Fancy Bear

редактировать
Fancy Bear
Формацияc.2004–2007 гг.
ТипПостоянная угроза повышенной сложности
ЦельКибершпионаж, кибервойна
РегионРоссия
МетодыНулевые дни, целевой фишинг, вредоносное ПО
Официальный языкРоссийская
Головная организацияГРУ
ФилиалыCozy Bear
Ранее называласьAPT28. Pawn Storm. Sofacy Group. Седнит. STRONTIUM. Tsar Team. Threat Group-4127. Седая степь (в сочетании с Cozy Bear )

Fancy Bear (также известный как APT28 (by Mandiant ), Pawn Storm, Sofacy Group (by Kaspersky ), Sednit, Tsar Team ( от FireEye ) и STRONTIUM (от Microsoft )) - это российская группа кибершпионажа. Фирма по кибербезопасности CrowdStrike со средней степенью уверенности заявил, что он связан с российской военной разведкой. cy ГРУ. Министерство иностранных дел и по делам Содружества Великобритании, а также охранные фирмы SecureWorks, ThreatConnect и Fireeye Mandiant, также сообщили, что группа спонсируется правительством России. В 2018 г. в обвинительном заключении специального юрисконсульта США было указано, что Fancy Bear - это два подразделения ГРУ, известные как Unit 26165 и Unit 74455 .

. Приходит название «Fancy Bear» от исследователя безопасности системы кодирования , который Дмитрий Альперович использует для идентификации хакеров.

Методы Fancy Bear, вероятно, действующие с середины 2000-х годов, соответствуют возможностям государственных структур. Группа нацелена на правительственные, военные и охранные организации, особенно на закавказские и государства, входящие в НАТО. Считается, что Fancy Bear несет ответственность за кибератаки на парламент Германии, французский телеканал TV5Monde, Белый дом, НАТО, Демократическую Национальный комитет, Организация по безопасности и сотрудничеству в Европе и кампания кандидата в президенты Франции Эммануэля Макрона.

Группа продвигает политические интересы российского правительства и известен тем, что взломал электронную почту Национального комитета Демократической партии, чтобы попытаться повлиять на исход президентских выборов в США в 2016 году.

Fancy Bear классифицируется Fireeye как постоянная серьезная угроза высокого уровня. Среди прочего, он использует эксплойты нулевого дня, целевой фишинг и вредоносное ПО для компрометации целей.

Содержание

  • 1 Отчеты об обнаружении и безопасности
  • 2 Атаки
    • 2.1 Нападения на известных журналистов в России, США, Украине, Молдове, странах Балтии и других странах
    • 2.2 Немецкие атаки (с 2014 г.)
    • 2.3 Угрозы убийством жен американских военных (10 февраля 2015 г.)
    • 2.4 Взлом французского телевидения (апрель 2015 г.)
    • 2.5 Отчет root9B (май 2015 г.)
    • 2.6 Обман EFF, нападение Белого дома и НАТО (Август 2015)
    • 2.7 Всемирное антидопинговое агентство (август 2016)
    • 2.8 Голландский совет безопасности и Bellingcat
    • 2.9 Демократический национальный комитет (2016)
    • 2.10 Украинская артиллерия
    • 2.11 Windows нулевого дня (Октябрь 2016)
    • 2.12 Голландские министерства (февраль 2017)
    • 2.13 Взлом ИААФ (февраль 2017)
    • 2.14 Выборы во Франции и Германии (2016–2017)
    • 2.15 Международный олимпийский комитет (2018)
    • 2.16 Шведская спортивная конфедерация
    • 2.17 Консервативные группы США (2018)
    • 2.18 Вселенский патриархат и другое духовенство (август 2018)
    • 2.19 Обвинения в 2018 году
    • 2.20 2019 думаю танковые атаки
    • 2.21 2019 стратегическое чешское учреждение
    • 2.22 2020 ордер на арест немецких властей
  • 3 Характеристики и методы
  • 4 Образование
  • 5 Связанные лица
    • 5.1 Guccifer 2.0
    • 5.2 Fancy Bears 'Hack Team
    • 5.3 Anonymous Poland
  • 6 См. Также
  • 7 Примечания
  • 8 Ссылки
  • 9 Внешние ссылки

Отчеты об обнаружении и безопасности

Trend Micro обозначили исполнителей вредоносная программа Sofacy под названием Operation Pawn Storm 22 октября 2014 года. Название произошло из-за того, что группа использовала «два или более связанных инструмента / тактик для атаки на конкретную цель, аналогичную шахматной стратегии», известной как пеший штурм.

Фирма по сетевой безопасности FireEye выпустила подробный отчет о Fancy Bear в октябре 2014 года. В отчете группа обозначена как «Advanced Persistent Threat 28» (APT28) и описывается, как группа хакеров использовала эксплойты нулевого дня операционной системы Microsoft Windows и Adobe Flash. В отчете приводятся оперативные данные, указывающие на то, что источник является «спонсором правительства из Москвы». Данные, собранные FireEye, предполагают, что вредоносное ПО Fancy Bear было скомпилировано в основном в среде сборки на русском языке и происходило в основном в рабочие часы, параллельные часовому поясу Москвы. Директор FireEye по разведке угроз Лаура Галанте назвала деятельность группы «государственным шпионажем» и сказала, что среди целей также «СМИ или влиятельные лица».

Название «Fancy Bear» происходит от системы кодирования, которая Дмитрий Альперович использует для хакерских групп. «Медведь» указывает на то, что хакеры из России. Fancy относится к "Sofacy", слову во вредоносной программе, которое напомнило обнаружившему ее аналитику песню Игги Азалии "Fancy ".

Attacks

Цели Fancy Bear включали правительства и вооруженные силы стран Восточной Европы, страны Грузия и Кавказ, Украина, организации, связанные с безопасностью, такие как НАТО, а также подрядчиков из США Academi (ранее известная как Blackwater), Science Applications International Corporation (SAIC), Boeing, Lockheed Martin и Raytheon. Fancy Bear также нападала на граждан Российской Федерации, которые являются политическими противниками. Кремля, включая бывшего нефтяного магната Михаила Ходорковского и Марию Алехину из группы Pussy Riot. SecureWorks, фирма по кибербезопасности со штаб-квартирой в Соединенных Штатах, заключила что с марта 2015 года по май 2016 года в целевой список «Необычных медведей» входил не только Национальный комитет Демократической партии США, но и десятки тысяч элиты Путина и Кремля в США, Украине, России, Грузии и Сирии. Однако преследованием подверглась лишь горстка республиканцев. Анализ AP 4700 учетных записей электронной почты, атакованных Fancy Bear, показал, что ни одна страна, кроме России, не будет заинтересована во взломе стольких очень разных целей, которые, казалось, не имеют ничего общего, кроме того, что они представляют интерес для правительства России.

Fancy Bear, похоже, также пытается влиять на политические события, чтобы друзья или союзники российского правительства получили власть.

В 2011–2012 годах первым вредоносным ПО Fancy Bear был имплант «Sofacy» или SOURFACE. В течение 2013 года Fancy Bear добавила дополнительные инструменты и бэкдоры, в том числе CHOPSTICK, CORESHELL, JHUHUGIT и ADVSTORESHELL.

Атаки на известных журналистов в России, США, Украине, Молдове, странах Балтии и других странах

С середины 2014 года до осени 2017 года Fancy Bear преследовал многочисленных журналистов в США, Украине, России, Молдове, странах Балтии и других странах, которые писали статьи о Владимире Путине и Кремль. По данным Associated Press и SecureWorks, эта группа журналистов является третьей по величине группой, преследуемой Fancy Bear после дипломатического персонала и демократов США. В целевой список Fancy Bear входят Адриан Чен, армянский журналист Мария Титизян, Элиот Хиггинс в Bellingcat, Эллен Барри и не менее 50 других New York Times репортеры, не менее 50 иностранных корреспондентов в Москве, которые работали на независимые новостные агентства, Джош Рогин, обозреватель Washington Post, Шейн Харрис, писатель Daily Beast, который в 2015 году освещал вопросы разведки, Майкл Вайс, аналитик по безопасности CNN, Джейми Кирчик из Brookings Учреждение, 30 СМИ нацелены на Украину, многие на Kyiv Post, репортеры, освещавшие поддерживаемую Россией войну на востоке Украины, а также в России, где большинство преследуемые хакерами журналисты работали над независимыми новостями (например, Новая газета или Ведомости ), такими как Екатерина Винокурова на Znak.com и мейнстрим Российские журналисты Тина Канделаки, Ксения Собчак и ведущий российского телевидения Павел Лобков, все из которых работали на Дождь.

немецкие атаки (с 2014 года)

Fancy Bear, как полагают, были ответственны за Шестимесячная кибератака на парламент Германии, начавшаяся в декабре 2014 г. 5 мая 2020 г. федеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина В связи с атаками. Атака полностью парализовала ИТ-инфраструктуру Бундестага в мае 2015 года. Чтобы разрешить ситуацию, весь парламент пришлось отключить на несколько дней. По оценкам ИТ-экспертов, в ходе атаки из парламента было загружено в общей сложности 16 гигабайт данных.

Группа также подозревается в организации целевой фишинг-атаки в августе 2016 года на ее членов. Бундестага и нескольких политических партий, таких как Linken - лидер фракции Сахра Вагенкнехт, Junge Union и ХДС из Саар. Власти опасались, что хакеры могут собрать конфиденциальную информацию для последующего манипулирования общественностью перед выборами, такими как следующие федеральные выборы в Германии, которые должны были состояться в сентябре 2017 года.

США угрозы убийством жен военнослужащих (10 февраля 2015 г.)

10 февраля 2015 г. пять жен американских военнослужащих получили угрозы убийством от хакерской группы, называющей себя «КиберКалифат» и утверждающей, что она является филиалом Исламского государства. Позже было обнаружено, что это была атака ложного флага со стороны Fancy Bear, когда адреса электронной почты жертв оказались в списке целей фишинга Fancy Bear. Российские тролли в социальных сетях также известны своей шумихой и распространением слухов об угрозе потенциальных террористических атак Исламского государства на территории США, чтобы сеять страх и политическую напряженность.

Взлом французского телевидения (апрель 2015 г.)

8 апреля 2015 года французская телекомпания TV5Monde стала жертвой кибератаки со стороны хакерской группы, называющей себя «КиберКалифат» и утверждающей, что имеет связи с террористической организацией Исламское государство Ирак и Левант (ИГИЛ). Позже французские следователи опровергли теорию о том, что за кибератакой стояли воинствующие исламисты, вместо этого заподозрив причастность Fancy Bear.

Хакеры взломали внутренние системы сети, возможно, с помощью паролей, открыто транслируемых TV5, перекрывая программы вещания. из 12 каналов компании более трех часов. Рано утром следующего дня обслуживание было восстановлено лишь частично, а нормальное вещание было нарушено в конце 9 апреля. Различные компьютеризированные внутренние административные и вспомогательные системы, включая электронную почту, также были отключены или по иным причинам недоступны из-за атаки. Хакеры также захватили страницы Facebook и Twitter TV5Monde, чтобы разместить личную информацию родственников французских солдат, участвующих в действиях против ИГИЛ, а также сообщения с критикой президента Франсуа Олланд, утверждая, что теракты в январе 2015 года были «подарком» за его «непростительную ошибку» участия в конфликтах, которые «[служат] бесполезно».

Генеральный директор TV5Monde Ив Биго позже сказал, что нападение чуть не уничтожило компанию; если бы восстановление вещания заняло больше времени, спутниковые каналы, вероятно, расторгли бы свои контракты. Атака была задумана как разрушительная как для оборудования, так и для самой компании, а не для пропаганды или шпионажа, как это было в случае большинства других кибератак. Атака была тщательно спланирована; первое известное проникновение в сеть произошло 23 января 2015 года. Затем злоумышленники провели разведку TV5Monde, чтобы понять, как он передает свои сигналы, и создали специальное вредоносное программное обеспечение для повреждения и уничтожения подключенного к Интернету оборудования, которое контролировало Операции телеканала, например, системы кодирования. Они использовали семь различных точек входа, не все из которых являются частью TV5Monde и даже не во Франции - одна из них была компанией из Нидерландов, которая поставляла камеры с дистанционным управлением, используемые в студиях TV5. В период с 16 февраля по 25 марта злоумышленники собрали данные на внутренних платформах TV5, в том числе на его IT Internal Wiki, и подтвердили, что учетные данные для входа по-прежнему действительны. Во время атаки хакеры выполнили ряд команд, извлеченных из журналов TACACS, чтобы стереть прошивку с коммутаторов и маршрутизаторов.

. Хотя атака якобы исходила от ИБ, Французское кибер-агентство попросило Биго сказать только то, что сообщения якобы были отправлены ИГ. Позже ему сказали, что были найдены доказательства того, что злоумышленниками была группа российских хакеров APT 28. Причины нападения на TV5Monde обнаружены не были, а источник приказа об атаке и финансирование этой атаки неизвестны. Было высказано предположение, что это, вероятно, была попытка протестировать формы кибероружия. Стоимость была оценена в 5 млн евро (5,6 млн долларов США; 4,5 млн фунтов стерлингов) в первый год с последующими ежегодными расходами более 3 млн евро (3,4 млн долларов США; 2,7 млн ​​фунтов стерлингов) на новую защиту. Метод работы компании должен был измениться, с аутентификацией электронной почты, проверкой флеш-накопителей перед установкой и т. Д., Что значительно снизило эффективность работы медиа-компании, которая должна перемещать информацию.

отчет root9B (май 2015)

В мае 2015 года охранная компания опубликовала отчет о Fancy Bear, в котором сообщила об обнаружении целевой целевой фишинг-атаки, направленной на финансовые учреждения. В отчете перечислены международные банковские учреждения, ставшие объектом нападений, в том числе United Bank for Africa, Bank of America, TD Bank и UAE Bank. По словам root9B, подготовка к атакам началась в июне 2014 года, и использованное вредоносное ПО «имело особые сигнатуры, которые исторически были уникальными только для одной организации, Sofacy». Журналист службы безопасности Брайан Кребс поставил под сомнение точность утверждений root9B, заявив, что атаки на самом деле исходили от нигерийских фишеров. В июне 2015 года уважаемый исследователь безопасности Клаудио Гуарнери опубликовал отчет, основанный на его собственном исследовании одновременного использования уязвимости SOFACY, приписываемой немецкому Бундестагу, и приписал root9B сообщение об «том же IP-адресе, который использовался в качестве сервера Command Control при атаке на Бундестаг. (176.31.112.10) », и продолжил, что, основываясь на его исследовании атаки Бундестага,« по крайней мере, некоторые »индикаторы, содержащиеся в отчете root9B, оказались точными, включая сравнение хэша образца вредоносного ПО из обоих инцидентов. Позже root9B опубликовал технический отчет, в котором сравнивал проведенный Клаудио анализ SOFACY вредоносного ПО с их собственным образцом, что повысило достоверность их исходного отчета.

Подмена EFF, Белый дом и атака НАТО (август 2015 г.)

В августе 2015 года Fancy Bear использовала эксплойт нулевого дня Java, спуфинг Electronic Frontier Foundation и проведение атак на Белый дом и НАТО. Хакеры использовали целевую фишинговую атаку, направляя электронные письма на ложный URL-адрес electronicfrontierfoundation.org.

Всемирное антидопинговое агентство (август 2016 г.)

В августе 2016 г. Всемирное антидопинговое агентство Допинговое агентство сообщило о получении фишинговых электронных писем, отправленных пользователям его базы данных, которые якобы являются официальными сообщениями ВАДА с запросом их данных для входа. После проверки двух доменов, предоставленных ВАДА, было обнаружено, что информация о регистрации и хостинге веб-сайтов соответствует данным российской хакерской группы Fancy Bear. По данным ВАДА, некоторые из данных, опубликованных хакерами, были сфальсифицированы.

В связи с доказательствами широко распространенного допинга российскими спортсменами ВАДА рекомендовало запретить российским спортсменам участвовать в Рио-де-Жанейро в 2016 году. Олимпийские и Паралимпийские игры. Аналитики заявили, что, по их мнению, взлом был отчасти актом возмездия против разоблачения российской спортсменки Юлии Степановой, чья личная информация была раскрыта в результате взлома. В августе 2016 года ВАДА сообщило о взломе их систем, объяснив это тем, что хакеры из Fancy Bear использовали учетную запись, созданную Международным олимпийским комитетом (МОК), чтобы получить доступ к своей системе антидопингового администрирования и управления ( АДАМС) база данных. Затем хакеры использовали веб-сайт fancybear.net для утечки того, что, по их словам, было файлами олимпийских тестов на наркотики нескольких спортсменов, получивших разрешение на терапевтическое использование, включая гимнастку Симону Байлз, теннисистку Венеру и Серена Уильямс и баскетболистка Елена Делле Донн. Хакеры затачивали спортсменов, которым ВАДА предоставило льготы по разным причинам. Последующие утечки касались спортсменов из многих других стран.

Совет по безопасности Нидерландов и Bellingcat

Элиот Хиггинс и другие журналисты, связанные с Bellingcat, группой, исследующей сбитие рейса 17 Malaysia Airlines по Украине, стали жертвами многочисленных целевых фишинговых писем. Это были поддельные уведомления системы безопасности Gmail с сокращенными URL-адресами Bit.ly и TinyCC. Согласно ThreatConnect, некоторые фишинговые электронные письма исходили с серверов, которые Fancy Bear использовал в предыдущих атаках в другом месте. Bellingcat известна тем, что продемонстрировала, что Россия виновна в сбивании MH17, и ее часто высмеивают российские СМИ.

Группа нацелена на Совет безопасности Нидерландов, организацию, проводившую официальное расследование крушения до и после выпуска окончательного отчета совета директоров. Они установили поддельные серверы SFTP и VPN, чтобы имитировать собственные серверы платы, вероятно, с целью целевого фишинга имен пользователей и паролей. Представитель DSB заявил, что атаки не увенчались успехом.

Национальный комитет Демократической партии (2016)

Fancy Bear провела целевые фишинговые атаки на адреса электронной почты, связанные с Национальным комитетом Демократической партии в первом квартале 2016 года. 10 марта начали приходить фишинговые письма, которые в основном были направлены на старые адреса электронной почты сотрудников кампании Демократической партии 2008 года. В одном из этих аккаунтов могли быть обновленные списки контактов. На следующий день фишинговые атаки распространились на закрытые адреса электронной почты высокопоставленных чиновников Демократической партии. Адреса Hillaryclinton.com были атакованы, но для доступа требовалась двухфакторная аутентификация. Атака была перенаправлена ​​на учетные записи Gmail 19 марта. В тот же день была взломана учетная запись Gmail Подесты: было украдено 50 000 электронных писем. В апреле активизировались фишинговые атаки, хотя казалось, что хакеры внезапно перестали проявлять активность в течение дня 15 апреля, который в России был праздником в честь военных служб радиоэлектронной борьбы. Вредоносная программа, использованная в атаке, отправляла украденные данные на те же серверы, которые использовались для атаки группы в 2015 году на парламент Германии.

. 14 июня CrowdStrike опубликовал отчет, в котором опубликовал взлом DNC и назвал Fancy Bear виновными.. Затем появился онлайн-персонаж Guccifer 2.0, заявивший, что взломан является единственным виновником взлома.

Другой изощренной хакерской группой, приписываемой Российской Федерации, по прозвищу Cozy Bear, была также присутствуют на серверах DNC одновременно. Однако обе группы, похоже, не знали друг друга, поскольку каждая независимо украла одни и те же пароли и иным образом дублировала свои усилия. Cozy Bear - это совсем другое агентство, которое больше интересуется традиционным долгосрочным шпионажем. Группа криминалистов CrowdStrike определила, что, хотя Cozy Bear был в сети DNC более года, Fancy Bear был там всего несколько недель.

Украинская артиллерия

Зараженная версия приложения для управления Гаубица Д-30 якобы была передана украинской артиллерии

По данным CrowdStrike с 2014 по 2016 год, группа использовала вредоносное ПО для Android для нацеливания на ракетных войск украинской армии и Артиллерия. Они распространили зараженную версию приложения Android , первоначальной целью которого был контроль данных о наведении на артиллерийские орудия D-30 Howitzer. Приложение, используемое украинскими офицерами, было загружено шпионской программой X-Agent и размещено в Интернете на военных форумах. CrowdStrike изначально утверждал, что более 80% украинских гаубиц D-30 было уничтожено во время войны, это самый высокий процент потерь среди артиллерийских орудий в армии (процент, о котором ранее не сообщалось, и означал бы потерю почти всего арсенала). крупнейшего артиллерийского орудия ВСУ ). Согласно украинской армии данные CrowdStrike были неверными, и что потери в артиллерийском вооружении «были намного ниже заявленных» и что эти потери «не имеют ничего общего с заявленной причиной». CrowdStrike с тех пор пересмотрел этот отчет после того, как Международный институт стратегических исследований (IISS) отклонил его первоначальный отчет, заявив, что взлом вредоносных программ привел к потерям в 15–20%, а не к исходному показателю в 80%.

Windows нулевого дня (октябрь 2016 г.)

31 октября 2016 г. группа анализа угроз Google обнаружила уязвимость нулевого дня в большинство версий Microsoft Windows, которые подвергаются активным атакам вредоносных программ. 1 ноября 2016 г. исполнительный вице-президент Microsoft по Windows и устройствам Терри Майерсон опубликовал в блоге Microsoft Threat Research Response Blog, признав наличие уязвимости и объяснив, что таргетинг на "небольшой целевой фишинг-кампанию" конкретные пользователи использовали «две уязвимости нулевого дня в Adobe Flash и ядре Windows нижнего уровня». Microsoft указала на Fancy Bear как на злоумышленника, обозначив группу по внутреннему кодовому имени STRONTIUM.

Министерства Нидерландов (февраль 2017 г.)

В феврале 2017 г. General Служба разведки и безопасности (AIVD) Нидерландов выявила, что Fancy Bear и Cozy Bear предприняли несколько попыток взлома голландских министерств, включая Министерство общих дел, более предыдущие шесть месяцев. Роб Бертоли, глава AIVD, заявил на EenVandaag, что хакеры были русскими и пытались получить доступ к секретным правительственным документам.

На брифинге в парламенте, Министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитаны вручную.

Взлом ИААФ (февраль 2017)

Официальные лица Международной ассоциации легкоатлетических федераций (IAAF) заявили в апреле 2017 года, что ее серверы были взломаны группой «Fancy Bear». Атака была обнаружена фирмой по кибербезопасности Context Information Security, которая определила, что 21 февраля имел место несанкционированный удаленный доступ к серверам ИААФ. ИААФ заявила, что хакеры получили доступ к приложениям с разрешением на терапевтическое использование, необходимым для использования лекарств, запрещенных ВАДА.

Выборы во Франции и Германии (2016–2017 гг.)

Исследователи из Trend Micro в 2017 г. опубликовали отчет, в котором описываются попытки Fancy Bear охватить целевые группы, связанные с избирательными кампаниями Эммануэль Макрон и Ангела Меркель. Согласно отчету, они нацелены на кампанию Macron с помощью фишинга и попытки установить вредоносное ПО на свой сайт. Французское правительственное агентство по кибербезопасности ANSSI подтвердило, что эти атаки имели место, но не смогло подтвердить ответственность APT28. Кампания Марин Ле Пен, похоже, не была целью APT28, что, возможно, указывает на предпочтение России для ее кампании. Ранее Путин рекламировал выгоды для России в случае избрания Марин Ле Пен.

В отчете говорится, что затем они были нацелены на немецкие группы Фонд Конрада Аденауэра и Фонд Фридриха Эберта. которые связаны с Христианско-демократическим союзом Ангелы Меркель и оппозиционной Социал-демократической партией соответственно. В конце 2016 года Fancy Bear настроила поддельные почтовые серверы для рассылки фишинговых писем со ссылками на вредоносное ПО.

Международный олимпийский комитет (2018)

10 января 2018 года «Команда разработчиков Fancy Bears Hack» в сети появилась информация о том, что было украдено Международный олимпийский комитет (МОК) и США Электронные письма Олимпийского комитета, датированные концом 2016 - началом 2017, просочились в явную отместку за запрет МОК на участие российских спортсменов в зимних Олимпийских играх 2018 в качестве санкции за систематическую программу применения допинга в России. Атака напоминает более ранние утечки Всемирного антидопингового агентства (WADA). Неизвестно, являются ли электронные письма полностью аутентичными, поскольку Fancy Bear часто засаливал украденные электронные письма дезинформацией. Способ атаки также не был известен, но, вероятно, это был фишинг.

Эксперты по кибербезопасности также утверждали, что атаки, по всей видимости, также были нацелены на компанию по розливу профессиональных спортивных наркотиков, известную как Berlinger Group.

Шведская спортивная конфедерация

Шведская спортивная конфедерация сообщила, что компания Fancy Bear была ответственна за атаку на ее компьютеры, нацеленную на записи допинг-тестов спортсменов.

США консервативные группы (2018)

Компания-разработчик программного обеспечения Microsoft сообщила в августе 2018 года, что группа пыталась украсть данные у политических организаций, таких как Международный республиканский институт и Аналитические центры Гудзоновского института. Атаки были предотвращены, когда сотрудники службы безопасности Microsoft получили контроль над шестью сетевыми доменами. В своем заявлении Microsoft сообщила, что «в настоящее время у нас нет доказательств того, что эти домены использовались в каких-либо успешных атаках до того, как DCU передал контроль над ними, а также у нас нет доказательств, указывающих на личность конечных целей любой запланированной атаки с участием этих доменов».

Вселенский Патриархат и другое духовенство (август 2018 г.)

Согласно отчету Associated Press за август 2018 г., Fancy Bear в течение многих лет нацелился на электронную переписку должностные лица Константинопольского Патриархата во главе с Вселенским Патриархом Варфоломеем I. Публикация появилась во время обострения напряженности между Вселенским Патриархатом, высшей из всех Восточных Православных Церквей, и Русской Православной Церковью (Московский Патриархат) по вопросу полная церковная независимость (автокефалия ) для Православной церкви в Украине, к которой стремится украинское правительство. Издание цитирует экспертов, которые заявили, что предоставление автокефалии церкви в Украине подорвет власть и престиж Московского Патриархата и подорвет его претензии на транснациональную юрисдикцию. Кибератаки также были направлены на православных христиан в других странах, а также на мусульман, евреев и католиков в Соединенных Штатах, Умму, зонтичную группу украинских мусульман, папского нунция в Киеве и Йосипа Зисельса, который руководит Украинской ассоциацией еврейских организаций и общин.

Обвинения в 2018 году

В октябре 2018 года было раскрыто обвинительное заключение, вынесенное федеральным жюри в отношении семи российских мужчин, все офицеры ГРУ, в отношении нападений. В обвинительном заключении говорится, что с декабря 2014 года до мая 2018 года офицеры ГРУ вступили в сговор с целью проведения «постоянных и изощренных компьютерных вторжений, затрагивающих граждан США, юридические лица, международные организации и их соответствующих сотрудников, расположенных по всему миру, исходя из их стратегических интересов. Правительство России ". Министерство юстиции США заявило, что заговор, среди прочего, был направлен на «распространение украденной информации в рамках кампании влияния и дезинформации, направленной на подрыв, ответные меры или иным образом лишить легитимности» усилия Всемирной антидопинговой организации. Агентство, международная антидопинговая организация, опубликовавшая Отчет Макларена, отчет, раскрывающий обширный допинг российских спортсменов, спонсируемый правительством России. Обвиняемым были предъявлены обвинения в взломе компьютеров, мошенничестве с использованием электронных средств, краже личных данных при отягчающих обстоятельствах и отмывании денег.

в атаках аналитических центров в 2019 г.

В феврале 2019 года Microsoft объявила об обнаружении целевых фишинговых атак со стороны APT28, направленных на сотрудников German Marshall Fund, Aspen Institute Germany, и немецкого Совет по международным отношениям. Хакеры из группы якобы отправляли фишинговые электронные письма на 104 адреса электронной почты по всей Европе, пытаясь получить доступ к учетным данным работодателя и заразить сайты вредоносным ПО.

Стратегическое чешское учреждение на 2019 год

В 2020 году Чехия [cs ] сообщил об инциденте кибершпионажа в неназванном стратегическом учреждении, возможно, в Министерстве иностранных дел, осуществленном, скорее всего, Fancy Bear.

Ордер на арест 2020 г. Власти Германии

В 2020 году немецкие чиновники назвали Дмитрия Бадина, офицера ГРУ и подозреваемого в члене APT28, в качестве главного подозреваемого в кибератаках на Бундестаг выше с 2015 года. Согласно немецкому новостному журналу Der Spiegel, следователи из Федерального управления уголовной полиции (BKA) установили личность Бадина с помощью кропотливой работы. Также были задействованы BKA и Федеральное управление по информационной безопасности (BSI). Важную роль также сыграли эксперты по киберзащите из Федерального управления по защите Конституции (BfV), которые занимались виртуальными передвижениями российских злоумышленников на отслеживаемом сервере.

Характеристики и методы

Диаграмма, показывающая, как Grizzly Steppe (Fancy Bear и Cozy Bear ) использует спар-фишинг

Fancy Bear использует передовые методы, соответствующие возможностям государственные субъекты. Они используют целевые фишинговые электронные письма, вредоносные сайты, замаскированные под источники новостей, и уязвимости нулевого дня. Одна исследовательская группа по кибербезопасности отметила, что в 2015 году они использовали не менее шести различных эксплойтов нулевого дня, что является значительным техническим достижением, которое потребует от большого числа программистов поиска ранее неизвестных уязвимостей в передовом коммерческом программном обеспечении. Это признак того, что Fancy Bear - это государственная программа, а не банда или хакер-одиночка.

Одной из предпочтительных целей Fancy Bear являются веб-службы электронной почты. Типичный компромисс будет заключаться в том, что пользователи электронной почты через Интернет получают электронное письмо с срочным требованием изменить свои пароли, чтобы избежать взлома. В электронном письме будет содержаться ссылка на поддельный веб-сайт, имитирующий реальный интерфейс веб-почты, пользователи будут пытаться войти в систему, а их учетные данные будут украдены. URL-адрес часто скрывается как сокращенная ссылка bit.ly, чтобы пройти фильтры спама. Fancy Bear рассылает эти фишинговые письма в основном по понедельникам и пятницам. Они также отправляют электронные письма, якобы содержащие ссылки на новости, но вместо этого ссылаясь на сайты распространения вредоносных программ, которые устанавливают инструментарий на целевой компьютер. Fancy Bear также регистрирует домены, похожие на легитимные веб-сайты, а затем создает имитацию сайта, чтобы украсть учетные данные своих жертв. Известно, что Fancy Bear ретранслирует свой командный трафик через прокси-сети жертв, которые ранее были скомпрометированы.

Программное обеспечение, которое использовало Fancy Bear, включает ADVSTORESHELL, CHOPSTICK, JHUHUGIT и XTunnel. Fancy Bear использует несколько имплантатов, включая Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy и дропперы DownRange. Основываясь на времени компиляции, FireEye пришла к выводу, что Fancy Bear постоянно обновляет свое вредоносное ПО с 2007 года. Чтобы предотвратить обнаружение, Fancy Bear возвращается в среду, чтобы переключить свои имплантаты, изменяет свои каналы управления и контроля и изменяет свои постоянные методы. Группа угроз применяет методы контр-анализа, чтобы скрыть свой код. Они добавляют ненужные данные в закодированные строки, что затрудняет декодирование без использования алгоритма удаления мусора. Fancy Bear принимает меры для предотвращения криминалистического анализа своих взломов, сбрасывая временные метки в файлах и периодически очищая журналы событий.

Согласно обвинительному заключению Специального советника США, X-Agent был «разработан, настроен и отслежен» капитаном-лейтенантом ГРУ Николаем Юрьевичем Козачеком.

Fancy Bear, как известно, адаптирует имплантаты для целевых сред, например, перенастраивает их для использования локальных почтовых серверов. В августе 2015 года «Лаборатория Касперского» обнаружила и заблокировала версию имплантата ADVSTORESHELL, которая использовалась для защиты подрядчиков. Через полтора часа после блока актеры Fancy Bear скомпилировали и поставили новый бэкдор для имплантата.

Education

Блок 26165 участвовал в разработке учебной программы в нескольких московских государственных учреждениях. школ, включая школу 1101.

Связанные персонажи

Fancy Bear иногда создает онлайн-персонажей, чтобы сеять дезинформацию, отвлекать от обвинений и создавать правдоподобное отрицание своей деятельности.

Guccifer 2.0

Интернет-персонаж, впервые появившийся и взявший на себя ответственность за взломы DNC в тот же день, когда появилась история о том, что виноват Fancy Bear. Guccifer 2.0 утверждает, что он румынский хакер, но в интервью журналу Motherboard им задавали вопросы на румынском, и оказалось, что они не могут говорить на этом языке. Некоторые опубликованные ими документы выглядят подделками, сколоченными из материалов предыдущих взломов и общедоступной информации, а затем обработаны дезинформацией.

Команда разработчиков Fancy Bears

Веб-сайт, созданный для утечки взятых документов в атаках ВАДА и ИААФ был представлен краткий манифест от 13 сентября 2016 года, в котором провозглашалось, что сайт принадлежит «хакерской команде Fancy Bears», которая, по ее словам, является «международной хакерской командой», которая «выступает за честную игру и чистый спорт ». Сайт взял на себя ответственность за взлом WADA и пообещал предоставить «сенсационные доказательства того, что известные спортсмены принимали допинговые препараты», начиная с олимпийской сборной США, которая, по его словам, «опозорила свое имя запятнанными победами». ВАДА заявило, что некоторые документы просочились под это имя было подделано, и эти данные были изменены.

Anonymous Poland

A Twitter учетная запись "Anonymous Poland" (@anpoland) взяла на себя ответственность за атаку на World Anti- Допинговое агентство и обнародовали данные, похищенные из Спортивного арбитражного суда, вторичной цели. ThreatConnect поддерживает мнение о том, что Anonymous Poland является носовой марионеткой Fancy Bear, отмечая изменение исторической ориентации на внутреннюю политику. Видео с захвата экрана, загруженное Anonymous Poland, показывает учетную запись с настройками польского языка, но история их браузера показала, что они выполняли поиск в Google.ru (Россия) и Google.com (США), но не в Google.pl (Польша)..

См. Также

Notes

1.^По данным фирмы FireEye, занимающейся кибербезопасностью, Fancy Bear использует набор инструментов, который часто обновляется с 2007 или, возможно, даже с 2004 года. Trend Micro заявили, что они могут отслеживать деятельность Pawn Storm до 2004 года.
2.^Алексей Сергеевич Моренец (Моренец Алексей Сергеевич), Евгений Михайлович Серебряков, Иван Сергеевич Ермаков (Ермаков Иван) Сергеевич), Артем Андреевич Малышев (Малышев Артём Андреевич), Дмитрий Сергеевич Бадин (Бадин Дмитрий Серге евич, Олег Михайлович Сотников (Олег Михайлович Сотников), Алексей Валерьевич Минин (Алексей Валерьевич Минин).

Список литературы

Внешние ссылки

https://apt.securelist.com/#!/threat/1012 Отчет Лаборатории Касперского

Последняя правка сделана 2021-05-20 10:19:39
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте