Francusko ministarstvo vanjskih poslova u utorak je optužilo rusku vojnu obavještajnu službu GRU za provođenje kibernetičkih napada na desetke ciljeva, uključujući ministarstva, obrambene tvrtke i think tankove, od 2021. godine. Cilj je bio destabilizacija Francuske, institucija i društva, piše Reuters. Glavnina optužbi namijenjena je GRU-ovoj jedinici APT28, za koju su dužnosnici rekli da je smještena u Rostovu na Donu na jugu Rusije. Iako ovo nije prva takva optužba neke zapadne sile, Pariz je po prvi put izravno okrivio Rusiju na temelju vlastitih obavještajnih podataka.
Ministarstvo je u priopćenju navelo da napadi APT28/Fancy Bear na Francusku sežu još u 2015. godinu, kada je televizijska postaja TV5 Monde bila ugašena uslijed hakerskog napada za koji su odgovornost preuzeli pripadnici tada aktualne Islamske države. Francuska je kasnije utvrdila da je iza tog napada stajala skupina APT28, kao i iza drugog napada tijekom predsjedničkih izbora 2017., kada su procurile e-poruke povezane s kampanjom i strankom Emmanuela Macrona, koje su hakeri namjerno pomiješali s dezinformacijama.
Prema izvješću francuske Nacionalne agencije za kibernetičku sigurnost (ANSSI), APT28 je pokušavao prikupiti strateške obavještajne podatke od raznih subjekata diljem Europe i Sjeverne Amerike. Dužnosnici su izjavili da je vlada odlučila izaći u javnost s ovim informacijama kako bi obavijestila građane u vrijeme političke neizvjesnosti u zemlji (Vlada nema potrebnu većinu) i rata u Ukrajini.
4000 napada
ANSSI je izvijestila da je prošle godine zabilježen porast broja kibernetičkih napada na francuska ministarstva, lokalne uprave, obrambene tvrtke, tvrtke iz sektora zrakoplovstva, think tankove te subjekte u financijskom i gospodarskom sektoru. Naveli su da je najnoviji napad APT28-a zabilježen u prosincu te da je u 2024. godini oko 4.000 kibernetičkih napada pripisano ruskim hakerima, što predstavlja porast od 15 posto u odnosu na 2023.
- Ove destabilizirajuće aktivnosti su neprihvatljive i nedostojne stalne članice Vijeća sigurnosti Ujedinjenih naroda - šturo se očitovalo francusko ministarstvo vanjskih poslova.
APT28/Fancy Bear
Radi se o posebnoj hakerskoj grupi koju sponzorira Moskva i koja je u ruskim obavještajnim službama poznata kao jedinica GRU-a 26165, piše Maverits. Britansko ministarstvo vanjskih poslova i Commonwealtha, sigurnosne tvrtke SecureWorks ThreatConnect i Mandiant, uvjereni su da je APT28 Putinova produžena ruka i oruđe za hibridno ratovanje izazivanje kaosa u neprijateljskim zemljama. Zapadne obavještajne i sigurnosne službe tvrde da je hakerska skupina nastala u periodu između 2004. i 2007. godine.
On Tuesday, April 29, 2025, France officially attributed the APT28 cyber attack system to the Russian 🇷🇺intelligence service for the first time at national level, via its units 26165 and 20728 👇🧵 pic.twitter.com/TiSKNMEt8V
— Arthur des Garets (@arthurdiplo) April 29, 2025
Modus operandi
Grupa najčešće vrši hakerske napade tako da širi e-poštu sa zloćudnim privicima ili poveznicama koje se na prvu čine kao legitimne e-poruke. Jedna od taktika je i tzv. 'zero-day exploit', napadi koji iskorištavaju prethodno nepoznate ranjivosti u softveru ili hardveru, tj. ranjivosti za koje proizvođači još nisu izdali popravke. Pojam "nula dana" odnosi se na činjenicu da proizvođači i korisnici imaju "nula dana" za pripremu ili zaštitu od takvog napada, jer je ranjivost već iskorištena prije nego što je postala poznata javnosti ili samom proizvođaču.
👀L’ANSSI et ses partenaires du Centre de Coordination des Crises #Cyber ont observé le ciblage et la compromission d’entités françaises par le mode opératoire d’attaque (MOA) APT28, attribué publiquement par l’Union Européenne à la Russie.
— ANSSI (@ANSSI_FR) April 29, 2025
🔗À lire ici : https://t.co/s8oWyCrRR3 pic.twitter.com/k8mpkFftVt
Napadi
Mete napada su u skladu s Putinovim geopolitičkim i unutrašnjim ciljevima. Uključuju vlade i vojske istočnoeuropskih zemalja (prvenstveno Ukrajinu), Gruziju i ostale zemlje Kavkaza, NATO, ali i američke tvrtke i organizacije kao što su Science Applications International Corporation (SAIC), Boeing, Lockheed Martin i Raytheon. Grupa je uključena i u obranu Putinovog režima i kompromitaciju ruskih političkih aktera koji kritiziraju Kremlj. Tako su se na udaru našli bivši naftni magnat i nekadašnji najbogatiji Rus koji živi u egzilu Mihail Hodorovski, ali i Marija Aljohina iz glazbene skupine Pussy Riot.
Novinari
Od sredine 2014. do jeseni 2017. godine, grupa Fancy Bear ciljala je brojne novinare u Sjedinjenim Američkim Državama, Ukrajini, Rusiji, Moldaviji, baltičkim državama i drugim zemljama koji su pisali članke o Vladimiru Putinu i Kremlju. Prema izvješćima Associated Pressa i tvrtke SecureWorks, ova skupina novinara predstavlja treću najveću ciljanu skupinu Fancy Beara, nakon diplomatskog osoblja i članova Demokratske stranke SAD-a. Na udaru Putinovih hakera našli su se armenska novinarka Marija Titizian, Ellen Barry i najmanje 50 drugih novinara New York Timesa, najmanje 50 stranih dopisnika sa sjedištem u Moskvi koji su radili za neovisne novinske kuće, Josha Rogina, kolumnist Washington Posta, 30 medijskih kuća, uključujući Kyiv Post i veliki broj eminentnih novinara i medija koji su se drznuli ozbiljnije pisati o ratu u Ukrajini.
Bundestag 2014.
Iako je Njemačka za vrijeme stolovanja Angele Merkel gajila nikad bolje odnose s Rusijom, Bundestag je 2014. bio pod šestomjesečnim hakerskim napadom koji je počeo u prosincu 2014. Napad je u svibnju 2015. potpuno paralizirao IT infrastrukturu Bundestaga, a kako bi se situacija sanirala, cijeli parlament morao je biti isključen s mreže na nekoliko dana. IT stručnjaci procjenjuju da je u sklopu tog napada preuzeto oko 16 gigabajta podataka iz parlamenta.
Osim toga, Fancy Bear se sumnjiči i za spear phishing napad u kolovozu 2016. na članove Bundestaga i više političkih stranaka, uključujući Sahru Wagenknecht, čelnicu frakcije Ljevice (Die Linke), organizaciju Junge Union (mladež CDU/CSU), te regionalnu podružnicu CDU-a iz Saarske oblasti (Saarland). Cilj napada je bio prikupiti podatke uz pomoć kojih bi mogli manipulirati javnim mnijenjem tijekom izbora.
Prijetnje suprugama američkih vojnika
Dana 10. veljače 2015. godine, pet supruga pripadnika američke vojske primilo je prijetnje smrću od hakerske skupine koja se predstavila kao "CyberCaliphate", navodno povezana s tzv. Islamskom državom (ISIS).
Međutim, kasnije se ispostavilo da je riječ o lažnoj operaciji (false flag) koju je izvela Fancy Bear (APT28), kada je otkriveno da su adrese e-pošte tih žena bile uključene u phishing ciljeve Fancy Beara. Osim toga, poznato je da su ruski trolovi na društvenim mrežama širili paniku i glasine o mogućim terorističkim napadima Islamske države na tlu SAD-a, s ciljem širenja straha i političkih napetosti među američkim građanima.
Ukrajinska vojska 2014.-2016.
Prema izvješću tvrtke CrowdStrike, između 2014. i 2016. godine hakerska skupina Fancy Bear (APT28) je uz pomoć zloćudnog softvera za Android napala ukrajinske raketne i topničke postrojbe. Napadi su se odvijali tako da su hakeri širili zaraženu verziju Android aplikacije koja je izvorno bila namijenjena upravljanju podacima za ciljanje haubica D-30, a koristili su je ukrajinski časnici. Zlonamjerna verzija aplikacije sadržavala je špijunski softver X-Agent i bila je postavljena na vojnim forumima kako bi se proširila među korisnicima.
CrowdStrike je tada tvrdio da je više od 80 posto ukrajinskih D-30 haubica uništeno tijekom rata. Međutim, ukrajinska vojska osporila je te brojke, navodeći da su stvarni gubici znatno manji od prijavljenih i da nema dokaza da su povezani s upotrebom navedene zaražene aplikacije.
Kasnije je i sam CrowdStrike revidirao svoje izvješće nakon što je Međunarodni institut za strateške studije (IISS) odbacio njihovu procjenu. Nova procjena gubitaka, navodno uzrokovanih hakiranjem, iznosila je 15–20 posto.
