Lider cybersecurity planujący program cyberhigieny
28 lipca 2025

Adwersarz, którego nie widać: 
Wywiadowcze zagrania APT28 w cyberprzestrzeni

Wyobraź sobie, że w Twojej cyfrowej twierdzy nagle pojawia się intruz. Ktoś, kto nie tylko próbuje się włamać, ale robi to z taką finezją, że ledwie zauważasz jego obecność.
W świecie cyberbezpieczeństwa nazywamy go adwersarzem - to każda osoba lub grupa, która chce nieautoryzowanie „buszować” po naszych systemach, danych czy sieciach. Może to być pojedynczy haker-samotnik, zorganizowana klika przestępcza, a nawet "sabotażysta z wewnątrz".

Nie wszyscy wrogowie są sobie równi

W cyberprzestrzeni, tak jak w życiu, nie wszyscy są równi. Niektórzy przeciwnicy mają za plecami... całe państwo. Wyposażeni w wojskowe doświadczenie wywiadowcze i niemal nieograniczone zasoby, działają w cieniu, metodycznie i z wyrachowaniem.

W tym artykule zagłębiam się w świat elitarnych adwersarzy, których strategiczne operacje i logika wywiadu wojskowego sprawiają, że klasyczne sposoby obrony po prostu nie wystarczą!

APT -elita cyberprzestępczości

APT (Advanced Persistent Threat) to "zaawansowane, uparte zagrożenie". Wyobraź sobie kogoś, kto działa jak snajper: jest wysoce zaawansowany technologicznie, niezwykle cierpliwy (potrafi działać tygodniami, miesiącami, a nawet latami) i skupiony na konkretnym celu. To nie są przypadkowe ataki, ale precyzyjnie zaplanowane operacje wojskowe.

Co ich napędza?

Ich cele są zawsze strategiczne, nigdy przypadkowe:

Kradzież informacji: rządowych sekretów, wojskowych planów, korporacyjnych tajemnic.
► Szpiegostwo: klasyczny cyber-szpieg, który patrzy, podsłuchuje i gromadzi dane.
► Potencjalny sabotaż: marzy im się paraliżowanie infrastruktury krytycznej – od elektrowni po banki.
► Wpływ na decyzje: chcą manipulować polityką i gospodarką.

Kto się za tym kryje?

Zazwyczaj są to dobrze zorganizowane i finansowane byty:
► Sponsorowane przez państwo grupy hakerskie.
► Jednostki wywiadowcze działające na specjalne zlecenie.
► Zorganizowane grupy przestępcze, które zdobyły gigantyczne fundusze i możliwości.

 

Ich supermoce, czyli cechy APT

Te grupy wyróżniają się unikalnym zestawem cech, które czynią je wyjątkowo groźnymi:

► Technologiczny geniusz: używają "0-day’ów" (luk w systemach, o których nikt jeszcze nie wie), autorskiego oprogramowania i ataków wieloetapowych – to prawdziwi mistrzowie cyberinżynierii.

► Żelazna wytrwałość: potrafią czekać latami, by osiągnąć swój cel. Nic ich nie zniechęca!

► Celność snajpera: ich ataki są jak chirurgiczne cięcia – precyzyjnie wymierzone w konkretne ofiary.

► Dyskrecja niewidzialnego: stosują sztuczki, by pozostać niewykrytymi, np. "living off the land" (czyli używają narzędzi, które już masz w systemie – jak włamywacz, który korzysta z Twoich kluczy!).

► Motywacja strategiczna: nie chodzi im o szybki zysk. Działają w interesie politycznym, a pieniądze są tylko środkiem do celu.

Oto kilka "gwiazd" APT

Choć lista grup APT jest długa i dynamiczna, te nazwy powinieneś znać:

► APT28 (Fancy Bear) - rosyjscy agenci z GRU, o nich za chwilę szerzej!

► APT29 (Cozy Bear) - również z Rosji, związani z FSB.

► Charming Kitten (APT35) - z Iranu.

► Lazarus Group - z Korei Północnej.

► APT10 (Stone Panda) - z Chin.

Dlaczego musimy zrozumieć tego wroga?

W cyberwywiadzie mówi się o "modelowaniu adwersarza", czyli odtwarzaniu jego działań krok po kroku.
Po co? Żeby zbudować obronę, która naprawdę działa, dzięki temu można:
► Tworzyć fortece, które powstrzymają elity hakerów.
► Testować odporność naszych organizacji na najtrudniejsze scenariusze.
► Szybciej wykrywać najmniejsze ślady, że ktoś niepowołany buszuje po naszych systemach.

W cieniu graczy: APT28 (fancy bear) – rosyjski duch w sieci

Jeśli ktoś ma za sobą państwowy wywiad wojskowy, to właśnie APT28. To jeden z najbardziej znanych i niebezpiecznych adwersarzy, działający cicho, metodycznie i zawsze z geopolitycznym celem. To ramię rosyjskiego wywiadu wojskowego GRU, wykonujące zadania zlecane przez Federację Rosyjską.

Jakie są ich cele?

► Kradzież wrażliwych informacji: dokumentów, haseł, prywatnej komunikacji.

► Szpiegostwo polityczne i wojskowe: poznanie Twoich sekretów to ich priorytet.

► Zakłócanie demokracji: wpływanie na wybory, referenda, osłabianie państw.

► Manipulacja opinią publiczną: sianie dezinformacji, by destabilizować całe państwa.

Jaki jest ich podręcznik operacji? (czyli TTP z MITRE ATT&CK)

Analizując konkretnie działania APT28, eksperci często opierają się na modelu MITRE ATT&CK, który systematyzuje taktyki, techniki i procedury (TTP) stosowane przez atakujących. Oto jak zazwyczaj wygląda cykl ataku tej grupy:

► Wejście do systemu (Dostęp początkowy): często wysyłają spersonalizowane e-maile (spear phishing) z zainfekowanymi dokumentami (Word, Excel, PDF) lub "zakażają" legalne strony internetowe (watering hole), czekając, aż wejdziesz. A gdy tylko odkryją jakąś lukę "0-day" (nieznaną nikomu innemu), natychmiast ją wykorzystują (np. w MS Office czy urządzeniach Cisco).

► Uruchomienie i utrzymanie obecności: wykorzystują makra, skrypty (PowerShell, VBScript), złośliwe dodatki, a nawet narzędzia, które już masz w systemie (Living off the Land!), żeby ich nie wykryto. Potem tworzą zadania zaplanowane i backdoory, by mieć stały dostęp.

► Awansowanie w systemie (Eskalacja uprawnień): szukają lokalnych luk (jak np. w Outlooku), żeby zyskać uprawnienia administratora.

► Zacieranie śladów (Unikanie wykrycia): zmieniają logi, szyfrują komunikację, używają proxy i ciągle zmieniają swoje serwery dowodzenia i kontroli (C2), żebyś ich nie namierzył.

► Kradzież haseł (Kompromitacja poświadczeń): nie tylko brute force! Wykorzystują password spraying, phishing, kradną tokeny, ciasteczka, a nawet robią zrzuty haseł z pamięci. Celują nie tylko w IT, ale w kluczowych menedżerów.

► Rozpoznanie terenu (Rozpoznanie środowiska): dokładnie badają, kogo mają w sieci, jakie są komputery, uprawnienia.

► Ruch boczny: poruszają się po sieci jak po własnym podwórku (RDP, SMB, WinRM).

► Zbieranie danych: używają keyloggerów, robią zrzuty ekranu, kradną dokumenty, automatycznie pobierają wszystko, co wartościowe.

► Wyciek danych (Eksfiltracja): wysyłają dane ukrytymi kanałami C2, używają własnych protokołów i szyfrują wszystko, co wychodzi na zewnątrz.

► Dowodzenie i Kontrola (C2): ich serwery są ukryte, dynamiczne i błyskawicznie reagują na zmiany, a infrastruktura jest anonimizowana.

Ewolucja wilków w owczej skórze: APT28 na nowo

APT28 nieustannie adaptuje swoje metody. Oto, jak zmieniły się ich zagrania w ostatnich latach:

► "Living off the Land" (LotL): to ich ulubiona sztuczka – używają PowerShella, WMIC, netsh i innych legalnych narzędzi systemowych, przez co są niemal niewidzialni.

► Błyskawiczne Luki: są pierwsi do wykorzystania świeżo odkrytych luk (np. w Outlooku, Cisco).

► Wszystko poza hasłem: celują w tokeny, pliki cookie, certyfikaty – bo to daje im stały dostęp, nawet bez znajomości hasła.

► Mistrzowie kamuflażu infrastruktury: proxy, ukryte domeny, dynamiczne metody komunikacji – to ich znaki rozpoznawcze.

► Rozszerzone cele: już nie tylko rządy i wojsko! Teraz atakują też firmy logistyczne, technologiczne, think tanki, organizacje pozarządowe – zwłaszcza te związane z Ukrainą i NATO.

► Potencjał sabotażu: długoterminowa obecność w infrastrukturze krytycznej to nie tylko szpiegostwo, ale i możliwość... paraliżu!

► Automatyzacja: robią to coraz częściej – masowe infekcje, pobieranie danych, minimalizacja ryzyka wykrycia.
► Geopolityczny szach: ich działania to nie przypadek, to element rosyjskiej strategii wobec NATO, Ukrainy, Polski.
► Odporność na ciosy: mimo sankcji i działań wywiadowczych, są aktywni – to pokazuje, jak głęboko są zintegrowani z państwem.

Największe operacje APT28, o których słyszał świat

APT28 ma na swoim koncie szereg głośnych, międzynarodowych incydentów, które wstrząsnęły sceną geopolityczną:

► Atak na Partię Demokratyczną (USA, 2016): włamanie i wyciek e-maili, który realnie wpłynął na wybory prezydenckie!

► Cyberatak na Bundestag (Niemcy, 2015): dostęp do wewnętrznych systemów i korespondencji posłów.

► Operacje przeciwko Ukrainie, Polsce i krajom bałtyckim: niekończące się kampanie szpiegowskie i dezinformacyjne.

► Ataki na NGO i firmy: firmy logistyczne, technologiczne, organizacje wspierające Ukrainę – nikt nie jest bezpieczny.

► Ekspansja na Azję i Amerykę Łacińską: próby penetracji rządów i biznesu daleko poza Europą.

A oprócz tych głośnych operacji, ciągle atakują polityków, wojskowych, dziennikarzy, urzędników w krajach NATO i Europy Środkowo-Wschodniej. Chociaż większość działań to szpiegostwo, potencjał sabotażowy rośnie.

Jak poznać, że to nie jest "zwykły" atak?

Zastanawiasz się, skąd masz wiedzieć, czy masz do czynienia z groźnym APT? Szukaj tych sygnałów, które wskazują na ich unikalny modus operandi:

  • Długotrwała, niewidzialna obecność: atak trwa miesiącami, nawet latami, a intruz jest niemal niewykrywalny.

  • Chirurgiczna precyzja i spryt: to nie masowy atak, lecz celowanie w konkretne dane czy osoby, często z użyciem Twoich własnych, legalnych narzędzi systemowych ("Living off the Land").

  • Upartość i adaptacja: zablokujesz im drogę - znajdą inną, ciągle wracają, dostosowując się do Twojej obrony.

  • Motywacja strategiczna, nie tylko pieniądze: kradzione dane często mają wartość polityczną lub wywiadowczą, a nie tylko finansową.

Jeśli widzisz takie znaki, to prawdopodobnie grasz w ligę mistrzów cyberzagrożeń. Potrzebujesz obrony, która myśli jak... wywiad!

Podsumowanie

Operacje APT28 pokazują, że mamy do czynienia z przeciwnikiem, który działa jak prawdziwy wywiad. Rozpoznanie go to pierwszy krok, ale co dalej?
Jak zbudować obronę, która sprosta takiemu wyzwaniu?
Odpowiedź znajdziesz w drugiej części naszej analizy: "Myśl jak wywiad - Strategie obrony przed APT28", już wkrótce! 

Dla dociekliwych:

  1. MITRE ATT&CK® – Profil grupy APT28 (Fancy Bear) https://attack.mitre.org/groups/G0007/

  2. CISA (Cybersecurity and Infrastructure Security Agency): Oficjalne ostrzeżenia i analizy APT28 httpstps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-108:

  3. CrowdStrike: „Who is FANCY BEAR (APT28)?” httpstps://www.crowdstrike.com/en-us/blog/who-is-fancy-bear/

 

Katarzyna Piasecka 

CSO | Liderka zespołów i strategii |Ekspertka cyberbezpieczeństwa |Autorka CyberShieldON

 

 

CyberShieldON – gdy wiedza spotyka decyzję.

Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić.
Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

Jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę – znajdziesz tu wsparcie, które nie zatrzymuje się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

Strona www stworzona w kreatorze WebWave.