Pawn Storm är en aktiv rysk cyber spionage organisation som har varit mycket aggressiv och aktiva de senaste åren. Deras verksamhet handlar framförallt om utländsk och inhemsk spionage. Pawn Storm ser inte ut att ha ekonomisk vinning som främsta motiv utan försöker framförallt påverka geopolitik. Dess huvudsakliga mål är försvarsmakter i olika länder, försvarindustrin, nyheter media, politiker och dissidenter. Deras aktiviteter går tillbaka ända till 2014.
Verktyg
APT 28 är med stor sannolikhet sponsrad av den ryska regeringen och enligt FireEye har de flexibla och modulära verktyg (toolsets).
- CHOPSTICK (backdoor) Xagent, webhp, SPLM, (.v2 fysbis)
- EVILTOSS (backdoor) Sedreco, AZZY, Xamagent, ADVSTORESHELL, NETUI
- GAMEFISH (backdoor) Sednit, Seduploader, JHUHUGIT, Sofacy
- SOURFACE (downloader) Older version of CORESHELL, Sofacy
- OLDBAIT (credential) harvester Sasfis
- CORESHELL (downloader) som är en senare version av SOURFACE, Sofacy
De använder sig av Zero-day vulnerabilities, profiling script vilket gör det svårare att upptäcka koden, open source verktyg som Carbero, Powershell EmpireP.A.S. webshell och Metasploit. De får åtkomst genom Google App authenticering och Oauth access. Taktiken bygger ofta på malware som sprids med spearfishing metoder. De kan tex skapa domäner som liknar legitima företag, skickar ut webbmail och hackar befintliga webbplatser.
Vad är känt om ART28-gruppens attacker?
Det är också känt som Pawn Storm, Fancy Bear, BlueDelta, Sednit5 och Strontium8. Ett antal forskare förknippar gruppen med de ryska specialtjänsterna
- I september 2023 upptäckte CERT-UA en cyberattack utförd av ART28 som var riktad mot kritisk energiinfrastruktur
- I juli 2023 upptäckte CERT-UA en annan cyberattack, som denna grupp syftade till att stjäla data från ukrainare för att få tillgång till posttjänster;och även i juni var det möjligt att upptäcka en spionerikampanj mot ukrainska organisationer; detta gjordes tack vare samarbetet med Recorded Future
- Cyberkriminella försökte i april 2023 attackera ukrainska myndigheter de ville göra detta med hjälp av falska ”operativsystemuppdateringar”.
Läs mer
Ladda ner ett whitepaper från Trendmicro som beskriver Pawn Storm
Whitepaper från FireEye som beskriver APT28 ”APT 28 Center of Storm”