Уютный медведь

Русская хакерская группа

Cozy Bear , классифицированная федеральным правительством США как продвинутая постоянная угроза APT29 , является российской хакерской группой, предположительно связанной с одним или несколькими разведывательными агентствами России . Голландская служба общей разведки и безопасности (AIVD) сделала вывод из записей с камер видеонаблюдения, что ею руководит Служба внешней разведки России (СВР), ^[5] точку зрения, разделяемую Соединенными Штатами . ^[4] Фирма по кибербезопасности CrowdStrike также ранее предполагала, что она может быть связана либо с Федеральной службой безопасности России (ФСБ), либо с СВР. ^[2] Другие фирмы по кибербезопасности давали группе различные прозвища, включая CozyCar , ^[6] CozyDuke ^{[7] [8]} (от F-Secure ), Dark Halo , The Dukes (от Volexity), Midnight Blizzard ^[9] (от Microsoft ), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 и YTTRIUM .

20 декабря 2020 года было сообщено, что Cozy Bear несет ответственность за кибератаку на суверенные национальные данные США, предположительно по указанию российского правительства. ^[10]

Методы и технические возможности

Диаграмма, иллюстрирующая процесс использования вредоносного ПО Cozy Bear и Fancy Bear для проникновения в целевые объекты

«Лаборатория Касперского» определила, что самые ранние образцы вредоносного ПО MiniDuke, приписываемые этой группировке, датируются 2008 годом. ^[1] Оригинальный код был написан на языке ассемблера . ^[11] Symantec полагает, что Cozy Bear взломал дипломатические организации и правительства как минимум с 2010 года. ^[12]

Вредоносная программа CozyDuke использует бэкдор и дроппер . Вредоносная программа выкачивает данные на сервер управления и контроля . Злоумышленники могут адаптировать вредоносную программу к среде. ^[1] Компоненты бэкдора вредоносной программы Cozy Bear со временем обновляются с изменениями в криптографии , троянской функциональности и антиобнаружении. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, который также использует инструменты CHOPSTICK и CORESHELL. ^[13]

Набор вредоносных инструментов CozyDuke от Cozy Bear структурно и функционально похож на компоненты второго этапа, используемые в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второго этапа вредоносного ПО CozyDuke, Show.dll, по-видимому, был построен на той же платформе, что и OnionDuke, что позволяет предположить, что авторы работают вместе или являются одними и теми же людьми. ^[13] Кампании и используемые ими наборы вредоносных инструментов называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. ^[12] CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией кибершпионажа OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоязычными пользователями. ^[1] После разоблачения MiniDuke в 2013 году обновления вредоносного ПО были написаны на C / C++ и были упакованы новым обфускатором . ^[11]

Cozy Bear подозревается в причастности к созданию инструмента удаленного доступа «HAMMERTOSS» , который использует такие популярные веб-сайты, как Twitter и GitHub, для передачи командных данных . ^[14]

Seaduke — это высоконастраиваемый, малозаметный троян , используемый только для небольшого набора высокоценных целей. Обычно Seaduke устанавливается на системах, уже зараженных гораздо более широко распространенным CozyDuke. ^[12]

Атаки

Cozy Bear, похоже, имеет разные проекты с разными группами пользователей. В центре внимания его проекта «Nemesis Gemina» находятся военный, правительственный, энергетический, дипломатический и телекоммуникационный секторы. ^[11] Факты свидетельствуют о том, что целями Cozy Bear были коммерческие структуры и правительственные организации в Германии, Узбекистане, Южной Корее и США, включая Государственный департамент США и Белый дом в 2014 году. ^[13]

Офисные обезьянки (2014)

В марте 2014 года в частном исследовательском институте, расположенном в Вашингтоне, округ Колумбия, был обнаружен CozyDuke (Trojan.Cozer) в своей сети. Затем Cozy Bear начал кампанию по электронной почте, пытаясь заставить жертв нажать на флэш-видео офисных обезьян, которое также включало вредоносные исполняемые файлы. ^{[1] [12]} К июлю группа взломала правительственные сети и направила зараженные CozyDuke системы на установку Miniduke в взломанную сеть. ^[12]

Летом 2014 года цифровые агенты Службы общей разведки и безопасности Нидерландов проникли в Cozy Bear. Они обнаружили, что эти российские хакеры были нацелены на Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР начать расследование. ^{[5] [15]}

Пентагон (август 2015 г.)

В августе 2015 года Cozy Bear был связан с фишинговой кибератакой на систему электронной почты Пентагона , что привело к закрытию всей несекретной системы электронной почты Объединенного штаба и доступа в Интернет на время расследования. ^{[16] [17]}

Национальный комитет Демократической партии (2016)

В июне 2016 года Cozy Bear был замешан вместе с хакерской группой Fancy Bear в кибератаках на Национальный комитет Демократической партии . ^[2] Хотя обе группы присутствовали на серверах Национального комитета Демократической партии в одно и то же время, каждая из них, по-видимому, не знала о существовании другой, независимо друг от друга крадя одни и те же пароли и иным образом дублируя усилия друг друга. ^[18] Криминалистическая группа CrowdStrike установила, что, хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear находился там всего несколько недель. ^[19] Более сложные методы работы Cozy Bear и его интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа происходит из отдельного российского разведывательного агентства. ^[18]

Аналитические центры и НПО США (2016)

После президентских выборов в США в 2016 году Cozy Bear был связан с серией скоординированных и хорошо спланированных фишинговых кампаний против аналитических центров и неправительственных организаций (НПО) США. ^[20]

Правительство Норвегии (2017)

3 февраля 2017 года Служба безопасности полиции Норвегии (PST) сообщила, что были предприняты попытки фишинга учетных записей электронной почты девяти лиц в Министерстве обороны , Министерстве иностранных дел и Лейбористской партии . Действия были приписаны Cozy Bear, чьими целями были Норвежское управление по радиационной защите , руководитель отдела PST Арне Кристиан Хаугстёйл и неназванный коллега. Премьер-министр Эрна Сульберг назвала эти действия «серьезной атакой на наши демократические институты». ^[21] Сообщается, что атаки были совершены в январе 2017 года. ^[22]

Голландские министерства (2017)

В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, сказал на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. ^[23]

На брифинге в парламенте министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. ^[24]

Операция Призрак

Подозрения о том, что Cozy Bear прекратил свою деятельность, были развеяны в 2019 году обнаружением трех новых семейств вредоносных программ, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил свою деятельность, а разработал новые инструменты, которые было сложнее обнаружить. Целевые компрометации с использованием этих недавно обнаруженных пакетов в совокупности называются Operation Ghost. ^[25]

Данные о вакцине от COVID-19 (2020)

В июле 2020 года Агентство национальной безопасности , Национальная комиссия по безопасности и Комиссия по государственной службе обвинили Cozy Bear в попытке украсть данные о вакцинах и методах лечения COVID-19 , разрабатываемых в Великобритании, США и Канаде. ^{[26] [27] [28] [29] [4]}

Атака на цепочку поставок вредоносного ПО SUNBURST (2020)

8 декабря 2020 года американская фирма по кибербезопасности FireEye сообщила, что коллекция ее фирменных инструментов для исследования кибербезопасности была украдена, возможно, «страной с первоклассными наступательными возможностями». ^{[30] [31]} 13 декабря 2020 года FireEye объявила, что расследование обстоятельств этой кражи интеллектуальной собственности выявило «глобальную кампанию по вторжению... [использующую] атаку на цепочку поставок, троянизирующую обновления бизнес-ПО SolarWinds Orion с целью распространения вредоносного ПО, которое мы называем SUNBURST... Эта кампания могла начаться еще весной 2020 года и... является работой высококвалифицированного лица, [использующего] значительную операционную безопасность». ^{[32] [ рекламный источник? ]}

Вскоре после этого SolarWinds подтвердила, что несколько версий их продуктов платформы Orion были скомпрометированы, вероятно, иностранным государством. ^[33] Последствия атаки побудили Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустить редкую чрезвычайную директиву. ^{[34] [35]} Около 18 000 клиентов SolarWinds подверглись воздействию SUNBURST, включая несколько федеральных агентств США . ^{[36] Источники} Washington Post назвали Cozy Bear группой, ответственной за атаку. ^{[37] [4]}

По данным Microsoft, ^[38] хакеры затем украли сертификаты подписи, которые позволили им выдавать себя за любого из существующих пользователей и учетных записей цели с помощью Security Assertion Markup Language . Обычно сокращенно SAML, язык на основе XML предоставляет поставщикам удостоверений возможность обмениваться данными аутентификации и авторизации с поставщиками услуг. ^[39]

Национальный комитет Республиканской партии (2021)

В июле 2021 года Cozy Bear взломал системы Республиканского национального комитета . ^{[40] [41]} Чиновники заявили, что, по их мнению, атака была проведена через Synnex . ^[40] Кибератака произошла на фоне более масштабных последствий атаки с целью вымогательства, распространенной через скомпрометированное программное обеспечение Kaseya VSA . ^[40]

Майкрософт (2022–24)

24 августа 2022 года компания Microsoft сообщила, что клиент был скомпрометирован атакой Cozy Bear, которая имела очень высокую устойчивость на сервере федеративных служб Active Directory , и назвала этот метод атаки «MagicWeb», атака, которая «манипулирует сертификатами аутентификации пользователя, используемыми для аутентификации». ^[42]

В январе 2024 года Microsoft сообщила, что недавно обнаружила и прекратила взлом, начавшийся в ноябре прошлого года, учетных записей электронной почты их высшего руководства и других сотрудников юридических отделов и отделов кибербезопасности с использованием «парольного спрея», формы атаки методом подбора паролей . Этот взлом, проведенный Midnight Blizzard, по-видимому, был направлен на то, чтобы узнать, что компания знала о хакерской операции. ^[43]

Teamviewer (2024)

28 июня 2024 года TeamViewer SE объявила, что ее корпоративная сеть подверглась атаке. Компания приписала атаку ATP29/Cozy Bear. ^[44]

Смотрите также

• Вмешательство России в выборы в США в 2016 году
• Заговор с целью взлома Америки
• Утечка файлов Vulkan

Ссылки

1. "MiniDuke relation 'CozyDuke' Targets White House". Threat Intelligence Times . 27 апреля 2015 г. Архивировано из оригинала 11 июня 2018 г. Получено 15 декабря 2016 г.
2. Альперович, Дмитрий. «Медведи в середине: вторжение в Национальный комитет Демократической партии». Блог CrowdStrike . Архивировано из оригинала 24 мая 2019 г. Получено 27 сентября 2016 г.
3. "МЕЖДУНАРОДНАЯ БЕЗОПАСНОСТЬ И ЭСТОНИЯ" (PDF) . www.valisluureamet.ee . 2018. Архивировано из оригинала (PDF) 2020-10-26 . Получено 2020-12-15 .
4. Andrew S. Bowen (4 января 2021 г.). Российские киберподразделения (отчет). Исследовательская служба Конгресса . стр. 1. Архивировано из оригинала 5 августа 2021 г. . Получено 25 июля 2021 г. .
5. Huib Modderkolk (25 января 2018 г.). «Голландские агентства предоставляют важную информацию о вмешательстве России в выборы в США». de Volkskrant . Архивировано из оригинала 31 января 2018 г. Получено 26 января 2018 г.
6. "Who Is COZY BEAR?". CrowdStrike . 19 сентября 2016 г. Архивировано из оригинала 15 декабря 2020 г. Получено 15 декабря 2016 г.
7. "Исследование F-Secure связывает CozyDuke с высокопоставленным шпионажем" (пресс-релиз) . 30 апреля 2015 г. Архивировано из оригинала 7 января 2017 г. Получено 6 января 2017 г.
8. "Кибератаки, связанные со сбором данных российской разведкой" (пресс-релиз) . F-Secure. 17 сентября 2015 г. Архивировано из оригинала 7 января 2017 г. Получено 6 января 2017 г.
9. Вайс, Карен (19 января 2024 г.). «Электронная почта руководителей Microsoft взломана группой, связанной с российской разведкой». The New York Times . Архивировано из оригинала 20 января 2024 г. Получено 20 января 2024 г.
10. Sanger, David E. (13.12.2020). «Российские хакеры взломали федеральные агентства, подозревают чиновников США». The New York Times . ISSN  0362-4331. Архивировано из оригинала 13.12.2020 . Получено 03.10.2021 .
11. Группа глобальных исследований и анализа «Лаборатории Касперского» (3 июля 2014 г.). «Miniduke возвращается: Nemesis Gemina и Botgen Studio». Securelist . Архивировано из оригинала 12 мая 2020 г. Получено 19 мая 2020 г.
12. ""Forkmeiamfamous": Seaduke, последнее оружие в арсенале Duke". Symantec Security Response . 13 июля 2015 г. Архивировано из оригинала 14 декабря 2016 г. Получено 15 декабря 2016 г.
13. Baumgartner, Kurt; Raiu, Costin (21 апреля 2015 г.). "The CozyDuke APT". Securelist. Архивировано из оригинала 30 января 2018 г. Получено 19 мая 2020 г.
14. "HAMMERTOSS: Stealthy Tactics Define a Russian Cyber ​​Threat Group". FireEye . 9 июля 2015 г. Архивировано из оригинала 23 марта 2019 г. Получено 7 августа 2015 г.
15. Ноак, Рик (26 января 2018 г.). «Голландцы были тайным союзником США в войне против российских хакеров, сообщают местные СМИ». The Washington Post . Архивировано из оригинала 26 января 2018 г. Получено 15 февраля 2023 г.
16. Кубе, Кортни (7 августа 2015 г.). «Россия взламывает компьютеры Пентагона: NBC, со ссылкой на источники». Архивировано из оригинала 8 августа 2019 г. Получено 7 августа 2015 г.
17. Старр, Барбара (7 августа 2015 г.). «Официально: Россия подозревается во взломе сервера электронной почты Объединенного комитета начальников штабов». Архивировано из оригинала 8 августа 2019 г. Получено 7 августа 2015 г.
18. "Медведь на медведе". The Economist . 22 сентября 2016 г. Архивировано из оригинала 20 мая 2017 г. Получено 14 декабря 2016 г.
19. Уорд, Вики (24 октября 2016 г.). «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина». Esquire . Архивировано из оригинала 26 января 2018 г. Получено 15 декабря 2016 г.
20. "PowerDuke: Широкомасштабные кампании фишинга после выборов, нацеленные на аналитические центры и НПО". Volexity . 9 ноября 2016 г. Архивировано из оригинала 20 декабря 2016 г. Получено 14 декабря 2016 г.
21. Стэнглин, Дуг (3 февраля 2017 г.). «Норвегия: российские хакеры атаковали шпионское агентство, оборону, лейбористскую партию». USA Today . Архивировано из оригинала 5 апреля 2017 г. Получено 26 августа 2017 г.
22. "Норвежский utsatt для et omfattende hackerangrep" . НРК . 3 февраля 2017 года. Архивировано из оригинала 5 февраля 2017 года . Проверено 4 февраля 2017 г.
23. Моддерколк, Хуиб (4 февраля 2017 г.). «Russen faalden bij hackpogingen ambtenaren op Nederlandse Ministrys». Де Фолькскрант (на голландском языке). Архивировано из оригинала 4 февраля 2017 года . Проверено 4 февраля 2017 г.
24. Клуски, Питер (3 февраля 2017 г.). «Голландцы перешли на ручной подсчет после сообщений о российском взломе». The Irish Times . Архивировано из оригинала 3 февраля 2017 г. Получено 4 февраля 2017 г.
25. «Операция Призрак: Герцоги не вернулись – они никогда не уходили». ESET Research . 17 октября 2019 г. Архивировано из оригинала 11 марта 2020 г. Получено 8 февраля 2020 г.
26. "NSA Teams with NCSC, CSE, DHS CISA to Expose Russian Intelligence Services Targeting COVID". Центральная служба безопасности Агентства национальной безопасности . Архивировано из оригинала 11 декабря 2020 года . Получено 25 июля 2020 года .
27. «Заявление CSE об угрозе, направленной на разработку вакцины от COVID-19 – четверг, 16 июля 2020 г.». cse-cst.gc.ca . Communications Security Establishment. 14 июля 2020 г. Архивировано из оригинала 16 июля 2020 г. Получено 16 июля 2020 г. .
28. Джеймс, Уильям (16 июля 2020 г.). «Россия пытается взломать и украсть данные о вакцине от COVID-19, заявляет Великобритания». Reuters UK . Архивировано из оригинала 17 июля 2020 г. Получено 16 июля 2020 г.
29. «Великобритания и ее союзники разоблачают российские атаки на разработку вакцины от коронавируса». Национальный центр кибербезопасности. 16 июля 2020 г. Архивировано из оригинала 16 июля 2020 г. Получено 16 июля 2020 г.
30. Sanger, David E.; Perlroth, Nicole (8 декабря 2020 г.). «FireEye, ведущая фирма по кибербезопасности, заявляет, что ее взломало национальное государство». The New York Times . Архивировано из оригинала 15 декабря 2020 г. Получено 15 декабря 2020 г.
31. агентства, сотрудники Guardian и (9 декабря 2020 г.). «Американская фирма по кибербезопасности FireEye заявляет, что ее взломало иностранное правительство». The Guardian . Архивировано из оригинала 16 декабря 2020 г. . Получено 15 декабря 2020 г. .
32. "Высокоэффективный злоумышленник использует цепочку поставок SolarWinds, чтобы скомпрометировать несколько жертв по всему миру с помощью бэкдора SUNBURST". FireEye . Архивировано из оригинала 2020-12-15 . Получено 2020-12-15 .
33. "Security Advisory | SolarWinds". www.solarwinds.com . Архивировано из оригинала 2020-12-15 . Получено 2020-12-15 .
34. "cyber.dhs.gov - Чрезвычайная директива 21-01". cyber.dhs.gov . 13 декабря 2020 г. Архивировано из оригинала 15 декабря 2020 г. Получено 15 декабря 2020 г. .
35. "cyber.dhs.gov - Директивы по кибербезопасности". cyber.dhs.gov . 18 мая 2022 г. Архивировано из оригинала 15 декабря 2020 г. Получено 15 декабря 2020 г.
36. Cimpanu, Catalin. «SEC filings: SolarWinds заявляет, что 18 000 клиентов пострадали от недавнего взлома». ZDNet . Архивировано из оригинала 2020-12-15 . Получено 2020-12-15 .
37. Накашима, Эллен; Тимберг, Крейг. «Российские правительственные хакеры стоят за широкой шпионской кампанией, которая скомпрометировала агентства США, включая казначейство и торговлю». Washington Post . ISSN  0190-8286. Архивировано из оригинала 13.12.2020 . Получено 14.12.2020 .
38. «Важные шаги для клиентов по защите себя от недавних кибератак на уровне государств». 14 декабря 2020 г. Архивировано из оригинала 20 декабря 2020 г. Получено 16 декабря 2020 г.
39. Гудин, Дэн; Тимберг. «~18 000 организаций загрузили бэкдор, внедренный хакерами Cozy Bear». Ars Technica . Архивировано из оригинала 2020-12-16 . Получено 2020-12-15 .
40. Turton, William; Jacobs, Jennifer (6 июля 2021 г.). «Russia „Cozy Bear“ Breached GOP as Ransomware Attack Hit». Bloomberg News . Архивировано из оригинала 6 июля 2021 г. . Получено 7 июля 2021 г. .
41. Кэмпбелл, Ян Карлос (6 июля 2021 г.). «Сообщается, что российские хакеры атаковали компьютерные системы Республиканской партии». The Verge . Архивировано из оригинала 7 июля 2021 г. . Получено 7 июля 2021 г. .
42. "MagicWeb: трюк NOBELIUM после компрометации для аутентификации как кто угодно". Блог по безопасности Microsoft . Microsoft. 24 августа 2022 г. Архивировано из оригинала 26 августа 2022 г. Получено 26 августа 2022 г.
43. Франчески-Биккьераи, Лоренцо (19 января 2024 г.). «Хакеры взломали Microsoft, чтобы узнать, что Microsoft знает о них». Techcrunch . Архивировано из оригинала 20 января 2024 г. Получено 22 января 2024 г.
44. "Teamviewer обвиняет хакеров, связанных с Россией, в кибератаке". Reuters . 28 июня 2024 г. Получено 30 июня 2024 г.

Внешние ссылки

• Российские госслужащие обвиняются в хакерских кампаниях