APT28 tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016

Viime vuosikymmeninä tietoverkkojen merkitys on kasvanut merkittävästi, ja niistä on tullut kriittinen osa yhteiskuntaa. Tänä päivänä ne nähdään osana laajempaa kybertilaa, jossa tavallisten ihmisten lisäksi myös valtiot käyvät omaa kilpajuoksuaan saadakseen taloudellista, poliittista ja sotilaallis...

Täydet tiedot

Bibliografiset tiedot
Päätekijä: Bunda, Jari
Muut tekijät: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Aineistotyyppi: Pro gradu
Kieli:fin
Julkaistu: 2020
Aiheet:
Linkit: https://jyx.jyu.fi/handle/123456789/67845
_version_ 1826225738878025728
author Bunda, Jari
author2 Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_facet Bunda, Jari Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä Bunda, Jari Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_sort Bunda, Jari
datasource_str_mv jyx
description Viime vuosikymmeninä tietoverkkojen merkitys on kasvanut merkittävästi, ja niistä on tullut kriittinen osa yhteiskuntaa. Tänä päivänä ne nähdään osana laajempaa kybertilaa, jossa tavallisten ihmisten lisäksi myös valtiot käyvät omaa kilpajuoksuaan saadakseen taloudellista, poliittista ja sotilaallista etua. Kybertilassa Venäjä on osoittanut olevansa yksi merkittävimmistä toimijoista. Joko suoraan Venäjään yhdistetyt tai sitä lähellä olevien toimijoiden suorittamat kyberoperaatio ovat muokanneet kansainvälistä ilmapiiriä ja haastaneet asiantuntijoiden käsitykset kybertilan merkityksestä osana kansainvälistä politiikkaa. Tämä pro gradu -tutkielma käsittelee Venäjään liitettyjä kybertoimijoita ja niiden suorittamia kohdistettuja haittaohjelmahyökkäyksiä. Tutkimuksen päätutkimuskysymys keskittyi siihen, kuinka tutkimuksen kohteena olevan toimijan kohdistetut haittaohjelmahyökkäykset ovat kehittyneet vuosien 2007 ja 2016 välisenä aikana. Ennen kuin päätutkimuskysymykseen oli mahdollista vastata, selvitettiin täydentävän tutkimuskysymyksen avulla, mitä tarkoitetaan kohdistetuilla haittaohjelmahyökkäyksillä ja millainen on sen rakenne. Tutkimusmenetelmänä käytettiin tapaustutkimusta. Se soveltuu tutkimusmenetelmäksi hyvin, kun halutaan tutkia jotain ilmiötä sen luontaisessa ympäristössä ja käyttää useita tiedonkeräysmenetelmiä. Aineiston analysoinnissa käytettiin timanttimallia ja tämän työn aikana kehitettyä kehikkoa, joka kuvaa kohdistettujen haittaohjelmahyökkäysten rakennetta. Tutkimus keskittyi yhteen kybertoimijaan, joka tunnetaan tietoturvayhteisössä nimillä APT28, Sofacy, Tsar Team ja Pawn Storm. APT28 on osa Venäjän sotilastiedustelua GRU:ta. Tutkimustuloksista käy ilmi, että vaikka APT28:n TTP vaikuttaa pysyvän samanlaisena, siitä on löydettävissä merkittäviä muutoksia tarkasteltavana ajanjaksona. Tämän lisäksi APT28 näyttää tehneen kyberoperaatioissa useita operaatioihin liittyviä virheitä, jotka ovat mahdollistaneet niiden attribuution. Havaintoja voidaan pitää mielenkiintoisina, koska APT28 tunnetaan hyvin resursoituna valtiollisen tason toimijana. In last few decades, the importance of information systems has evolved signifi-cantly, and have become a critical part of current society. Information systems are seen as a part of a larger cyber domain where, among others, governments are leveraging the Internet for political, military and economic advantages. The Russian Federation has proven to be one of the major powers in cyber domain. Cyber events associated with Russian state and non-state actors have changed the international atmosphere and challenged experts’ understanding about cyber domain and its importance as a part of international politics. The pur-pose of this Master’s Thesis was to study cyber threat actors associated with Russian Federation and advanced persistent threat attacks committed by them. The main question of the research was to find out how these cyber actors have evolved between the years 2007 and 2016. Before that it was essential to clarify what does the term Advanced Persistent Threat (also known as APT) mean and how it is structured. This Master’s Thesis was conducted as a case study. The case study is a suitable research method when a phenomenon is examined in its natural setting and multiple methods of data collection is employed to gath-er information. A Diamond Model was used as an analyzing method during data analysis phase and a new Advanced Persistent Threat framework was also developed to analyze the data with. This Master’s Thesis focused on one cyber threat actor who is known as APT28 (also known as Sofacy, Tsar Team, Pawn Storm) inside information security community and who has been linked to Russian military intelligence GRU with high confidence. The findings indicate that even though APT28’s tactics, techniques and procedures seem to be almost the same between the years 2007 and 2016, there can be found some significant changes. Furthermore, although APT28 is seen as a nation state actor with huge resources, it has made some major mistakes and hence the possibility of its at-tribution has emerged.
first_indexed 2020-02-17T21:01:55Z
format Pro gradu
fullrecord [{"key": "dc.contributor.advisor", "value": "Lehto, Martti", "language": "", "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Bunda, Jari", "language": "", "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2020-02-17T08:32:12Z", "language": null, "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2020-02-17T08:32:12Z", "language": null, "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2020", "language": "", "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/67845", "language": null, "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Viime vuosikymmenin\u00e4 tietoverkkojen merkitys on kasvanut merkitt\u00e4v\u00e4sti, ja niist\u00e4 on tullut kriittinen osa yhteiskuntaa. T\u00e4n\u00e4 p\u00e4iv\u00e4n\u00e4 ne n\u00e4hd\u00e4\u00e4n osana laajempaa kybertilaa, jossa tavallisten ihmisten lis\u00e4ksi my\u00f6s valtiot k\u00e4yv\u00e4t omaa kilpajuoksuaan saadakseen taloudellista, poliittista ja sotilaallista etua. Kybertilassa Ven\u00e4j\u00e4 on osoittanut olevansa yksi merkitt\u00e4vimmist\u00e4 toimijoista. Joko suoraan Ven\u00e4j\u00e4\u00e4n yhdistetyt tai sit\u00e4 l\u00e4hell\u00e4 olevien toimijoiden suorittamat kyberoperaatio ovat muokanneet kansainv\u00e4list\u00e4 ilmapiiri\u00e4 ja haastaneet asiantuntijoiden k\u00e4sitykset kybertilan merkityksest\u00e4 osana kansainv\u00e4list\u00e4 politiikkaa. T\u00e4m\u00e4 pro gradu -tutkielma k\u00e4sittelee Ven\u00e4j\u00e4\u00e4n liitettyj\u00e4 kybertoimijoita ja niiden suorittamia kohdistettuja haittaohjelmahy\u00f6kk\u00e4yksi\u00e4. Tutkimuksen p\u00e4\u00e4tutkimuskysymys keskittyi siihen, kuinka tutkimuksen kohteena olevan toimijan kohdistetut haittaohjelmahy\u00f6kk\u00e4ykset ovat kehittyneet vuosien 2007 ja 2016 v\u00e4lisen\u00e4 aikana. Ennen kuin p\u00e4\u00e4tutkimuskysymykseen oli mahdollista vastata, selvitettiin t\u00e4ydent\u00e4v\u00e4n tutkimuskysymyksen avulla, mit\u00e4 tarkoitetaan kohdistetuilla haittaohjelmahy\u00f6kk\u00e4yksill\u00e4 ja millainen on sen rakenne. Tutkimusmenetelm\u00e4n\u00e4 k\u00e4ytettiin tapaustutkimusta. Se soveltuu tutkimusmenetelm\u00e4ksi hyvin, kun halutaan tutkia jotain ilmi\u00f6t\u00e4 sen luontaisessa ymp\u00e4rist\u00f6ss\u00e4 ja k\u00e4ytt\u00e4\u00e4 useita tiedonker\u00e4ysmenetelmi\u00e4. Aineiston analysoinnissa k\u00e4ytettiin timanttimallia ja t\u00e4m\u00e4n ty\u00f6n aikana kehitetty\u00e4 kehikkoa, joka kuvaa kohdistettujen haittaohjelmahy\u00f6kk\u00e4ysten rakennetta. Tutkimus keskittyi yhteen kybertoimijaan, joka tunnetaan tietoturvayhteis\u00f6ss\u00e4 nimill\u00e4 APT28, Sofacy, Tsar Team ja Pawn Storm. APT28 on osa Ven\u00e4j\u00e4n sotilastiedustelua GRU:ta. Tutkimustuloksista k\u00e4y ilmi, ett\u00e4 vaikka APT28:n TTP vaikuttaa pysyv\u00e4n samanlaisena, siit\u00e4 on l\u00f6ydett\u00e4viss\u00e4 merkitt\u00e4vi\u00e4 muutoksia tarkasteltavana ajanjaksona. T\u00e4m\u00e4n lis\u00e4ksi APT28 n\u00e4ytt\u00e4\u00e4 tehneen kyberoperaatioissa useita operaatioihin liittyvi\u00e4 virheit\u00e4, jotka ovat mahdollistaneet niiden attribuution. Havaintoja voidaan pit\u00e4\u00e4 mielenkiintoisina, koska APT28 tunnetaan hyvin resursoituna valtiollisen tason toimijana.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "In last few decades, the importance of information systems has evolved signifi-cantly, and have become a critical part of current society. Information systems are seen as a part of a larger cyber domain where, among others, governments are leveraging the Internet for political, military and economic advantages. The Russian Federation has proven to be one of the major powers in cyber domain. Cyber events associated with Russian state and non-state actors have changed the international atmosphere and challenged experts\u2019 understanding about cyber domain and its importance as a part of international politics. The pur-pose of this Master\u2019s Thesis was to study cyber threat actors associated with Russian Federation and advanced persistent threat attacks committed by them. The main question of the research was to find out how these cyber actors have evolved between the years 2007 and 2016. Before that it was essential to clarify what does the term Advanced Persistent Threat (also known as APT) mean and how it is structured. This Master\u2019s Thesis was conducted as a case study. The case study is a suitable research method when a phenomenon is examined in its natural setting and multiple methods of data collection is employed to gath-er information. A Diamond Model was used as an analyzing method during data analysis phase and a new Advanced Persistent Threat framework was also developed to analyze the data with. This Master\u2019s Thesis focused on one cyber threat actor who is known as APT28 (also known as Sofacy, Tsar Team, Pawn Storm) inside information security community and who has been linked to Russian military intelligence GRU with high confidence. The findings indicate that even though APT28\u2019s tactics, techniques and procedures seem to be almost the same between the years 2007 and 2016, there can be found some significant changes. Furthermore, although APT28 is seen as a nation state actor with huge resources, it has made some major mistakes and hence the possibility of its at-tribution has emerged.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by Miia Hakanen (mihakane@jyu.fi) on 2020-02-17T08:32:12Z\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2020-02-17T08:32:12Z (GMT). No. of bitstreams: 0\n Previous issue date: 2020", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "194", "language": "", "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "fin", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.subject.other", "value": "APT28", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "kybertila", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "kyberuhka", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "kyberoperaatio", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.title", "value": "APT28 : tapaustutkimus Ven\u00e4j\u00e4\u00e4n yhdistettyjen kyberoperaatioiden kehittymisest\u00e4 vuosina 2007 - 2016", "language": "", "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-202002172082", "language": "", "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Pro gradu -tutkielma", "language": "fi", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Master\u2019s thesis", "language": "en", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Informaatioteknologia", "language": "fi", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Information Technology", "language": "en", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Tietoj\u00e4rjestelm\u00e4tiede", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Information Systems Science", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "yvv.contractresearch.funding", "value": "0", "language": "", "element": "contractresearch", "qualifier": "funding", "schema": "yvv"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "restrictedAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.subject.oppiainekoodi", "value": "601", "language": "", "element": "subject", "qualifier": "oppiainekoodi", "schema": "dc"}, {"key": "dc.subject.yso", "value": "hy\u00f6kk\u00e4ys", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "tietoturva", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "Ven\u00e4j\u00e4", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "haittaohjelmat", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "vakoilu", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "tapaustutkimus", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}, {"key": "dc.rights.accessrights", "value": "The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyv\u00e4skyl\u00e4 University Library (https://kirjasto.jyu.fi/en/workspaces/facilities).", "language": "en", "element": "rights", "qualifier": "accessrights", "schema": "dc"}, {"key": "dc.rights.accessrights", "value": "Tekij\u00e4 ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyv\u00e4skyl\u00e4n yliopiston kirjaston arkistoty\u00f6semalta. Ks. https://kirjasto.jyu.fi/fi/tyoskentelytilat/laitteet-ja-tilat..", "language": "fi", "element": "rights", "qualifier": "accessrights", "schema": "dc"}, {"key": "dc.type.okm", "value": "G2", "language": null, "element": "type", "qualifier": "okm", "schema": "dc"}]
id jyx.123456789_67845
language fin
last_indexed 2025-02-18T10:55:29Z
main_date 2020-01-01T00:00:00Z
main_date_str 2020
publishDate 2020
record_format qdc
source_str_mv jyx
spellingShingle Bunda, Jari APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016 APT28 kybertila kyberuhka kyberoperaatio Tietojärjestelmätiede Information Systems Science 601 hyökkäys tietoturva Venäjä haittaohjelmat vakoilu tapaustutkimus
title APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
title_full APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
title_fullStr APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016 APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
title_full_unstemmed APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016 APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
title_short APT28
title_sort apt28 tapaustutkimus venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 2016
title_sub tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
title_txtP APT28 : tapaustutkimus Venäjään yhdistettyjen kyberoperaatioiden kehittymisestä vuosina 2007 - 2016
topic APT28 kybertila kyberuhka kyberoperaatio Tietojärjestelmätiede Information Systems Science 601 hyökkäys tietoturva Venäjä haittaohjelmat vakoilu tapaustutkimus
topic_facet 601 APT28 Information Systems Science Tietojärjestelmätiede Venäjä haittaohjelmat hyökkäys kyberoperaatio kybertila kyberuhka tapaustutkimus tietoturva vakoilu
url https://jyx.jyu.fi/handle/123456789/67845 http://www.urn.fi/URN:NBN:fi:jyu-202002172082
work_keys_str_mv AT bundajari apt28tapaustutkimusvenäjäänyhdistettyjenkyberoperaatioidenkehittymisestävuosina2007201