APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016

Abstract

Viime vuosikymmeninä tietoverkkojen merkitys on kasvanut merkittävästi, ja niistä on tullut kriittinen osa yhteiskuntaa. Tänä päivänä ne nähdään osana laajempaa kybertilaa, jossa tavallisten ihmisten lisäksi myös valtiot käyvät omaa kilpajuoksuaan saadakseen taloudellista, poliittista ja sotilaallista etua. Kybertilassa Venäjä on osoittanut olevansa yksi merkittävimmistä toimijoista. Joko suoraan Venäjään yhdistetyt tai sitä lähellä olevien toimijoiden suorittamat kyberoperaatio ovat muokanneet kansainvälistä ilmapiiriä ja haastaneet asiantuntijoiden käsitykset kybertilan merkityksestä osana kansainvälistä politiikkaa. Tämä pro gradu -tutkielma käsittelee Venäjään liitettyjä kybertoimijoita ja niiden suorittamia kohdistettuja haittaohjelmahyökkäyksiä. Tutkimuksen päätutkimuskysymys keskittyi siihen, kuinka tutkimuksen kohteena olevan toimijan kohdistetut haittaohjelmahyökkäykset ovat kehittyneet vuosien 2007 ja 2016 välisenä aikana. Ennen kuin päätutkimuskysymykseen oli mahdollista vastata, selvitettiin täydentävän tutkimuskysymyksen avulla, mitä tarkoitetaan kohdistetuilla haittaohjelmahyökkäyksillä ja millainen on sen rakenne. Tutkimusmenetelmänä käytettiin tapaustutkimusta. Se soveltuu tutkimusmenetelmäksi hyvin, kun halutaan tutkia jotain ilmiötä sen luontaisessa ympäristössä ja käyttää useita tiedonkeräysmenetelmiä. Aineiston analysoinnissa käytettiin timanttimallia ja tämän työn aikana kehitettyä kehikkoa, joka kuvaa kohdistettujen haittaohjelmahyökkäysten rakennetta. Tutkimus keskittyi yhteen kybertoimijaan, joka tunnetaan tietoturvayhteisössä nimillä APT28, Sofacy, Tsar Team ja Pawn Storm. APT28 on osa Venäjän sotilastiedustelua GRU:ta. Tutkimustuloksista käy ilmi, että vaikka APT28:n TTP vaikuttaa pysyvän samanlaisena, siitä on löydettävissä merkittäviä muutoksia tarkasteltavana ajanjaksona. Tämän lisäksi APT28 näyttää tehneen kyberoperaatioissa useita operaatioihin liittyviä virheitä, jotka ovat mahdollistaneet niiden attribuution. Havaintoja voidaan pitää mielenkiintoisina, koska APT28 tunnetaan hyvin resursoituna valtiollisen tason toimijana.

In last few decades, the importance of information systems has evolved signifi-cantly, and have become a critical part of current society. Information systems are seen as a part of a larger cyber domain where, among others, governments are leveraging the Internet for political, military and economic advantages. The Russian Federation has proven to be one of the major powers in cyber domain. Cyber events associated with Russian state and non-state actors have changed the international atmosphere and challenged experts’ understanding about cyber domain and its importance as a part of international politics. The pur-pose of this Master’s Thesis was to study cyber threat actors associated with Russian Federation and advanced persistent threat attacks committed by them. The main question of the research was to find out how these cyber actors have evolved between the years 2007 and 2016. Before that it was essential to clarify what does the term Advanced Persistent Threat (also known as APT) mean and how it is structured. This Master’s Thesis was conducted as a case study. The case study is a suitable research method when a phenomenon is examined in its natural setting and multiple methods of data collection is employed to gath-er information. A Diamond Model was used as an analyzing method during data analysis phase and a new Advanced Persistent Threat framework was also developed to analyze the data with. This Master’s Thesis focused on one cyber threat actor who is known as APT28 (also known as Sofacy, Tsar Team, Pawn Storm) inside information security community and who has been linked to Russian military intelligence GRU with high confidence. The findings indicate that even though APT28’s tactics, techniques and procedures seem to be almost the same between the years 2007 and 2016, there can be found some significant changes. Furthermore, although APT28 is seen as a nation state actor with huge resources, it has made some major mistakes and hence the possibility of its at-tribution has emerged.