APT 28 to nie jednorazowa kampania, lecz długotrwały, państwowo powiązany model działania nastawiony na rozpoznanie, kradzież dostępu i operacje wpływu. W tym tekście rozkładam go na czynniki pierwsze: kim jest ten aktor, jak najczęściej atakuje, dlaczego jest istotny także dla polskich organizacji i co realnie można zrobić, żeby ograniczyć ryzyko.
Najważniejsze fakty o APT28 w jednym miejscu
- To zaawansowana grupa cyberwywiadowcza powiązana z rosyjskim GRU, opisywana też jako Fancy Bear, Sofacy, Sednit czy Forest Blizzard.
- Jej celem zwykle nie jest spektakularne zniszczenie systemów, tylko ciche zdobycie dostępu, danych i przewagi informacyjnej.
- Najczęstsze wektory wejścia to phishing, password spraying, podatne urządzenia brzegowe, przejęcie DNS i ataki typu adversary-in-the-middle.
- Największą słabością wielu firm nie jest sam serwer, tylko router, poczta, tożsamość i brak sensownego monitoringu.
- Najlepsza obrona to połączenie MFA odpornego na phishing, patchowania edge devices, kontroli DNS i dobrego logowania zdarzeń.
- W środowiskach hybrydowych szczególnie ważne są urządzenia domowe pracowników i poprawna separacja zaufanych oraz niezaufanych sieci.
Kim właściwie jest APT28 i skąd tyle nazw
W praktyce patrzę na APT28 jak na jeden z najbardziej rozpoznawalnych, a zarazem najbardziej konsekwentnych aktorów cyberwywiadowczych ostatnich lat. W raportach spotkasz wiele nazw: Fancy Bear, Sofacy, Sednit, STRONTIUM, Forest Blizzard czy G0007 w klasyfikacji MITRE ATT&CK. To nie są osobne byty, tylko różne etykiety przypisywane temu samemu ekosystemowi działań.
Najważniejsze jest jednak nie samo nazewnictwo, lecz charakter operacji. To grupa kojarzona z rosyjskim wywiadem wojskowym GRU i nastawiona przede wszystkim na zdobywanie informacji, utrzymywanie dostępu oraz wspieranie szerszych celów państwowych. W praktyce oznacza to cierpliwe, wieloetapowe kampanie, a nie jednorazowe, hałaśliwe włamania.
To rozróżnienie ma znaczenie, bo od razu zmienia sposób obrony. Jeśli atakujący chce działać długo i dyskretnie, trzeba myśleć nie tylko o antywirusie, ale o tożsamości, ruchu DNS, urządzeniach sieciowych i logach z całej infrastruktury. Z tego właśnie powodu następna sekcja jest najważniejsza dla obrońcy.
Jak wygląda typowy łańcuch ataku
APT28 rzadko opiera się na jednym, prostym triku. Zwykle widzę tu łańcuch działań: wejście, utrwalenie dostępu, eskalacja uprawnień, rozpoznanie środowiska, a dopiero później zbieranie danych lub przekierowanie ruchu. Jak pokazuje MITRE ATT&CK, grupa korzystała m.in. z PowerShell, wiersza poleceń Windows, RDP, SMB oraz technik związanych z dumpowaniem poświadczeń i manipulacją systemem plików.
W praktyce najczęściej zaczyna się od phishingu lub password spraying. W pierwszym przypadku ofiara dostaje wiadomość podszytą pod zaufany podmiot, w drugim atakujący próbuje wiele popularnych haseł na wielu kontach, licząc na słabe nawyki użytkowników. W nowszych kampaniach coraz większą rolę odgrywa też kompromitacja routerów SOHO i przejmowanie DNS, co pozwala podglądać ruch i czasem wchodzić w ataki typu adversary-in-the-middle.
| Etap | Co robi atakujący | Dlaczego to działa | Co pomaga w obronie |
|---|---|---|---|
| Wejście | Phishing, password spraying, podatne routery | Uderza w ludzi i słabo zarządzane urządzenia | MFA odporne na phishing, szkolenia, patchowanie sprzętu brzegowego |
| Utrwalenie | Zmiana ustawień DNS, nadużycie kont, proxy | Ofiara często nie widzi od razu skutków | Logowanie zmian DNS, monitorowanie kont, segmentacja dostępu |
| Rozwój dostępu | PowerShell, RDP, SMB, zbieranie poświadczeń | Wiele środowisk nadal ma zbyt szerokie uprawnienia | Least privilege, blokada starych protokołów, detekcja anomalii |
| Eksfiltracja i podgląd | Wyprowadzanie danych, przechwytywanie ruchu, AiTM | Ruch wygląda jak normalna aktywność użytkownika | SIEM, alerty o ryzykownych logowaniach, analiza DNS i TLS |
W ostatnich kampaniach opisanych przez Microsoft Threat Intelligence szczególnie wyraźny stał się motyw DNS hijackingu na podatnych urządzeniach domowych i małobiznesowych. To ważne, bo atakujący nie muszą od razu łamać centrum danych; często łatwiej jest przejąć słabszy punkt na brzegu sieci i na jego podstawie obserwować kolejne cele. Taki model działania dobrze pokazuje, jak bardzo zmieniło się pole walki.
Jeżeli ktoś liczy, że stary filtr antyspamowy albo sam fakt używania HTTPS załatwi problem, zwykle szybko się rozczarowuje. Następna sekcja tłumaczy, dlaczego ten typ działań jest szczególnie groźny dla polskich organizacji i gdzie w praktyce pojawia się największa ekspozycja.
Dlaczego to zagrożenie jest realne dla polskich organizacji
W Polsce najbardziej narażone są te środowiska, które łączą wysoki poziom ekspozycji z niedojrzałym zarządzaniem infrastrukturą. Chodzi przede wszystkim o administrację publiczną, sektor obronny, telekomunikację, energetykę, media, organizacje pozarządowe, firmy IT oraz podmioty współpracujące z Ukrainą albo szerzej z europejskimi strukturami bezpieczeństwa. To dokładnie ten profil interesów, który zwykle przyciąga tego typu aktora.
Istotny jest też kontekst pracy hybrydowej. Wiele organizacji ma dziś część użytkowników poza biurem, a więc poza kontrolowanym sprzętem i siecią firmową. Jeśli domowy router pracownika jest źle zabezpieczony, dostawca internetu używa słabych ustawień DNS albo użytkownik ignoruje ostrzeżenia przeglądarki, atakujący dostaje punkt zaczepienia, którego klasyczna polityka perimeter security już nie obejmuje.
Na linuksowych stacjach roboczych ryzyko nie znika, tylko zmienia formę. Sam system może być solidny, ale jeśli konto pocztowe, przeglądarka, VPN i resolver DNS nie są spójnie zarządzane, to luka znajduje się obok systemu, a nie w nim. I właśnie dlatego trzeba myśleć o ochronie szerzej niż tylko o samym endpointcie.
Jak bronić się praktycznie na poziomie tożsamości, sieci i stacji roboczej
Jeżeli miałbym wskazać jeden sensowny kierunek obrony, powiedziałbym: zabezpiecz tożsamość, uporządkuj DNS i dopiero potem dopracuj endpointy. Atakujący tacy jak APT28 nie potrzebują efektownego malware, jeśli mogą wejść przez słabe hasło, przechwycony token albo podatny router. To właśnie dlatego skuteczna obrona musi działać warstwowo.
- Tożsamość - wdrażaj MFA odporne na phishing, najlepiej z kluczami FIDO2 lub innym mocnym uwierzytelnianiem. Zwykłe kody SMS to dziś za mało.
- Poczta i logowania - wyłącz stare metody autoryzacji, ogranicz logowania z nietypowych lokalizacji i monitoruj ryzykowne sign-iny.
- DNS - wymuś zaufane resolvery, zapisuj zmiany ustawień i reaguj na każdą nietypową modyfikację po stronie routera lub stacji roboczej.
- Edge devices - traktuj routery, bramy i urządzenia SOHO jak element krytyczny, a nie akcesorium sieciowe.
- Stacje z Linuksem - pilnuj konfiguracji `systemd-resolved`, `NetworkManager` i plików DNS, bo zmiana resolvera bywa pierwszym sygnałem problemu.
- Monitoring - zbieraj logi z poczty, VPN, IdP, DNS i urządzeń sieciowych w jednym miejscu, bo pojedynczy alert często nic nie znaczy bez kontekstu.
W środowiskach opartych o Microsoft 365, Entra ID lub podobne usługi tożsamości szczególnie pomocne są alerty o anomaliach logowania i korelacja z ruchem DNS. Jeśli konto nagle loguje się z innej geografii, a wcześniej zmieniono ustawienia routera albo DNS, to nie jest zbieżność do zignorowania. To typowy scenariusz, w którym atakujący próbuje przejść od infrastruktury do kont użytkowników.
Nie przeceniałbym też samego patchowania aplikacji na końcówkach, jeśli organizacja ma dziurawy proces aktualizacji routerów i urządzeń brzegowych. Właśnie tam APT28 i podobne grupy potrafią znaleźć najtańszy kosztowo, ale bardzo skuteczny wektor wejścia. Z tej perspektywy sensowniejsza jest twarda polityka zmian i regularny audyt sprzętu niż kolejny punktowy „hardening” bez nadzoru.
Skoro już wiadomo, co wdrażać, pozostaje jeszcze jedna praktyczna rzecz: jak rozpoznać, że ktoś próbuje wejść albo już działa wewnątrz środowiska. To często decyduje o tym, czy incydent kończy się szybką izolacją, czy tygodniami sprzątania.
Po czym rozpoznać aktywność i jak reagować w pierwszych godzinach
Najwcześniejsze sygnały bywają mało spektakularne. Może to być nagła zmiana DNS w routerze, ostrzeżenia o certyfikacie TLS pojawiające się w nieoczekiwanym momencie, nietypowe logowania z kont uprzednio uznawanych za stabilne albo rosnąca liczba prób uwierzytelnienia zakończonych blokadą. Same w sobie nie dowodzą kompromitacji, ale razem układają się w obraz, którego nie wolno zbagatelizować.
| Sygnał | Co może oznaczać | Jak reagować |
|---|---|---|
| Zmiana serwera DNS bez planowanej zmiany | Przejęcie routera lub manipulację konfiguracją sieci | Odłącz urządzenie, sprawdź konfigurację i wymuś reset do znanego stanu |
| Nietypowe logowania z poprawnymi poświadczeniami | Kradyż sesji, tokenów lub przejęcie konta | Waż tokeny, wymuś reset haseł i przeanalizuj sesje |
| Wielokrotne blokady kont w krótkim czasie | Password spraying albo próby automatyzacji logowania | Sprawdź źródła prób, polityki blokad i zakres ekspozycji usługi |
| Ostrzeżenia TLS ignorowane przez użytkowników | Możliwy atak typu adversary-in-the-middle | Traktuj to jako incydent, a nie problem użytkownika |
W pierwszych godzinach po wykryciu takiego śladu nie chodzi o perfekcyjną analizę, tylko o ograniczenie zasięgu. Ja zaczynam od izolacji podejrzanych urządzeń, sprawdzenia kont uprzywilejowanych, przeglądu DNS i weryfikacji, czy nie doszło do przejęcia sesji w poczcie lub VPN. Dopiero później przychodzi czas na pełną analizę forensyczną.
Ważne jest też jedno: samo zresetowanie DNS nie naprawia wszystkiego, jeśli atakujący zdążył już ukraść poświadczenia. Dlatego po incydencie trzeba równolegle czyścić infrastrukturę i rotować zaufanie do kont, tokenów oraz urządzeń. To niewygodne, ale znacznie tańsze niż odzyskiwanie środowiska po długotrwałej obecności intruza.
Co naprawdę warto wdrożyć, zanim pojawi się alarm
Jeśli miałbym sprowadzić cały temat do kilku decyzji operacyjnych, postawiłbym na trzy rzeczy: mocne uwierzytelnianie, kontrolę urządzeń brzegowych i sensowny monitoring ruchu oraz logowań. To nie brzmi efektownie, ale właśnie te elementy najczęściej przesądzają o tym, czy grupa tego typu przejdzie przez organizację niezauważona, czy zatrzyma się na pierwszym etapie.
W 2026 największym błędem obrony nie jest brak jednego „magicznego” narzędzia, tylko rozjazd między zespołami: sieć nie wie, co robi tożsamość, tożsamość nie widzi DNS, a użytkownik jest zostawiony sam z komunikatem o certyfikacie. Jeśli uporządkujesz te trzy obszary, odetniesz APT28 większość tanich i skutecznych ścieżek wejścia. A to w praktyce daje dużo więcej niż kolejne warstwy dekoracyjnego bezpieczeństwa.
Najlepiej traktować ten typ zagrożenia jak test dojrzałości całej organizacji, a nie tylko działu IT. Jeśli podstawy są zrobione dobrze, grupa musi włożyć znacznie więcej pracy, a to zwykle podnosi szansę wykrycia i ogranicza skutki incydentu.
