Формация | c.2008 |
---|---|
Тип | Постоянная угроза повышенной сложности |
Цель | Кибершпионаж, кибервойна |
Регион | Россия |
Методы | Spearphishing, вредоносное ПО |
Официальный язык | Русский |
Головная организация | либо FSB, либо SVR |
Affiliations | Fancy Bear |
Ранее называлась | APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe ( в сочетании с Fancy Bear ) |
Cozy Bear, классифицируется как повышенная постоянная угроза APT29, представляет собой российскую хакерскую группу предположительно связан с одним или несколькими спецслужбами России. Голландская Служба общей разведки и безопасности (AIVD) пришла к выводу из видеозаписей с камеры видеонаблюдения, что ее возглавляет Российская Служба внешней разведки (SVR). Фирма по кибербезопасности CrowdStrike также ранее предполагала, что она может быть связана либо с Федеральной службой безопасности (ФСБ) России, либо с СВР. Группа получила другие прозвища от других фирм, занимающихся кибербезопасностью, в том числе Office Monkeys, CozyCar, The Dukes (от Volexity) и CozyDuke (Автор F-Secure ).
Лаборатория Касперского определила, что самые ранние образцы относящейся к группе датируется 2008 годом. Исходный код был написан на языке ассемблера. Symantec считает, что Cozy Bear скомпрометировал дипломатические организации и правительства по крайней мере с 2010 года.
Вредоносная программа CozyDuke использует бэкдор и дроппер. Вредоносная программа передает данные на сервер управления и контроля. Злоумышленники могут адаптировать вредоносное ПО к среде. Компоненты бэкдора вредоносной программы Cozy Bear со временем обновляются с модификациями криптографии, троянскими функциями и средствами защиты от обнаружения. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, который также использует инструменты CHOPSTICK и CORESHELL.
Набор вредоносных инструментов CozyDuke Cozy Bear структурно и функционально похожи на компоненты второй ступени, используемые в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второго этапа вредоносного ПО CozyDuke, Show.dll, похоже, был построен на той же платформе, что и OnionDuke, что предполагает, что авторы работают вместе или являются одними и теми же людьми. Кампании и используемые ими наборы вредоносных программ называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией кибершпионажа OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоговорящими. После раскрытия MiniDuke в 2013 году обновления вредоносного ПО были написаны на C /C ++, и оно было упаковано новым обфускатором..
Предполагается, что за «HAMMERTOSS» стоит Cozy Bear. инструмент удаленного доступа, который использует часто посещаемые веб-сайты, такие как Twitter и GitHub на ретранслировать данные команды.
Seaduke - низкопрофильный троян с широкими возможностями настройки. используется только для небольшого набора важных целей. Обычно Seaduke устанавливается на системы, уже зараженные гораздо более распространенным CozyDuke.
Cozy Bear, похоже, имеет разные проекты с разными группами пользователей. В центре внимания проекта Nemesis Gemina - военный, государственный, энергетический, дипломатический и телекоммуникационный секторы. Имеющиеся данные свидетельствуют о том, что в 2014 году целью Cozy Bear были коммерческие предприятия и государственные организации в Германии, Узбекистане, Южной Корее и США, включая Государственный департамент США и Белый дом.
В марте 2014 года в одном из частных исследовательских институтов в Вашингтоне, округ Колумбия, было обнаружено наличие в сети Cozyduke (Trojan.Cozer). Затем Cozy Bear начал рассылку по электронной почте, пытаясь соблазнить жертв щелкнуть по флеш-видео с офисными обезьянами, которое также будет включать вредоносные исполняемые файлы. К июлю группа взломала правительственные сети и приказала зараженным Cozyduke системам установить Miniduke в зараженную сеть.
Летом 2014 года цифровые агенты голландской Службы общей разведки и безопасности проникла Уютный Медведь. Они обнаружили, что эти русские хакеры нацелены на Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР начать расследование.
В августе 2015 г. Cozy Bear был связан с кибер-фишингом spear-phishing -атака на систему электронной почты Pentagon , в результате чего вся система несекретной электронной почты Объединенного штаба и доступ в Интернет были отключены во время расследования.
В июне 2016 года Cozy Bear был замешан вместе с хакерской группой Fancy Bear в кибератаках Национального комитета Демократической партии. В то время как обе группы присутствовали на серверах Национального комитета Демократической партии одновременно, они, похоже, не знали друг друга, каждая независимо воруя одни и те же пароли и иным образом дублируя свои усилия. Команда криминалистов CrowdStrike определила, что, хотя Cozy Bear был в сети DNC более года, Fancy Bear пробыл там всего несколько недель. Более изощренное торговое мастерство Cozy Bear и интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа происходит из отдельного российского разведывательного агентства.
После Президентские выборы в США в 2016 г., Cozy Bear была связана с серией скоординированных и хорошо спланированных целевых фишинговых кампаний против базирующихся в США аналитических центров и неправительственных организаций (НПО).
3 февраля 2017 г. Служба безопасности полиции Норвегии (PST) сообщила, что были предприняты попытки взлома учетных записей электронной почты девяти человек в Министерстве обороны, Министерство иностранных дел и Лейбористская партия. Эти действия были приписаны Кози Беар, в число целей которой входили Норвежское управление радиационной защиты, начальник отдела PST Арне Кристиан Хаугстойл и неназванный коллега. Премьер-министр Эрна Сольберг назвала эти действия «серьезной атакой на наши демократические институты». Как сообщается, атаки были совершены в январе 2017 года.
В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взлома голландских министерств, в том числе Министерство общих дел, за предыдущие шесть месяцев. Роб Бертоли, глава AIVD, заявил на EenVandaag, что хакеры были русскими и пытались получить доступ к секретным правительственным документам.
На брифинге в парламенте, Министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитаны вручную.
Подозрения на прекращение работы Cozy Bear были развеяны в 2019 году после обнаружения трех новых семейств вредоносных программ, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил работу, а скорее разработал новые инструменты, которые было труднее обнаружить. Взлом целевых объектов с использованием этих недавно обнаруженных пакетов вместе именуется Operation Ghost.
В июле 2020 г. АНБ предъявило обвинение Cozy Bear, NCSC и CSE попытки украсть данные о вакцинах и методах лечения COVID-19, разрабатываемых в Великобритании, США и Канаде.