Výběr dostupných informací o skupině hackerů APT28 (instituce v ČR byly od loňska také cílem útoků zneužívajících zranitelnost aplikace Microsoft Outlook, způsob dle ministerstva zahraničí odpovídal profilu aktivit APT28):
– Skupina APT28 vznikla pravděpodobně před rokem 2004. Podle německých zpravodajců je celosvětově aktivní nejméně od roku 2004 a je jedním z „nejnebezpečnějších kybernetických aktérů na světě“. Často se uvádí, že tito hackeři mají vazby na ruskou vojenskou rozvědku GRU. Bezpečnostní firmy a západní tajné služby se domnívají, že APT28 může být sponzorována ruskou vládou.
– Hackeři jsou označováni i dalšími názvy, a to Fancy Bear, Pawn Storm, Sofacy Group, Sednit či Strontium. Skupině jsou připisovány útoky proti politických stranám, médiím či nejrůznějším institucím.
– V říjnu 2014 japonská antivirová společnost Trend Micro oznámila, že objevila skupinu, která stála za malwarem Sofacy a označila ji jako Operation Pawn Storm.
Společnost FireEye v téže době vydala podrobnou zprávu, ve které označila skupinu za pokročilou trvalou hrozbu 28 (anglicky Advanced Persistent Threat 28, tedy APT28) a popsala, jak skupina využívala zranitelnosti operačního systému Microsoft Windows a softwarové platformy Adobe Flash.
– V letech 2015 a 2016 hackeři z APT28 podle agentury AP využili špatně zabezpečené e-mailové schránky nejméně 87 Američanů, kteří pracovali na vývoji vojenských bezpilotních aparátů, raket a „neviditelných“ bojových letounů. Aktivitu hackerů odhalila bezpečnostní internetová společnost Secureworks.
– Hackeři v dubnu 2015 ochromili mezinárodní frankofonní televizi TV5Monde. Hlásili se tehdy k radikální organizaci Islámský stát (IS). Znemožnili vysílání televize na všech jejích kanálech a zablokovali i web stanice a její profily na sociálních sítích. Francouzská prokuratura případ vyšetřovala jako teroristický čin. Francouzští vyšetřovatelé později odmítli teorii, že za kyberútokem stojí islamisté, podezření naopak padlo na APT28.
– V květnu 2015 stáli hackeři podle úřadů také za útokem na internetové stránky německého Spolkového sněmu. Útok na parlamentní servery vedl ke čtyřdenní odstávce vnitřní sítě.
– Pravděpodobně hackeři z APT28 napadli v říjnu 2015 nizozemský bezpečnostní úřad, který vyšetřoval tragédii malajsijského letadla na východě Ukrajiny, při které zahynulo 298 lidí. Cílem počítačových pirátů zřejmě bylo získat zprávu o výsledcích vyšetřování.
– V roce 2017 skupinu obvinily americké tajné služby z odpovědnosti za proniknutí do serveru americké Demokratické strany. Hackeři prý chtěli získat kompromitující informace, které by poškodily Hillary Clintonovou v souboji o prezidentské křeslo s Donaldem Trumpem.
– V dubnu 2018 odhalila japonská protivirová společnost Trend Micro, že štáb vítěze prvního kola francouzských prezidentských voleb Emmanuela Macrona byl vystaven útokům hackerů napojených na Rusko (podle Japonců se jednalo o APT28). Informaci potvrdil i šéf digitální sekce Macronovy kampaně Mounir Mahjoubi. Útoky byly zaznamenány už v prosinci 2016.
– Podle zprávy české Bezpečnostní informační služby za rok 2016 útočila APT28 i v Česku. Její kampaň byla zaměřená na oblasti od diplomacie a vojenství přes vědu a výzkum až k akademické sféře. Útočníci se dostali do soukromých e-mailových účtů osob s vazbami na české vojenské prostředí. Terčem se stala i česká vojenská výzkumná instituce.
– Na Černínský palác směřoval i útok, při kterém se hackeři od prosince 2016 snažili uhádnout přístupové údaje do několika set schránek „hrubou silou“. „Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU,“ konstatovala BIS ve zprávě za rok 2018.
– V minulosti ruští hackeři zaútočili např. také proti gruzínským a ukrajinským vojenským cílům, proti Organizaci pro bezpečnost a spolupráci v Evropě, proti systému NATO, ale i proti Putinovu režimu nepohodlným ruským novinářům. Známý je rovněž této skupině připisovaný průlom elektronické ochrany Světové antidopingové agentury. Na internetu se pak objevily zdravotní záznamy minimálně 127 sportovců, mimo jiné české tenistky Petry Kvitové.
– V únoru 2018 německá média informovala o tom, že zahraničním hackerům se podařilo nabourat do počítačových sítí spolkových ministerstev zahraničí a obrany. Útok, za nímž údajně stála APT28, možná trval celý rok a hackeři při něm odcizili i některá data.
– V prosinci 2020 norská tajná služba PST uvedla, že za kybernetickým útokem na norský parlament z léta 2020 byla pravděpodobně ruská hackerská skupina APT28.
– Český premiér Petr Fiala letos v únoru oznámil, že ČR se zapojila do mezinárodní operace Dying Ember proti aktivitám ruských tajných služeb. Mezinárodní operace vedená Spojenými státy spočívala v provedení opatření proti globální infrastruktuře kompromitovaných routerů zneužívaných aktérem APT28, uvedlo k tomu Vojenské zpravodajství (VZ). Kompromitované routery byly podle VZ skupinou APT28 zneužívány proti významným cílům v ČR i v zahraničí, včetně spojenců v NATO a proti Ukrajině.
– Německá ministryně zahraničí Annalena Baerbocková nyní při své návštěvě Austrálie prohlásila, že za loňským hackerským útokem na vládní sociální demokracii (SPD) stála skupina APT28. Německé ministerstvo vnitra dnes uvedlo, že skupina APT28 napadla i německé firmy a také německé nadace a svazy.
– České ministerstvo zahraničí v pátek na základě informací zpravodajských služeb uvedlo, že některé české instituce byly od loňského roku cílem útoků zneužívajících do té doby neznámou zranitelnost aplikace Microsoft Outlook. Způsob a jejich zaměření odpovídaly profilu aktivit skupiny APT28. APT28 se podle české diplomacie na ČR zaměřuje dlouhodobě. Podle ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáše Kintra analýzy jasně ukazují, že zdrojem kyberútoků je APT28 a není pochyb o zapojení GRU do činnosti.
