APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
Authors
Date
2020Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (https://kirjasto.jyu.fi/en/workspaces/facilities).
Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Viime vuosikymmeninä tietoverkkojen merkitys on kasvanut merkittävästi, ja niistä on tullut kriittinen osa yhteiskuntaa. Tänä päivänä ne nähdään osana laajempaa kybertilaa, jossa tavallisten ihmisten lisäksi myös valtiot käyvät omaa kilpajuoksuaan saadakseen taloudellista, poliittista ja sotilaallista etua. Kybertilassa Venäjä on osoittanut olevansa yksi merkittävimmistä toimijoista. Joko suoraan Venäjään yhdistetyt tai sitä lähellä olevien toimijoiden suorittamat kyberoperaatio ovat muokanneet kansainvälistä ilmapiiriä ja haastaneet asiantuntijoiden käsitykset kybertilan merkityksestä osana kansainvälistä politiikkaa. Tämä pro gradu -tutkielma käsittelee Venäjään liitettyjä kybertoimijoita ja niiden suorittamia kohdistettuja haittaohjelmahyökkäyksiä. Tutkimuksen päätutkimuskysymys keskittyi siihen, kuinka tutkimuksen kohteena olevan toimijan kohdistetut haittaohjelmahyökkäykset ovat kehittyneet vuosien 2007 ja 2016 välisenä aikana. Ennen kuin päätutkimuskysymykseen oli mahdollista vastata, selvitettiin täydentävän tutkimuskysymyksen avulla, mitä tarkoitetaan kohdistetuilla haittaohjelmahyökkäyksillä ja millainen on sen rakenne. Tutkimusmenetelmänä käytettiin tapaustutkimusta. Se soveltuu tutkimusmenetelmäksi hyvin, kun halutaan tutkia jotain ilmiötä sen luontaisessa ympäristössä ja käyttää useita tiedonkeräysmenetelmiä. Aineiston analysoinnissa käytettiin timanttimallia ja tämän työn aikana kehitettyä kehikkoa, joka kuvaa kohdistettujen haittaohjelmahyökkäysten rakennetta. Tutkimus keskittyi yhteen kybertoimijaan, joka tunnetaan tietoturvayhteisössä nimillä APT28, Sofacy, Tsar Team ja Pawn Storm. APT28 on osa Venäjän sotilastiedustelua GRU:ta. Tutkimustuloksista käy ilmi, että vaikka APT28:n TTP vaikuttaa pysyvän samanlaisena, siitä on löydettävissä merkittäviä muutoksia tarkasteltavana ajanjaksona. Tämän lisäksi APT28 näyttää tehneen kyberoperaatioissa useita operaatioihin liittyviä virheitä, jotka ovat mahdollistaneet niiden attribuution. Havaintoja voidaan pitää mielenkiintoisina, koska APT28 tunnetaan hyvin resursoituna valtiollisen tason toimijana.
...
In last few decades, the importance of information systems has evolved signifi-cantly, and have become a critical part of current society. Information systems are seen as a part of a larger cyber domain where, among others, governments are leveraging the Internet for political, military and economic advantages. The Russian Federation has proven to be one of the major powers in cyber domain. Cyber events associated with Russian state and non-state actors have changed the international atmosphere and challenged experts’ understanding about cyber domain and its importance as a part of international politics. The pur-pose of this Master’s Thesis was to study cyber threat actors associated with Russian Federation and advanced persistent threat attacks committed by them. The main question of the research was to find out how these cyber actors have evolved between the years 2007 and 2016. Before that it was essential to clarify what does the term Advanced Persistent Threat (also known as APT) mean and how it is structured. This Master’s Thesis was conducted as a case study. The case study is a suitable research method when a phenomenon is examined in its natural setting and multiple methods of data collection is employed to gath-er information. A Diamond Model was used as an analyzing method during data analysis phase and a new Advanced Persistent Threat framework was also developed to analyze the data with. This Master’s Thesis focused on one cyber threat actor who is known as APT28 (also known as Sofacy, Tsar Team, Pawn Storm) inside information security community and who has been linked to Russian military intelligence GRU with high confidence. The findings indicate that even though APT28’s tactics, techniques and procedures seem to be almost the same between the years 2007 and 2016, there can be found some significant changes. Furthermore, although APT28 is seen as a nation state actor with huge resources, it has made some major mistakes and hence the possibility of its at-tribution has emerged.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29541]
Related items
Showing items with similar title or keywords.
-
Piiritetty kyberlinnake : Venäjään kohdistuva kyberuhka venäläisten julkisten asiakirjojen mukaan
Kari, Martti (2016)Venäjään kohdistuvasta kyberuhkasta on julkaistu vähän tutkittua tietoa. Venäläisissä julkisissa asiakirjoissa kuitenkin on riittävästi informaatiota, jotta niiden perusteella pystyy muodostamaan ainakin tyydyttävän kuvan ... -
Monitapaustutkimus valikoiduista Kiinaan ja Venäjään liitetyistä kyberhyökkäysryhmistä : kohdennetut haittaohjelmahyökkäykset
Karsikas, Jyrki (2021)Informaatioekosysteemien muutos on ollut vaikuttamassa kohdennettujen haittaohjelmahyökkäysten syntyyn. Kohdennetulla haittaohjelmahyökkäyksellä tarkoitetaan hyökkäystä, missä sofistikoitunut hyökkääjä toimii tietoverkossa ... -
Kansallisen turvallisuusauditointikriteeristön antama suoja kohdistettuja haittaohjelmahyökkäyksiä vastaan
Lintula, Tuomas (2022)Tässä tutkimuksessa tarkastellaan tapahtuneita kohdistettuja haittaohjelmahyökkäyksiä ja ehdotetaan vastatoimia niiden torjumiseksi. Tutkimuksen teoriaosuuden tarkoituksena on taustoittaa varsinaista tutkimusta ja antaa ... -
Venäjän lähialueillaan toteuttamien kyberoperaatioiden analysointi
Vatanen, Ville (2020)Vuonna 2007 Venäjä toteutti Viron valtiota vastaan useita viikkoja kestäneen kyberoperaation. Tämä oli ensimmäinen kerta, kun valtio toteutti järjestelmällisen, hyökkäyksellisen operaation tietoverkkojen kautta toista ... -
Venäjän federaation tavat suorittaa hyökkäyksellisiä kyberoperaatioita vuosina 2007–2020
Huhta, Rasmus (2021)Tämä tutkimus suoritettiin dokumenttianalyysillä, jonka tavoitteena oli saada selville, miten Venäjän federaatio on suorittanut hyökkäyksellisiä kyberoperaatioita vuosina 2007–2020 muita valtioita vastaan. Tutkimus ...