Fancy Bear, được các chuyên gia an ninh mạng định danh là APT28, đại diện cho một nhóm gián điệp mạng tinh vi của Nga, hoạt động từ năm 2007. Nhóm này nổi tiếng với khả năng xâm nhập vào các chính phủ, tổ chức quân sự và các thực thể chiến lược trên toàn cầu.
Nhóm này còn được biết đến với các biệt danh như Sofacy, Sednit, STRONTIUM, và Unit 26165. Động cơ của họ bao gồm lợi ích tài chính, phá hoại danh tiếng, gián điệp và các chương trình nghị sự chính trị.
Công cụ và Kỹ thuật Khai thác Ban đầu
Các hoạt động của Fancy Bear thường xuyên khai thác các lỗ hổng trong bộ ứng dụng văn phòng, hệ điều hành và ứng dụng web. Nhóm sử dụng nhiều công cụ và kỹ thuật khác nhau để thực thi một cách lén lút:
- Forfiles
- Computrace
- Kỹ thuật “Living off the Land” (LotL)
- DealersChoice
- Sedkit
- Mimikatz
Kho Vũ khí Mã độc của Fancy Bear
Kho vũ khí của Fancy Bear bao gồm nhiều biến thể mã độc đa dạng, phục vụ các mục đích khác nhau từ duy trì quyền truy cập đến trích xuất dữ liệu và thực thi lệnh. Các mã độc này được thiết kế để vượt qua các biện pháp bảo mật và duy trì sự hiện diện bền vững trong các hệ thống bị xâm nhập.
Các biến thể mã độc chính:
- STEELHOOK
- HeadLace
- Sedreco
- Winexe
- OCEANMAP
- OLDBAIT
- ProcDump
- WinIDS
- certutil
- CHOPSTICK
- HIDEDRV
- SkinnyBoy
- XAgentOSX
- Drovorub
- Fysbis
- Downdelph
- ADVSTORDSHELL
- Responder
- GooseEgg
- XTunnel
- Sofacy
- Cannon
- USBStealer
- Foozer
- VPNFilter
- Koadic
- CORESHELL
- Komplex
- SlimAgent
- JHUHUGIT
- Seduploader
- Zebrocy
- PythocyDbg
- BeardShell
- PocoDown
- MASEPIE
- Nimcy
- LoJax
Mục tiêu và Phạm vi Hoạt động
Các implant này giúp Fancy Bear duy trì quyền truy cập liên tục, trích xuất dữ liệu và thực thi lệnh trên các quốc gia mục tiêu. Theo báo cáo của Cyfirma, các quốc gia bị nhắm đến bao gồm Afghanistan, Brazil, Campuchia, Pháp, Georgia, Đức, Ấn Độ, Indonesia, Kazakhstan, Malaysia, Moldova, Pakistan, Romania, Nga, Nam Phi, Syria, Thái Lan, Thổ Nhĩ Kỳ, Ukraine, Hoa Kỳ, Việt Nam và Úc.
Chiến thuật, Kỹ thuật và Quy trình (TTPs) theo MITRE ATT&CK
Fancy Bear áp dụng một loạt các TTPs phức tạp, được ánh xạ chi tiết theo khung MITRE ATT&CK, cho thấy khả năng thích nghi và sự đa dạng trong phương thức tấn công của nhóm.
Trinh sát (Reconnaissance)
Để thu thập thông tin tình báo về mục tiêu, nhóm sử dụng các kỹ thuật trinh sát sau:
- T1598 (Phishing for Information): Lừa đảo để thu thập thông tin, thường là thông qua các email hoặc trang web giả mạo.
- T1595.002 (Vulnerability Scanning): Quét lỗ hổng để xác định các điểm yếu có thể khai thác trên hệ thống mục tiêu.
Phát triển Tài nguyên (Resource Development)
Nhóm xây dựng các tài nguyên cần thiết cho các chiến dịch tấn công bằng cách:
- T1583.006 (Web Services): Thu thập cơ sở hạ tầng thông qua các dịch vụ web.
- T1588.002 (Tool): Thu thập các công cụ cần thiết cho hoạt động tấn công.
Truy cập Ban đầu (Initial Access)
Truy cập ban đầu vào các hệ thống mục tiêu thường đạt được thông qua:
- T1189 (Drive-by Compromise): Compromise qua trình duyệt khi người dùng truy cập trang web độc hại.
- T1566.001 (Phishing: Spearphishing Attachment): Tấn công spearphishing bằng tệp đính kèm độc hại.
- T1566.002 (Phishing: Spearphishing Link): Tấn công spearphishing bằng liên kết độc hại, thường dẫn đến các tên miền giả mạo hoặc sử dụng macro độc hại.
- T1190 (Exploit Public-Facing Application): Khai thác các lỗ hổng trong ứng dụng hướng ra Internet.
Thực thi (Execution)
Sau khi có quyền truy cập ban đầu, Fancy Bear thực thi các payload bằng các kỹ thuật:
- T1203 (Exploitation for Client Execution): Khai thác các ứng dụng phía máy khách để thực thi mã độc.
- T1059.003 (Command and Scripting Interpreter: Windows Command Shell): Sử dụng Windows Command Shell để thực thi lệnh và script.
- T1204.001 (User Execution: Malicious Link): Lừa người dùng nhấp vào liên kết độc hại.
- T1204.002 (User Execution: Malicious File): Lừa người dùng mở tệp độc hại.
Duy trì Quyền truy cập (Persistence)
Để duy trì quyền truy cập bền vững, nhóm sử dụng các phương pháp:
- T1547.001 (Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder): Thiết lập cơ chế tự khởi động thông qua khóa Registry Run hoặc thư mục Startup.
- T1505.003 (Server Software Component: Web Shell): Cài đặt web shell trên các máy chủ để duy trì truy cập từ xa.
Nâng cao Đặc quyền (Privilege Escalation)
Nhóm tìm cách nâng cao đặc quyền trong hệ thống mục tiêu bằng cách khai thác:
- T1068 (Exploitation for Privilege Escalation): Khai thác các lỗ hổng để nâng cao đặc quyền.
- T1078 (Valid Accounts): Sử dụng các tài khoản hợp lệ bị đánh cắp hoặc đã bị xâm phạm.
Né tránh Phòng thủ (Defense Evasion)
Để tránh bị phát hiện, Fancy Bear áp dụng các chiến thuật:
- T1027 (Obfuscated Files or Information): Làm xáo trộn tệp hoặc thông tin để che giấu mục đích.
- T1070.004 (Indicator Removal: File Deletion): Xóa các dấu vết và bằng chứng bằng cách xóa tệp.
- T1564.001 (Hide Artifacts: Hidden Files and Directories): Ẩn các tạo phẩm độc hại trong các tệp và thư mục ẩn.
Truy cập Thông tin Xác thực (Credential Access)
Thu thập thông tin xác thực là một mục tiêu quan trọng, đạt được thông qua:
- T1003 (OS Credential Dumping): Trích xuất thông tin xác thực từ hệ điều hành.
- T1110 (Brute Force): Tấn công Brute Force để đoán mật khẩu.
Khám phá (Discovery)
Sau khi có quyền truy cập, nhóm khám phá môi trường mạng bằng cách:
- T1083 (File and Directory Discovery): Khám phá các tệp và thư mục quan trọng.
- T1040 (Network Sniffing): Nghe lén lưu lượng mạng để thu thập thông tin.
Thu thập Dữ liệu (Collection)
Thu thập dữ liệu nhạy cảm được thực hiện qua:
- T1005 (Data from Local System): Thu thập dữ liệu từ hệ thống cục bộ.
- T1113 (Screen Capture): Chụp ảnh màn hình để thu thập thông tin trực quan.
Trích xuất Dữ liệu (Exfiltration)
Dữ liệu thu thập được sẽ được đưa ra ngoài thông qua:
- T1041 (Exfiltration Over C2 Channel): Trích xuất dữ liệu qua kênh chỉ huy và kiểm soát (C2).
- T1567 (Exfiltration Over Web Service): Trích xuất dữ liệu qua dịch vụ web.
Chỉ huy và Kiểm soát (Command and Control)
Kênh C2 được thiết lập để duy trì giao tiếp và kiểm soát từ xa:
- T1071.001 (Application Layer Protocol: Web Protocols): Sử dụng các giao thức lớp ứng dụng như HTTP/HTTPS.
- T1105 (Ingress Tool Transfer): Chuyển công cụ vào hệ thống bị xâm nhập, thường thông qua các proxy đã bị xâm phạm.
Di chuyển Ngang (Lateral Movement)
Di chuyển ngang trong mạng mục tiêu được thực hiện bằng cách:
- T1021.002 (Remote Services: SMB/Windows Admin Shares): Sử dụng các dịch vụ từ xa như SMB/Windows Admin Shares.
- T1210 (Exploitation of Remote Services): Khai thác các lỗ hổng trong dịch vụ từ xa.
Tác động (Impact)
Mục tiêu cuối cùng có thể là gây ra tác động đến hệ thống, ví dụ:
- T1498 (Network Denial of Service): Gây ra từ chối dịch vụ mạng thông qua việc chiếm đoạt tài nguyên.
Các Chiến dịch Gần đây và Mục tiêu
Trong các hoạt động gần đây, Fancy Bear đã tăng cường nỗ lực trong bối cảnh xung đột Ukraine. Nhóm này liên tục khai thác các lỗ hổng bảo mật để xâm nhập hệ thống và thực hiện các chiến dịch gián điệp.
Khai thác CVEs nổi bật:
- CVE-2023-23397: Lỗ hổng nâng cao đặc quyền trong Microsoft Outlook.
- CVE-2023-38831: Lỗ hổng thực thi mã trong WinRAR.
- CVE-2023-20085: Lỗ hổng từ chối dịch vụ trong Cisco IOS XE.
Chiến thuật Spearphishing và Lỗ hổng XSS
Các chiến dịch gần đây nhắm vào các quan chức Ukraine và các nhà cung cấp quân sự phương Tây thông qua các cuộc tấn công spearphishing. Nhóm này tận dụng các lỗ hổng tấn công tập lệnh chéo (XSS) trong các nền tảng webmail phổ biến như Roundcube, Horde, MDaemon và Zimbra. Một ví dụ cụ thể là CVE-2023-43770 trong Roundcube.
Các payload JavaScript tùy chỉnh được sử dụng để trích xuất email, danh bạ và thông tin xác thực. Nhóm thậm chí có thể vượt qua xác thực hai yếu tố (2FA) bằng cách hiển thị các lời nhắc đăng nhập giả mạo.
Phạm vi Mục tiêu Rộng hơn
Hoạt động gián điệp rộng hơn của Fancy Bear cũng nhắm vào các công ty logistics hỗ trợ Ukraine, như đã được ghi nhận trong các bản tư vấn tình báo đa quốc gia. Nhóm sử dụng các mồi nhử được tùy chỉnh để giống các tài liệu hợp pháp, nhằm triển khai các loader HATVIBE và backdoor CHERRYSPY. Các hoạt động này có sự trùng lặp với các implant Zebrocy.
Xu hướng và Sự Phát triển của Fancy Bear
Các xu hướng hoạt động của Fancy Bear cho thấy một trọng tâm địa chính trị rõ ràng. Nhóm tiếp tục thực hiện các cuộc tấn công phishing tinh vi, giả mạo các nguồn đáng tin cậy như các tệp chính phủ Kazakhstan, nhằm lây nhiễm cho các quan chức Trung Á và Châu Âu.
Thích nghi và Né tránh
Khả năng thích nghi của nhóm được thể hiện qua việc xoay vòng mã độc, làm xáo trộn mã, xóa nhật ký sự kiện và lạm dụng cơ sở hạ tầng hợp pháp cho kênh C2, từ đó nâng cao khả năng né tránh phát hiện.
Thu thập Thông tin Xác thực và Chiến tranh Lai ghép
Thu thập thông tin xác thực vẫn là một chiến thuật trọng tâm, cho phép duy trì quyền truy cập bền vững trên nhiều nạn nhân khác nhau. Lịch sử của nhóm trong việc phát tán thông tin sai lệch thông qua các nhân vật giả mạo như Guccifer 2.0 nhấn mạnh phương pháp chiến tranh lai ghép của họ, kết hợp sức mạnh kỹ thuật với kỹ thuật xã hội để duy trì ưu thế trên không gian mạng.
Những TTPs này làm nổi bật sự phát triển của Fancy Bear, một nhóm liên tục kết hợp năng lực kỹ thuật với kỹ thuật xã hội để đạt được sự thống trị trên không gian mạng.
