Pawn Storm är en aktiv rysk cyber spionage organisation som har varit mycket aggressiv och aktiva de senaste åren. Deras verksamhet handlar framförallt om utländsk och inhemsk spionage. Pawn Storm ser inte ut att ha ekonomisk vinning som främsta motiv utan försöker framförallt påverka geopolitik. Dess huvudsakliga mål är försvarsmakter i olika länder, försvarindustrin, nyheter media, politiker och dissidenter. Deras aktiviteter går tillbaka ända till 2014.
Verktyg
APT 28 är med stor sannolikhet sponsrad av den ryska regeringen och enligt FireEye har de flexibla och modulära verktyg (toolsets).
- CHOPSTICK (backdoor) Xagent, webhp, SPLM, (.v2 fysbis)
- EVILTOSS (backdoor) Sedreco, AZZY, Xamagent, ADVSTORESHELL, NETUI
- GAMEFISH (backdoor) Sednit, Seduploader, JHUHUGIT, Sofacy
- SOURFACE (downloader) Older version of CORESHELL, Sofacy
- OLDBAIT (credential) harvester Sasfis
- CORESHELL (downloader) som är en senare version av SOURFACE, Sofacy
De använder sig av Zero-day vulnerabilities, profiling script vilket gör det svårare att upptäcka koden, open source verktyg som Carbero, Powershell EmpireP.A.S. webshell och Metasploit. De får åtkomst genom Google App authenticering och Oauth access. Taktiken bygger ofta på malware som sprids med spearfishing metoder. De kan tex skapa domäner som liknar legitima företag, skickar ut webbmail och hackar befintliga webbplatser.
Andra namn för Pawn Storm
Andra namn för Pawn Storm organisationen är:
Sednit5, APT286 7, Sofacy, och STRONTIUM8
Läs mer
Ladda ner ett whitepaper från Trendmicro som beskriver Pawn Storm
Whitepaper från FireEye som beskriver APT28 ”APT 28 Center of Storm”