Lider cybersecurity planujący program cyberhigieny
28 lipca 2025

Adwersarz, którego nie widać:
Wywiadowcze zagrania APT28 w cyberprzestrzeni

Wyobraź sobie, że w Twojej cyfrowej twierdzy nagle pojawia się intruz. Ktoś, kto nie tylko próbuje się włamać, ale robi to z taką finezją, że ledwie zauważasz jego obecność.
W świecie cyberbezpieczeństwa nazywamy go adwersarzem – to każda osoba lub grupa, która chce nieautoryzowanie „buszować” po naszych systemach, danych czy sieciach. Może to być pojedynczy haker-samotnik, zorganizowana klika przestępcza, a nawet "sabotażysta z wewnątrz".

Nie wszyscy wrogowie są sobie równi...

Ale w cyberprzestrzeni, tak jak w życiu, nie wszyscy są równi. Niektórzy przeciwnicy mają za plecami... całe państwo. Wyposażeni w wojskowe doświadczenie wywiadowcze i niemal nieograniczone zasoby, działają w cieniu, metodycznie i z wyrachowaniem.

W tym artykule zagłębiam się w świat elitarnych adwersarzy, których strategiczne operacje i logika wywiadu wojskowego sprawiają, że klasyczne sposoby obrony po prostu nie wystarczą!

APT - elita cyberprzestępczości

APT (Advanced Persistent Threat) to "zaawansowane, uparte zagrożenie".
Wyobraź sobie kogoś, kto działa jak snajper: jest wysoce zaawansowany technologicznie, niezwykle cierpliwy (potrafi działać tygodniami, miesiącami, a nawet latami) i skupiony na konkretnym celu. To nie są przypadkowe ataki, ale precyzyjnie zaplanowane operacje wojskowe.

Co ich napędza?

Ich cele są zawsze strategiczne, nigdy przypadkowe:

► Kradzież informacji: rządowych sekretów, wojskowych planów, korporacyjnych tajemnic.
► Szpiegostwo: klasyczny cyber-szpieg, który patrzy, podsłuchuje i gromadzi dane.
► Potencjalny sabotaż: marzy im się paraliżowanie infrastruktury krytycznej – od elektrowni po banki.
► Wpływ na decyzje: chcą manipulować polityką i gospodarką.

 

Kto się za tym kryje?

Zazwyczaj są to dobrze zorganizowane i finansowane byty:
► Sponsorowane przez państwo grupy hakerskie.
► Jednostki wywiadowcze działające na specjalne zlecenie.
► Zorganizowane grupy przestępcze, które zdobyły gigantyczne fundusze i możliwości.

 

Ich supermoce, czyli cechy APT

Te grupy wyróżniają się unikalnym zestawem cech, które czynią je wyjątkowo groźnymi:

► Technologiczny geniusz: używają "0-day’ów" (luk w systemach, o których nikt jeszcze nie wie), autorskiego oprogramowania i ataków wieloetapowych – to prawdziwi mistrzowie cyberinżynierii.

► Żelazna wytrwałość: potrafią czekać latami, by osiągnąć swój cel. Nic ich nie zniechęca!

► Celność snajpera: ich ataki są jak chirurgiczne cięcia – precyzyjnie wymierzone w konkretne ofiary.

► Dyskrecja niewidzialnego: stosują sztuczki, by pozostać niewykrytymi, np. "living off the land" (czyli używają narzędzi, które już masz w systemie – jak włamywacz, który korzysta z Twoich kluczy!).

► Motywacja strategiczna: nie chodzi im o szybki zysk. Działają w interesie politycznym, a pieniądze są tylko środkiem do celu.

Oto kilka "gwiazd" APT

Choć lista grup APT jest długa i dynamiczna, te nazwy powinieneś znać:

► APT28 (Fancy Bear) - rosyjscy agenci z GRU, o nich za chwilę szerzej!

► APT29 (Cozy Bear) - również z Rosji, związani z FSB.

► Charming Kitten (APT35) - z Iranu.

► Lazarus Group - z Korei Północnej.

► APT10 (Stone Panda) - z Chin.

 

Dlaczego musimy zrozumieć tego wroga?

W cyberwywiadzie mówi się o "modelowaniu adwersarza", czyli odtwarzaniu jego działań krok po kroku.
Po co? Żeby zbudować obronę, która naprawdę działa, dzięki temu można:
► Tworzyć fortece, które powstrzymają elity hakerów.
► Testować odporność naszych organizacji na najtrudniejsze scenariusze.
► Szybciej wykrywać najmniejsze ślady, że ktoś niepowołany buszuje po naszych systemach.

 

W cieniu graczy: APT28 (fancy bear) – rosyjski duch w sieci

Jeśli ktoś ma za sobą państwowy wywiad wojskowy, to właśnie APT28. To jeden z najbardziej znanych i niebezpiecznych adwersarzy, działający cicho, metodycznie i zawsze z geopolitycznym celem. To ramię rosyjskiego wywiadu wojskowego GRU, wykonujące zadania zlecane przez Federację Rosyjską.

Jakie są ich cele?

► Kradzież wrażliwych informacji: dokumentów, haseł, prywatnej komunikacji.

► Szpiegostwo polityczne i wojskowe: poznanie Twoich sekretów to ich priorytet.

► Zakłócanie demokracji: wpływanie na wybory, referenda, osłabianie państw.

► Manipulacja opinią publiczną: sianie dezinformacji, by destabilizować całe państwa.

 

Jaki jest ich podręcznik operacji? (czyli TTP z MITRE ATT&CK)

Analizując konkretnie działania APT28, eksperci często opierają się na modelu MITRE ATT&CK, który systematyzuje taktyki, techniki i procedury (TTP) stosowane przez atakujących. Oto jak zazwyczaj wygląda cykl ataku tej grupy:

  • Wejście do systemu (Dostęp początkowy): często wysyłają spersonalizowane e-maile (spear phishing) z zainfekowanymi dokumentami (Word, Excel, PDF) lub "zakażają" legalne strony internetowe (watering hole), czekając, aż wejdziesz. A gdy tylko odkryją jakąś lukę "0-day" (nieznaną nikomu innemu), natychmiast ją wykorzystują (np. w MS Office czy urządzeniach Cisco).

  • Uruchomienie i utrzymanie obecności: wykorzystują makra, skrypty (PowerShell, VBScript), złośliwe dodatki, a nawet narzędzia, które już masz w systemie (Living off the Land!), żeby ich nie wykryto. Potem tworzą zadania zaplanowane i backdoory, by mieć stały dostęp.

  • Awansowanie w systemie (Eskalacja uprawnień): szukają lokalnych luk (jak np. w Outlooku), żeby zyskać uprawnienia administratora.

  • Zacieranie śladów (Unikanie wykrycia): zmieniają logi, szyfrują komunikację, używają proxy i ciągle zmieniają swoje serwery dowodzenia i kontroli (C2), żebyś ich nie namierzył.

  • Kradzież haseł (Kompromitacja poświadczeń): nie tylko brute force! Wykorzystują password spraying, phishing, kradną tokeny, ciasteczka, a nawet robią zrzuty haseł z pamięci. Celują nie tylko w IT, ale w kluczowych menedżerów.

  • Rozpoznanie terenu (Rozpoznanie środowiska): dokładnie badają, kogo mają w sieci, jakie są komputery, uprawnienia.

  • Ruch boczny: poruszają się po sieci jak po własnym podwórku (RDP, SMB, WinRM).

  • Zbieranie danych: używają keyloggerów, robią zrzuty ekranu, kradną dokumenty, automatycznie pobierają wszystko, co wartościowe.

  • Wyciek danych (Eksfiltracja): wysyłają dane ukrytymi kanałami C2, używają własnych protokołów i szyfrują wszystko, co wychodzi na zewnątrz.

  • Dowodzenie i Kontrola (C2): ich serwery są ukryte, dynamiczne i błyskawicznie reagują na zmiany, a infrastruktura jest anonimizowana.

 

Ewolucja wilków w owczej skórze: APT28 na nowo

APT28 nieustannie adaptuje swoje metody. Oto, jak zmieniły się ich zagrania w ostatnich latach:

  • "Living off the Land" (LotL): to ich ulubiona sztuczka – używają PowerShella, WMIC, netsh i innych legalnych narzędzi systemowych, przez co są niemal niewidzialni.
  • Błyskawiczne Luki: są pierwsi do wykorzystania świeżo odkrytych luk (np. w Outlooku, Cisco).
  • Wszystko poza hasłem: celują w tokeny, pliki cookie, certyfikaty – bo to daje im stały dostęp, nawet bez znajomości hasła.
  • Mistrzowie kamuflażu infrastruktury: proxy, ukryte domeny, dynamiczne metody komunikacji – to ich znaki rozpoznawcze.
  • Rozszerzone cele: już nie tylko rządy i wojsko! Teraz atakują też firmy logistyczne, technologiczne, think tanki, organizacje pozarządowe – zwłaszcza te związane z Ukrainą i NATO.
  • Potencjał sabotażu: długoterminowa obecność w infrastrukturze krytycznej to nie tylko szpiegostwo, ale i możliwość... paraliżu!
  • Automatyzacja: robią to coraz częściej – masowe infekcje, pobieranie danych, minimalizacja ryzyka wykrycia.
  • Geopolityczny szach: ich działania to nie przypadek, to element rosyjskiej strategii wobec NATO, Ukrainy, Polski.
  • Odporność na ciosy: mimo sankcji i działań wywiadowczych, są aktywni – to pokazuje, jak głęboko są zintegrowani z państwem.

 

Największe operacje APT28, o których słyszał świat

APT28 ma na swoim koncie szereg głośnych, międzynarodowych incydentów, które wstrząsnęły sceną geopolityczną:

  • Atak na Partię Demokratyczną (USA, 2016): włamanie i wyciek e-maili, który realnie wpłynął na wybory prezydenckie!
  • Cyberatak na Bundestag (Niemcy, 2015): dostęp do wewnętrznych systemów i korespondencji posłów.
  • Operacje przeciwko Ukrainie, Polsce i krajom bałtyckim: niekończące się kampanie szpiegowskie i dezinformacyjne.
  • Ataki na NGO i firmy: firmy logistyczne, technologiczne, organizacje wspierające Ukrainę – nikt nie jest bezpieczny.
  • Ekspansja na Azję i Amerykę Łacińską: próby penetracji rządów i biznesu daleko poza Europą.

 

A oprócz tych głośnych operacji, ciągle atakują polityków, wojskowych, dziennikarzy, urzędników w krajach NATO i Europy Środkowo-Wschodniej. Chociaż większość działań to szpiegostwo, potencjał sabotażowy rośnie...

 

Jak poznać, że to nie jest "zwykły" atak?

Zastanawiasz się, skąd masz wiedzieć, czy masz do czynienia z groźnym APT? Szukaj tych sygnałów, które wskazują na ich unikalny modus operandi:

  • Długotrwała, niewidzialna obecność: atak trwa miesiącami, nawet latami, a intruz jest niemal niewykrywalny.
  • Chirurgiczna precyzja i spryt: to nie masowy atak, lecz celowanie w konkretne dane czy osoby, często z użyciem Twoich własnych, legalnych narzędzi systemowych ("Living off the Land").
  • Upartość i adaptacja: zablokujesz im drogę - znajdą inną, ciągle wracają, dostosowując się do Twojej obrony.
  • Motywacja strategiczna, nie tylko pieniądze: kradzione dane często mają wartość polityczną lub wywiadowczą, a nie tylko finansową.

 

Jeśli widzisz takie znaki, to prawdopodobnie grasz w ligę mistrzów cyberzagrożeń. Potrzebujesz obrony, która myśli jak... wywiad!

Podsumowanie

Operacje APT28 pokazują, że mamy do czynienia z przeciwnikiem, który działa jak prawdziwy wywiad. Rozpoznanie go to pierwszy krok, ale co dalej? Jak zbudować obronę, która sprosta takiemu wyzwaniu?
Odpowiedź znajdziesz w drugiej części naszej analizy: "Myśl jak wywiad - Strategie obrony przed APT28", już wkrótce!Odpowiedź znajdziesz w drugiej części analizy, już wkrótce!

Dla dociekliwych:

  1. MITRE ATT&CK® – Profil grupy APT28 (Fancy Bear) https://attack.mitre.org/groups/G0007/

  2. CISA (Cybersecurity and Infrastructure Security Agency): Oficjalne ostrzeżenia i analizy APT28 httpstps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-108:

  3. CrowdStrike: „Who is FANCY BEAR (APT28)?” httpstps://www.crowdstrike.com/en-us/blog/who-is-fancy-bear/

 

Katarzyna Piasecka 

CSO | Liderka zespołów i strategii |Ekspertka cyberbezpieczeństwa |Autorka CyberShieldON

 

 

 

CyberShieldON – gdy wiedza spotyka decyzję.
Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić.

Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

Jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę – znajdziesz tu wsparcie, które nie zatrzymuje się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

 

 

Strona www stworzona w kreatorze WebWave.