Fancy Bear przez cały czas prowadzi globalne operacje cyberwywiadowcze i sabotażowe

Wprowadzenie do problemu / definicja

Fancy Bear, znana również jako APT28, Sofacy, Pawn Storm czy Forest Blizzard, pozostaje jedną z najbardziej rozpoznawalnych grup zagrożeń powiązanych z rosyjskim wywiadem wojskowym GRU. Najnowsze analizy pokazują, iż ugrupowanie nie ogranicza się do pojedynczych kampanii, ale prowadzi długofalowe operacje wymierzone w administrację publiczną, sektor obronny, infrastrukturę krytyczną oraz organizacje należące do łańcuchów dostaw.

Skala aktywności tej grupy wskazuje, iż mamy do czynienia z trwałą i adaptacyjną ofensywą cybernetyczną. Ataki łączą klasyczne techniki socjotechniczne z nowoczesnym wykorzystaniem podatności, przejmowaniem poświadczeń oraz nadużywaniem urządzeń sieciowych.

W skrócie

Fancy Bear pozostaje aktywnym aktorem państwowym, który skutecznie łączy phishing, eksploatację luk bezpieczeństwa, kradzież danych uwierzytelniających i operacje z użyciem skompromitowanych routerów. Ostatnie raporty wskazują szczególnie na kampanie wykorzystujące zestaw malware Prismex oraz techniki relay NTLMv2 i przechwytywania poświadczeń.

• Grupa celuje w podmioty rządowe, wojskowe i strategiczne.
• Wykorzystuje zarówno nowe podatności, jak i znane, ale przez cały czas niezałatane luki.
• Łączy cyberwywiad z możliwościami sabotażowymi, w tym z funkcjami typu wiper.
• Nadużywa routerów i infrastruktury DNS do przechwytywania ruchu i poświadczeń.

Kontekst / historia

APT28 działa co najmniej od połowy lat 2000 i od lat pozostaje kojarzona z operacjami wymierzonymi w cele rządowe, wojskowe i polityczne. W przeszłości grupa była wiązana z kampaniami phishingowymi, kradzieżą poświadczeń, wykorzystaniem podatności typu zero-day oraz działaniami wspierającymi szersze cele geopolityczne Rosji.

W ostatnim czasie grupa ponownie znalazła się w centrum uwagi po serii publikacji analitycznych i ostrzeżeń instytucji rządowych. Szczególne znaczenie ma aktywność ukierunkowana na kraje Europy Środkowo-Wschodniej oraz środowiska powiązane z bezpieczeństwem regionalnym i wsparciem dla Ukrainy. Taki profil ofiar potwierdza, iż celem operacji jest nie tylko pozyskanie informacji, ale także budowanie długoterminowej przewagi operacyjnej.

Analiza techniczna

Jednym z najważniejszych elementów ostatnich kampanii jest wykorzystanie zestawu narzędzi określanego jako Prismex. Malware ten miał wykorzystywać wiele podatności w systemie Windows i pakiecie Microsoft Office, łącząc techniki steganografii, przejęcia komponentów COM oraz komunikację z infrastrukturą dowodzenia przez legalne usługi chmurowe. Taki model utrudnia wykrycie, ponieważ część ruchu może przypominać zwykłą aktywność użytkownika lub administratora.

Istotne jest także to, iż Prismex nie pełni wyłącznie funkcji wywiadowczych. Analizy wskazują, iż narzędzie może zawierać komendy wspierające działania destrukcyjne, w tym wycieranie danych. Oznacza to, iż pozornie klasyczna kompromitacja może w praktyce przygotowywać grunt pod późniejszy sabotaż.

Drugim istotnym wektorem są ataki relay NTLMv2 oraz przechwytywanie hashy uwierzytelniających. W tym scenariuszu napastnicy wykorzystywali podatność CVE-2023-23397 w Microsoft Outlook, dzięki której ofiara mogła nieświadomie zainicjować połączenie do kontrolowanego przez atakującego serwera SMB. To pozwalało na pozyskanie Net-NTLMv2 hash i dalsze próby uwierzytelnienia w innych systemach bez znajomości hasła w postaci jawnej.

Dodatkowo operatorzy Fancy Bear mieli wykorzystywać skompromitowane routery, zwłaszcza urządzenia SOHO, do przejmowania ustawień DNS i prowadzenia operacji pośredniczących. Taki mechanizm umożliwia przekierowywanie ofiar do kontrolowanej infrastruktury, zbieranie poświadczeń, przechwytywanie tokenów oraz realizację ataków typu adversary-in-the-middle. W praktyce jest to połączenie kompromitacji warstwy sieciowej i ataku na tożsamość, co znacząco zwiększa skuteczność obejścia tradycyjnych zabezpieczeń.

Warto podkreślić, iż skuteczność grupy nie wynika wyłącznie z użycia zaawansowanych exploitów. Fancy Bear stale korzysta także z metod dobrze znanych obrońcom, takich jak phishing, słabe hasła, nieaktualne oprogramowanie, błędne konfiguracje oraz starsze protokoły uwierzytelniania. To właśnie umiejętne łączenie prostszych i bardziej zaawansowanych technik pozostaje jedną z największych sił tego ugrupowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem aktywności Fancy Bear jest połączenie ryzyka wywiadowczego i destrukcyjnego. Organizacje mogą utracić poufne informacje strategiczne, dane operacyjne, korespondencję kierownictwa, dostęp do systemów pocztowych oraz zasobów katalogowych. W sektorach o znaczeniu strategicznym przekłada się to bezpośrednio na bezpieczeństwo państwa, ciągłość działania i odporność łańcucha dostaw.

Zagrożone są nie tylko duże instytucje. Mniejsze organizacje, samorządy oraz firmy usługowe mogą zostać wykorzystane jako punkt pośredni do dalszych ataków. W praktyce oznacza to, iż choćby podmioty spoza pierwszej linii geopolitycznego konfliktu mogą zostać wciągnięte w operacje APT jako źródło danych lub kanał dostępu do bardziej wartościowych celów.

Szczególnie wysokie ryzyko dotyczy warstwy tożsamości i urządzeń sieciowych. Przejęcie poświadczeń, sesji lub tokenów często pozwala ominąć klasyczne zabezpieczenia. Z kolei kompromitacja routerów i DNS bywa trudna do zauważenia, ponieważ wiele organizacji skupia monitoring na stacjach roboczych i serwerach, pomijając małe urządzenia brzegowe.

Rekomendacje

Podstawowym działaniem ochronnym pozostaje sprawne zarządzanie podatnościami. Organizacje powinny priorytetowo wdrażać poprawki dla systemów Windows, Office, Outlook oraz firmware’u routerów i innych urządzeń brzegowych. Równie ważne jest ograniczanie użycia starszych protokołów uwierzytelniania oraz monitorowanie wszelkich prób nadużyć związanych z NTLM.

Kolejnym filarem obrony jest ochrona tożsamości. W praktyce oznacza to wymuszenie MFA dla poczty, VPN, dostępu administracyjnego i usług chmurowych, wdrożenie zasady najmniejszych uprawnień, ograniczenie trwałych uprawnień administracyjnych oraz stosowanie założeń architektury zero trust.

Istotne jest również objęcie routerów i urządzeń sieciowych pełnym procesem bezpieczeństwa. Należy prowadzić ich inwentaryzację, regularnie aktualizować oprogramowanie, zmieniać domyślne hasła, wyłączać zbędne usługi zdalnego zarządzania, kontrolować konfigurację DNS i analizować logi administracyjne.

Po stronie detekcji najważniejsze jest korelowanie sygnałów z wielu warstw środowiska. Szczególną uwagę warto zwracać na nietypowe połączenia SMB, próby relay NTLM, zmiany konfiguracji DNS, ostrzeżenia o błędach certyfikatów, nietypowe logowania oraz użycie rzadko spotykanych ścieżek uwierzytelniania.

• Priorytetowe łatanie systemów i urządzeń brzegowych.
• Wyłączenie lub ograniczenie NTLM tam, gdzie to możliwe.
• Wdrożenie MFA i segmentacji dostępu uprzywilejowanego.
• Stały monitoring zmian DNS i konfiguracji routerów.
• Szkolenia użytkowników z phishingu i podejrzanych zaproszeń kalendarzowych.

Podsumowanie

Fancy Bear pozostaje jednym z najgroźniejszych aktorów państwowych w cyberprzestrzeni. Najnowsze kampanie pokazują, iż grupa przez cały czas skutecznie łączy eksploatację podatności, kradzież poświadczeń, nadużycia infrastruktury sieciowej i zdolności sabotażowe.

Dla obrońców najważniejszy wniosek jest jednoznaczny: skuteczna ochrona przed APT28 nie wymaga wyłącznie zaawansowanych narzędzi, ale przede wszystkim konsekwentnego usuwania podstawowych słabości. Terminowe aktualizacje, silna ochrona tożsamości, zabezpieczenie routerów i podejście zero trust powinny dziś stanowić minimalny standard bezpieczeństwa.

Źródła

1. https://www.darkreading.com/threat-intelligence/russias-fancy-bear-apt-continues-global-onslaught
2. https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
3. https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
4. https://www.ic3.gov/PSA/2026/PSA260320
5. https://documents.trendmicro.com/assets/rpt/rpt_a_rising_tide.pdf