Rosyjski APT28 (BlueDelta) poluje na konta: kampania credential-harvesting wymierzona w sektor energii, badania i współpracę obronną

Wprowadzenie do problemu / definicja luki

APT28 (znany też jako BlueDelta, Fancy Bear, Forest Blizzard) to rosyjska grupa APT powiązana z GRU i aktywna co najmniej od 2004 roku.
W opisywanej operacji nie chodzi o „lukę” w sensie CVE, lecz o kampanię kradzieży poświadczeń (credential harvesting): atakujący podszywają się pod znane portale logowania (webmail/VPN), aby przejąć hasła i potencjalnie kolejne składniki uwierzytelniania, a następnie wykorzystać je do dostępu do poczty, dokumentów i środowisk zdalnego dostępu.

Najnowsze ustalenia wskazują, że APT28 celował w osoby i organizacje powiązane m.in. z badaniami energetycznymi i nuklearnymi, współpracą obronną oraz kanałami komunikacji instytucji rządowych.

---

W skrócie

• Kampanie trwały między lutym a wrześniem 2025, a ich opis opublikowano w styczniu 2026.
• Atakujący używali stron logowania stylizowanych na Microsoft Outlook Web Access (OWA), Google oraz Sophos VPN.
• Widoczne jest silne nadużycie „legalnej” infrastruktury: free hosting i tunele/reverse proxy (m.in. Webhook[.]site, InfinityFree, Byet, ngrok) do hostowania phishingu i eksfiltracji danych.
• Dla uwiarygodnienia stosowano prawdziwe dokumenty PDF (przynęty), wyświetlane krótko przed przekierowaniem na fałszywe logowanie.

---

Kontekst / historia / powiązania

Recorded Future (Insikt Group) wiąże BlueDelta/APT28 z długotrwałą strategią GRU opartą na niskokosztowej, wysokozwrotnej kradzieży poświadczeń, która następnie umożliwia rozpoznanie, dostęp do korespondencji, pivot do kolejnych systemów i operacje wpływu/wywiadu.

Ta aktywność pasuje do szerszego profilu APT28 opisywanego w MITRE ATT&CK (m.in. ukierunkowane phishingi, operacje wywiadowcze, rozbudowane łańcuchy dostępu).
Wcześniejsze publikacje Recorded Future wskazywały także na działania BlueDelta przeciwko ukraińskim instytucjom (np. wątki związane z infrastrukturą pocztową), co podkreśla ciągłość priorytetów w regionie.

---

Analiza techniczna / szczegóły luki

1. Mechanika ataku: od linku do kradzieży hasła

W badanych kampaniach dominował schemat:

1. Spearphishing / wiadomość z linkiem (często przez skracacze URL),
2. wielostopniowe przekierowania przez usługi pośredniczące,
3. krótka prezentacja legalnej przynęty PDF w przeglądarce (element „uśpienia czujności”),
4. przekierowanie na fałszywy portal logowania,
5. po wpisaniu danych – redirect do prawdziwej strony, by zminimalizować podejrzenia.

Recorded Future opisuje m.in. użycie ShortURL jako pierwszego etapu i Webhook[.]site do obsługi kolejnych kroków, w tym wyświetlenia PDF i finalnego przekierowania na phishing OWA.

2. Podszywanie się pod OWA, Google i Sophos VPN

Najczęściej emulowane były:

• Microsoft OWA (zarówno klasyczne „logowanie”, jak i motywy typu „expired password”),
• Google (scenariusz „password reset”),
• Sophos VPN (bramki zdalnego dostępu, atrakcyjne dla środowisk korporacyjnych).

Istotny detal: Insikt Group zwraca uwagę na customowe skrypty JavaScript do przechwytywania danych, śledzenia aktywności ofiary i automatyzacji przekierowań, co upraszcza „wdrożenie” kolejnych fal kampanii.

3. Infrastruktura: „legalne” usługi jako parasol

Silnym wyróżnikiem jest konsekwentne oparcie się na usługach, które:

• są tanie/darmowe,
• łatwo rotować,
• trudniej jednoznacznie blokować bez skutków ubocznych,
• często omijają proste listy reputacyjne.

Wprost wskazywane są m.in. Webhook[.]site, InfinityFree, Byet Internet Services oraz ngrok – jako elementy hostowania stron, obsługi przekierowań i kanałów eksfiltracji.

4. Profil ofiar (co wiemy)

Insikt Group opisuje „niewielki, ale wyraźnie dobrany” zestaw celów: m.in. osoby powiązane z turecką agencją badań energetycznych i nuklearnych, pracowników europejskiego think tanku oraz organizacje w Macedonii Północnej i Uzbekistanie. Dobór przynęt (język, tematyka) miał wspierać wiarygodność regionalną.

---

Praktyczne konsekwencje / ryzyko

1. Przejęcie poczty i dokumentów: w realiach M365/Google Workspace nawet krótkie okno dostępu do skrzynki może ujawnić wątki projektowe, listy kontaktów, harmonogramy i załączniki.
2. Dalsza eskalacja: skradzione dane logowania bywają wykorzystywane do resetów haseł w innych usługach, ataków na VPN, aplikacje biznesowe i systemy współdzielenia plików.
3. Ryzyko dla łańcucha współpracy: sektor badań energii/nukleariów i współpracy obronnej działa sieciowo (partnerstwa, konsorcja, granty) – jedno przejęte konto może posłużyć jako „zaufany nadawca” do kolejnych spearphishingów.
4. Trudniejsze wykrycie: przekierowanie na prawdziwe strony po kradzieży danych i użycie legalnej infrastruktury obniża „szum” alarmowy i wydłuża czas do wykrycia.

---

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

• Wymuś MFA odporne na phishing (FIDO2/WebAuthn, passkeys, klucze sprzętowe) dla OWA/VPN i kont uprzywilejowanych; ogranicz SMS/voice tam, gdzie to możliwe. (Insikt Group wprost rekomenduje priorytetyzację metod odpornych na phishing).
• Zablokuj/ogranicz skracacze linków oraz ryzykowne kategorie domen w secure web gateway / DNS (tam, gdzie nie są biznesowo potrzebne).
• Wzmocnij Conditional Access: geofencing, „impossible travel”, wymóg zgodnego urządzenia, ryzyka logowania, blokady legacy auth.

Uporządkowanie obrony (1–4 tygodnie)

• Denylist usług nadużywanych w kampanii (jeśli nie są wymagane biznesowo): Webhook[.]site, InfinityFree, Byet, ngrok i podobne klasy usług „free hosting/tunneling”.
• Detekcje w SIEM/EDR:
  • kliknięcia w linki prowadzące do kaskad przekierowań,
  • nietypowe logowania do OWA/VPN po kliknięciu w e-mail,
  • anomalie sesji (nagłe zmiany IP/ASN, nowe urządzenia, brak historii).
• Ochrona przed typosquattingiem: alerty na domeny łudząco podobne do brandów (OWA/Google/Sophos) + monitoring nowych rejestracji.

Higiena użytkownika (ciągłe)

• Szkolenia „microlearning”: jak rozpoznać fałszywe logowanie, dlaczego PDF-przynęta nie oznacza bezpieczeństwa, czemu „wróciło na prawdziwą stronę” to klasyczny trik.

---

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• BlueDelta/OWA/VPN vs. klasyczne exploity: ta kampania stawia na socjotechnikę i kradzież poświadczeń, ale APT28 nie ogranicza się do phishingu. Dla kontrastu, CISA opisywała wcześniej przypadki, w których APT28 wykorzystywał podatności i słabe utrzymanie urządzeń brzegowych (np. routery Cisco) do rozpoznania i wdrażania złośliwego oprogramowania.
• Ewolucja „realizmu”: w materiałach Insikt Group mocno wybrzmiewa rosnąca jakość łańcuchów przekierowań i użycie prawdziwych PDF-ów jako elementu antydetekcyjnego (krótkie wyświetlenie dokumentu przed phishingiem).
• Stałe priorytety geopolityczne: wcześniejsze analizy działań BlueDelta wobec ukraińskich celów pokazują ciągłość zainteresowania regionem i infrastrukturą informacyjną, a obecne cele (energia, współpraca obronna, think tanki) naturalnie wpisują się w potrzeby wywiadowcze.

---

Podsumowanie / kluczowe wnioski

• To kampania credential-harvesting, nie „jedna luka”: jej siłą jest skala automatyzacji, wiarygodne przynęty i infrastruktura trudna do blokowania bez skutków ubocznych.
• Największe ryzyko ponoszą organizacje, w których OWA/VPN są krytyczne, a MFA wciąż bywa podatne na phishing lub źle egzekwowane.
• Najlepsza odpowiedź defensywna to połączenie: phishing-resistant MFA + conditional access + blokowanie ryzykownej infrastruktury + szybkie detekcje anomalii logowania.

---

Źródła / bibliografia

• SecurityWeek — opis kampanii i kontekstu (styczeń 2026). (SecurityWeek)
• Recorded Future, Insikt Group — „GRU-Linked BlueDelta Evolves Credential Harvesting” (cut-off: 11 września 2025; publikacja styczeń 2026). (Recorded Future)
• MITRE ATT&CK — profil grupy APT28 (G0007). (MITRE ATT&CK)
• CISA — advisory dot. aktywności APT28 (routery Cisco; kwiecień 2023). (CISA)
• Recorded Future — wcześniejszy kontekst działań BlueDelta wobec ukraińskich celów (czerwiec 2023). (Recorded Future)