Cozy Bear

редактировать
Российская группа хакеров
Cozy Bear
Формацияc.2008
ТипПостоянная угроза повышенной сложности
ЦельКибершпионаж, кибервойна
РегионРоссия
МетодыSpearphishing, вредоносное ПО
Официальный языкРусский
Головная организациялибо FSB, либо SVR
AffiliationsFancy Bear
Ранее называласьAPT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe ( в сочетании с Fancy Bear )

Cozy Bear, классифицируется как повышенная постоянная угроза APT29, представляет собой российскую хакерскую группу предположительно связан с одним или несколькими спецслужбами России. Голландская Служба общей разведки и безопасности (AIVD) пришла к выводу из видеозаписей с камеры видеонаблюдения, что ее возглавляет Российская Служба внешней разведки (SVR). Фирма по кибербезопасности CrowdStrike также ранее предполагала, что она может быть связана либо с Федеральной службой безопасности (ФСБ) России, либо с СВР. Группа получила другие прозвища от других фирм, занимающихся кибербезопасностью, в том числе Office Monkeys, CozyCar, The Dukes (от Volexity) и CozyDuke (Автор F-Secure ).

Содержание

  • 1 Методы и технические возможности
  • 2 Атаки
    • 2.1 Офисные обезьяны (2014)
    • 2.2 Пентагон (август 2015)
    • 2.3 Национальный комитет Демократической партии (2016)
    • 2.4 США аналитические центры и НПО (2016)
    • 2.5 Правительство Норвегии (2017)
    • 2.6 Голландские министерства (2017)
    • 2.7 Operation Ghost
    • 2.8 Данные о вакцине COVID-19 (2020)
  • 3 См. также
  • 4 Источники

Методы и технические возможности

Диаграмма, показывающая, как Cozy Bear и Fancy Bear использовали вредоносное ПО для проникновения в цели

Лаборатория Касперского определила, что самые ранние образцы относящейся к группе датируется 2008 годом. Исходный код был написан на языке ассемблера. Symantec считает, что Cozy Bear скомпрометировал дипломатические организации и правительства по крайней мере с 2010 года.

Вредоносная программа CozyDuke использует бэкдор и дроппер. Вредоносная программа передает данные на сервер управления и контроля. Злоумышленники могут адаптировать вредоносное ПО к среде. Компоненты бэкдора вредоносной программы Cozy Bear со временем обновляются с модификациями криптографии, троянскими функциями и средствами защиты от обнаружения. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, который также использует инструменты CHOPSTICK и CORESHELL.

Набор вредоносных инструментов CozyDuke Cozy Bear структурно и функционально похожи на компоненты второй ступени, используемые в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второго этапа вредоносного ПО CozyDuke, Show.dll, похоже, был построен на той же платформе, что и OnionDuke, что предполагает, что авторы работают вместе или являются одними и теми же людьми. Кампании и используемые ими наборы вредоносных программ называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией кибершпионажа OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоговорящими. После раскрытия MiniDuke в 2013 году обновления вредоносного ПО были написаны на C /C ++, и оно было упаковано новым обфускатором..

Предполагается, что за «HAMMERTOSS» стоит Cozy Bear. инструмент удаленного доступа, который использует часто посещаемые веб-сайты, такие как Twitter и GitHub на ретранслировать данные команды.

Seaduke - низкопрофильный троян с широкими возможностями настройки. используется только для небольшого набора важных целей. Обычно Seaduke устанавливается на системы, уже зараженные гораздо более распространенным CozyDuke.

Атаки

Cozy Bear, похоже, имеет разные проекты с разными группами пользователей. В центре внимания проекта Nemesis Gemina - военный, государственный, энергетический, дипломатический и телекоммуникационный секторы. Имеющиеся данные свидетельствуют о том, что в 2014 году целью Cozy Bear были коммерческие предприятия и государственные организации в Германии, Узбекистане, Южной Корее и США, включая Государственный департамент США и Белый дом.

Office monkeys (2014)

В марте 2014 года в одном из частных исследовательских институтов в Вашингтоне, округ Колумбия, было обнаружено наличие в сети Cozyduke (Trojan.Cozer). Затем Cozy Bear начал рассылку по электронной почте, пытаясь соблазнить жертв щелкнуть по флеш-видео с офисными обезьянами, которое также будет включать вредоносные исполняемые файлы. К июлю группа взломала правительственные сети и приказала зараженным Cozyduke системам установить Miniduke в зараженную сеть.

Летом 2014 года цифровые агенты голландской Службы общей разведки и безопасности проникла Уютный Медведь. Они обнаружили, что эти русские хакеры нацелены на Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР начать расследование.

Пентагон (август 2015 г.)

В августе 2015 г. Cozy Bear был связан с кибер-фишингом spear-phishing -атака на систему электронной почты Pentagon , в результате чего вся система несекретной электронной почты Объединенного штаба и доступ в Интернет были отключены во время расследования.

Национальный комитет Демократической партии (2016)

В июне 2016 года Cozy Bear был замешан вместе с хакерской группой Fancy Bear в кибератаках Национального комитета Демократической партии. В то время как обе группы присутствовали на серверах Национального комитета Демократической партии одновременно, они, похоже, не знали друг друга, каждая независимо воруя одни и те же пароли и иным образом дублируя свои усилия. Команда криминалистов CrowdStrike определила, что, хотя Cozy Bear был в сети DNC более года, Fancy Bear пробыл там всего несколько недель. Более изощренное торговое мастерство Cozy Bear и интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа происходит из отдельного российского разведывательного агентства.

Американские аналитические центры и неправительственные организации (2016)

После Президентские выборы в США в 2016 г., Cozy Bear была связана с серией скоординированных и хорошо спланированных целевых фишинговых кампаний против базирующихся в США аналитических центров и неправительственных организаций (НПО).

Правительство Норвегии (2017 г.))

3 февраля 2017 г. Служба безопасности полиции Норвегии (PST) сообщила, что были предприняты попытки взлома учетных записей электронной почты девяти человек в Министерстве обороны, Министерство иностранных дел и Лейбористская партия. Эти действия были приписаны Кози Беар, в число целей которой входили Норвежское управление радиационной защиты, начальник отдела PST Арне Кристиан Хаугстойл и неназванный коллега. Премьер-министр Эрна Сольберг назвала эти действия «серьезной атакой на наши демократические институты». Как сообщается, атаки были совершены в январе 2017 года.

Министерства Нидерландов (2017)

В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взлома голландских министерств, в том числе Министерство общих дел, за предыдущие шесть месяцев. Роб Бертоли, глава AIVD, заявил на EenVandaag, что хакеры были русскими и пытались получить доступ к секретным правительственным документам.

На брифинге в парламенте, Министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитаны вручную.

Operation Ghost

Подозрения на прекращение работы Cozy Bear были развеяны в 2019 году после обнаружения трех новых семейств вредоносных программ, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил работу, а скорее разработал новые инструменты, которые было труднее обнаружить. Взлом целевых объектов с использованием этих недавно обнаруженных пакетов вместе именуется Operation Ghost.

Данные о вакцине COVID-19 (2020 г.)

В июле 2020 г. АНБ предъявило обвинение Cozy Bear, NCSC и CSE попытки украсть данные о вакцинах и методах лечения COVID-19, разрабатываемых в Великобритании, США и Канаде.

См. Также

Ссылки

Последняя правка сделана 2021-05-16 07:28:10
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте