, technology”, 2(22), 179–190. https://doi.org/10.28925/2663-4023.2023.22.179190