Venäjän sotilastiedustelu GRU:n kybertoimijat ovat pyrkineet saamaan pääsyn yksityisiin ja kunnallisiin IP-kameroihin, jotka sijaitsevat rajanylityspaikkojen, sotilaallisten kohteiden sekä rautatieasemien läheisyydessä.
Asia käy ilmi noin 20 tiedustelu-, ja kyberturvallisuusviranomaisen yhdessä julkaisemasta varoituksesta. Julkaisijoiden joukossa ovat esimerkiksi Yhdysvaltojen FBI, Tanskan puolustustiedustelu, Viron ja Saksan ulkomaantiedustelut sekä Puolan turvallisuuspalvelu ja sotilastiedustelu. Kybervakoilun takana on GRU:n yksikkö 26165, jonka kädenjäljestä on usein käytetty lyhennettä APT28.
Kohteina on ollut yli 10 000 valvontakameraa. Niistä 81 prosenttia sijaitsi Ukrainassa, noin joka kymmenes Romaniassa, neljä prosenttia Puolassa ja loput Unkarissa ja Slovakiassa.
Valvontakameroiden hakkeroinnin tavoitteena on ollut seurata Ukrainan rajanylityksiä ja materiaaliliikennettä, varsinkin sotilaallista apua. Hyökkääjät lähettivät striimausprotokollaan liittyviä koodipyyntöjä IP-kameroiden palvelimille saadakseen kuvakaappauksia ja striimatun videokuvaliikenteen metatietoja. Näihin RSTP DESCRIBE -nimellä tunnettuihin pyyntöihin liitettiin monesti oletustunnuksia ja koneellisesti muodostettuja arvauksia.
Lisäksi kybervakoiluryhmä hakkeroi tai pyrki hakkeroimaan yrityksiä, jotka liittyvät Ukrainalle annetun avun kuljettamiseen, logistiikkaan ja teknologiaan. Vakoilussa käytettiin kohdeyritysten ja -organisaatioiden järjestelmiin pääsemiseksi esimerkiksi Outlook-sähköpostiohjelmassa ollutta haavoittuvuutta. Muokatun kalenterikutsun lähettämällä hyökkääjä sai haltuunsa todennustietoja joita käyttämällä se pääsi uhrin sähköpostiin ja sitä kautta muihin järjestelmiin.
Näitä yrityskohteita on ollut Yhdysvalloissa, Ukrainassa ja useissa EU-maissa, kuten Puolassa, Saksassa ja Ranskassa. Koska Suomen viranomaisia kuten keskusrikospoliisia tai kyberturvallisuuskeskusta ei mainita varoituksen julkaisijoissa, voisi päätellä ettei kohteita ole tällä kertaa ollut Suomessa. Varmaa se ei kuitenkaan ole, sillä tiettävästi tutkintatoimiin osallistuminen ei edellytä varoituksen julkaisemiseen osallistumista. Suomea ei mainita raportissa kohdemaana – mutta ei mainita Britanniaa tai Ruotsiakaan.
Kansainvälinen aseapu Ukrainalle on kiinnostanut Venäjää ja varsinkin sen sotilastiedustelua jo pidempään. Esimerkiksi talvella 2023 Puola vangitsi tiettävästi ensimmäisen julkisesti tunnetun sabotaasiringin. Kuuden ihmisen rinki jäi kiinni, kun tärkeiden junaratojen varsilta ja risteyksistä löytyi kymmeniä piilokameroita, jotka nauhoittivat ja välittivät tietoa liikenteestä. Valtaosa löytyi maan kaakkoisosaan johtavilla rautatieosuuksilla kuten lähellä lentokenttää, joka on yksi tärkeimmistä Ukrainaan suuntautuvien länsimaisten aseiden ja ammusten kuljetuspisteistä.
APT28 on yksi tunnetuimmista ja pitkäikäisimmistä valtiollisista kybertoimijoista. Yksi sen ikimuistoisimmista operaatioista oli presidentiksi Donald Trumpia vastaan vuonna 2016 pyrkineen Hillary Clintonin puoluetoimiston DNC:n sähköpostimurto. Hakkeroidut sähköpostit vuodettiin julki Wikileaksin kautta. Yleisesti arvioidaan, että Venäjän tavoitteena oli horjuttaa Clintonin kampanjaa.
Samana vuonna APT28 murtautui Maailman antidopingtoimiston (WADA) järjestelmiin. He julkaisivat hankkimiaan tietoja urheilijoiden lääketieteellisistä poikkeusluvista. Kyseessä arvellaan olleen kosto kansainvälisestä kritiikistä Venäjän järjestelmällistä dopingia kohtaan.
Vuonna 2017 APT28 yritti Clintonin puoluetoimiston kaltaista temppua Ranskan presidenttiehdokas Emmanuel Macronin kampanjatiimin sähköposteihin ja julkaisi niitä. Operaation tarkoituksena oli horjuttaa Macronin asemaa ja hyödyttää hänen vastustajaansa Marine Le Peniä.
