From moonlight maze to solarwinds : how Russian APT groups operate?

Abstract

Tämän tutkimuksen tavoitteena oli tutkia miten kaikista kehittyneimmät kyberhyökkäyksiä tekevät ryhmät toimivat. Tutkimuksen kohde valittiin koska aiheesta ei ole merkittävästi vertaisarvioitua tutkimusta, vaikka dataa ryhmistä on julkisesti saatavilla. Tutkittaviksi ryhmiksi valikoitui APT28, APT29 ja Turla, kaikki kolme ovat Venäjään liitettyjä ryhmiä. Venäjään liitetyt ryhmät valittiin, koska nämä ryhmät tunnetaan aktiivisina, ryhmiä on yhdistetty useisiin korkean profiilin hyökkäyksiin ja ryhmistä on reilusti tietoa saatavilla. Näiden ryhmien toimintaa tutkittiin analysoimalla dataa, joka ryhmistä on saatavilla eri kyberturvallisuusalan toimijoilta. Tutkimuskysymyksiksi valikoitui ”Miten Venäjään liitetyt kehittyneet kyberhyökkäyksiä tekevät ryhmät toimivat?” ja ”Onko Venäjään liitetyillä kehittyneillä kyberhyökkäyksiä tekevillä ryhmillä keskenään samanlaiset toimintatavat?” Tutkimus toteutettiin käyttämällä kvalitatiivista sisällönanalyysiä tutkimusmenetelmänä. Tutkimuksen apuna käytettiin myös mallia, joka on luotu kyberhyökkäyksien tutkimiseen. Tämä malli antoi rakenteen, jolla pystyttiin kategorisoimaan ja vertailemaan ryhmien käyttämiä taktiikoita, tekniikoita ja toimintatapoja. Näistä tunnistetuista taktiikoista, tekniikoista ja toimintatavoista luotiin malli, jolla kuvattiin kunkin ryhmän tekemiä hyökkäyksiä. Näiden datasta tunnistettujen taktiikoiden, tekniikoiden, toimintatapojen ja mallien avulla vastattiin tutkimuskysymyksiin. Tutkimus osoitti, että nämä tutkitut ryhmät toimivat käyttämällä laajaa valikoimaa taktiikoita, tekniikoita ja toimintatapoja. Ryhmät kykenevät vaihtamaan käyttämiään taktiikoita, tekniikoita ja toimintatapoja tarvittaessa. Tutkitut ryhmät käyttävät yleensä hyökkäyksissään haitallisia sähköposteja tai houkuttelevat heidän uhrinsa murretuille verkkosivuille, joihin on lisätty haitallista sisältöä. Ryhmien hyökkäyksissä on yleensä tavoitteena arkaluonteisen tai salaisen tiedon varastaminen. Tutkimus myös osoitti, että ryhmät toimivat yleisesti ottaen samoilla toimintatavoilla. Joitakin eroja ryhmien toimintavavoissa oli kuitenkin löydettävissä. Löydetyt yhtäläisyydet ryhmien toimintatavoissa antavat puolustajille kohteita, joihin voidaan keskittyä ja mahdollisesti estää kaikkien ryhmien hyökkäyksiä. Löydetyt eriäväisyydet ryhmien kesken antavat tutkijoille mahdollisia jatkotutkimuksien kohteita.

The goal of this thesis was to study how the most advanced and sophisticated cyberattack groups, also known as Advanced Persistent Threat (APT) groups, operate. This was done by analysing data that has been made available by the cyber security industry on APT28, APT29, and Turla, all APT groups that have been connected to Russia. Russian connected groups were chosen because these groups have been considered as particularly active, the groups have been connected to high-profile attacks, and there exists a large amount of data on the groups. The goal of the thesis was motivated by the lack of peer-reviewed research on this topic despite the publicly available data on these groups. The thesis answered the questions “How do APT groups connected to Russia operate?” and “Do APT groups connected to Russia operate in a similar manner?”. The research was conducted by performing qualitative content analysis on the data that is available about these cyberattack groups. A model called the Unified Kill Chain, which was designed to increase the understanding of advanced cyberattacks, was used in the analysis to provide additional structure. The model provided ways to categorize and compare various tactics, techniques, and procedures used by the groups that were studied. The tactics, techniques, and procedures that were identified were used to create models which depict identified attacks by these groups. These tactics, techniques, procedures, and the models which were identified from the data were then used to answer the research questions. The thesis showed that the cyberattack groups that were chosen to be studied operate with a wide selection of tactics, techniques, and procedures. The groups are capable of changing their tactics, techniques, and procedures if necessary. These groups generally perform their attacks by using malicious emails or by luring their victims into a compromised website with malicious content. These groups generally attack for the purpose of stealing sensitive information. The research also showed that the groups that were studied operate in mostly similar manners. However, some differences could be identified between the groups. The commonalities among the groups show areas where defenders can focus on and hinder the activities of all of these groups. The differences identified between the groups can potentially offer analysts or researchers points to focus on in future work.