Необычный медведь

Российская спонсируемая государством группа кибершпионажа

Fancy Bear , также известный как APT28 (от Mandiant ), Pawn Storm , Sofacy Group (от Kaspersky ), Sednit , Tsar Team (от FireEye ) и STRONTIUM или Forest Blizzard (от Microsoft ), ^{[2] [4]} — российская кибербезопасность . шпионская группа. Фирма по кибербезопасности CrowdStrike со средней степенью уверенности заявила, что она связана с российской военной разведкой ГРУ . ^{[5] [6]} Министерство иностранных дел и по делам Содружества Великобритании ^[7] , а также охранные фирмы SecureWorks , ^[8] ThreatConnect , ^[9] и Mandiant , ^[10] также заявили, что группу спонсирует российское правительство. В 2018 году в обвинительном заключении Специального прокурора США Fancy Bear был указан как подразделение ГРУ 26165 . ^{[3] [2]} Имеется в виду единый номер воинской части полков Российской армии. 24 июля 2023 года штаб-квартира Fancy Bear и все воинское подразделение, которое, как сообщается, специализируется на финансируемых государством кибератаках и расшифровке взломанных данных ^[11] , были атакованы украинскими дронами, в результате чего обрушилась крыша одного из зданий. взрыва. ^[12]

Fancy Bear классифицируется FireEye как продвинутая постоянная угроза . ^[10] Помимо прочего, он использует эксплойты нулевого дня , целевой фишинг и вредоносное ПО для компрометации целей. Группа продвигает политические интересы российского правительства и известна взломом электронной почты Национального комитета Демократической партии с целью повлиять на исход президентских выборов в США в 2016 году.

Название «Fancy Bear» происходит от названия системы кодирования, которую исследователь безопасности Дмитрий Альперович использует для идентификации хакеров. ^[13]

Методы Fancy Bear, действующие, вероятно, с середины 2000-х годов, соответствуют возможностям государственных субъектов. Группа нацелена на правительственные, военные и организации безопасности, особенно на государства Закавказья и НАТО . Считается, что Fancy Bear несет ответственность за кибератаки на немецкий парламент , норвежский парламент , французский телеканал TV5Monde , Белый дом , НАТО, Национальный комитет Демократической партии , Организацию по безопасности и сотрудничеству в Европе и кампанию Кандидат в президенты Франции Эммануэль Макрон . ^[14]

Отчеты об обнаружении и безопасности

22 октября 2014 года Trend Micro обозначила участников вредоносного ПО Sofacy как Operation Pawn Storm. ^[15] Такое название произошло из-за того, что группа использовала «два или более взаимосвязанных инструмента/тактики для атаки на определенную цель, аналогичную шахматной стратегии». « ^[16] известный как пешка шторм .

Фирма сетевой безопасности FireEye опубликовала подробный отчет о Fancy Bear в октябре 2014 года. В отчете группа обозначена как «Advanced Persistent Threat 28» (APT28) и описано, как хакерская группа использовала эксплойты нулевого дня для операционной системы Microsoft Windows и Adobe Flash. . ^[17] В отчете обнаружены оперативные данные, указывающие на то, что источником является «правительственный спонсор, базирующийся в Москве». Доказательства, собранные FireEye, позволили предположить, что вредоносное ПО Fancy Bear компилировалось в основном в русскоязычной среде сборки и происходило в основном в рабочие часы, соответствующие часовому поясу Москвы . ^[18] Директор FireEye по разведке угроз Лаура Галанте назвала деятельность группы «государственным шпионажем» ^[19] и заявила, что в число целей также входят «СМИ или влиятельные лица». ^{[20] [21]}

Название «Fancy Bear» происходит от системы кодирования, которую компания CrowdStrike Дмитрия Альперовича использует для хакерских групп. «Медведь» указывает на то, что хакеры из России. «Fancy» относится к «Sofacy», слову в вредоносной программе, которое напомнило обнаружившему его аналитику песню Игги Азалии « Fancy ». ^[1]

Атаки

Целями Fancy Bear были правительства и вооруженные силы Восточной Европы, Грузия и Кавказ , Украина, ^[22] организации, связанные с безопасностью, такие как НАТО , а также американские оборонные подрядчики Academi (ранее известные как Blackwater и Xe Services), Science Applications International Corporation (SAIC), ^[23] Boeing, Lockheed Martin и Raytheon. ^[22] Fancy Bear также нападала на граждан Российской Федерации, которые являются политическими врагами Кремля, в том числе на бывшего нефтяного магната Михаила Ходорковского и Марию Алехину из группы Pussy Riot . ^[22] SecureWorks, фирма по кибербезопасности со штаб-квартирой в США, пришла к выводу, что с марта 2015 по май 2016 года в целевой список «Необычного медведя» входили не только Национальный комитет Демократической партии США и Национальный комитет Республиканской партии, ^[24] но десятки тысяч врагов Путина и Кремля в США, Украине, России, Грузии и Сирии. Однако лишь горстка республиканцев подверглась нападкам. ^[25] Анализ AP 4700 учетных записей электронной почты, атакованных Fancy Bear, пришел к выводу, что ни одна страна, кроме России, не будет заинтересована во взломе такого количества очень разных целей, которые, казалось бы, не имеют ничего общего, кроме того, что они представляют интерес для Российское правительство. ^[22]

Fancy Bear также, похоже, пытается влиять на политические события, чтобы друзья или союзники российского правительства пришли к власти.

В 2011–2012 годах вредоносным ПО первой стадии Fancy Bear был имплант Sofacy или SOURFACE. В 2013 году Fancy Bear добавила больше инструментов и бэкдоров, в том числе CHOPSTICK, CORESHELL, JHUHUGIT и ADVSTORESHELL. ^[26]

Нападения на журналистов

С середины 2014 года до осени 2017 года Fancy Bear преследовала многочисленных журналистов в США, Украине, России, Молдове, странах Балтии и других странах, которые писали статьи о Владимире Путине и Кремле. По данным Associated Press и SecureWorks, эта группа журналистов является третьей по величине группой, на которую нацелена Fancy Bear, после дипломатического персонала и демократов США. В целевой список Fancy Bear входят Адриан Чен , армянская журналистка Мария Титициан, Элиот Хиггинс из Bellingcat , Эллен Барри и по меньшей мере 50 других репортеров New York Times , по меньшей мере 50 иностранных корреспондентов, базирующихся в Москве, которые работали на независимые новостные агентства, Джош Рогин , Обозреватель Washington Post , Шейн Харрис , автор Daily Beast , который в 2015 году освещал вопросы разведки, Майкл Вайс , аналитик по безопасности CNN, Джейми Кирчик из Института Брукингса , 30 объектов СМИ в Украине, многие из которых работают в «Kyiv Post» , репортеры, освещавшие ситуацию в России поддерживаемая война на востоке Украины , а также в России, где большинство журналистов, подвергшихся атакам хакеров, работали на независимые новости (например, « Новая газета» или «Ведомости» ), такие как Екатерина Винокурова на Znak.com и ведущие российские журналисты Тина Канделаки , Ксения Собчак , и российский телеведущий Павел Лобков, все они работали на телеканале «Дождь» . ^[27]

Немецкие атаки (с 2014 г.)

Считается, что Fancy Bear несет ответственность за шестимесячную кибератаку на парламент Германии , начавшуюся в декабре 2014 года. ^[28] 5 мая 2020 года федеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина в связи с атаки. ^[29] Атака полностью парализовала ИТ-инфраструктуру Бундестага в мае 2015 года. Чтобы разрешить ситуацию, весь парламент пришлось отключить на несколько дней. По оценкам ИТ-экспертов, в ходе атаки из парламента было скачано 16 гигабайт данных. ^[30]

Группа также подозревается в причастности к целевой фишинговой атаке в августе 2016 года на членов Бундестага и нескольких политических партий, таких как лидер фракции Linken Сара Вагенкнехт , Союз Юнге и ХДС Саара . ^{[31] [32] [33] [34]} Власти опасались, что хакеры могут собрать конфиденциальную информацию, чтобы впоследствии манипулировать общественностью в преддверии выборов, таких как следующие федеральные выборы в Германии, которые должны были состояться в сентябре 2017 года. ^[31]

Угрозы расправы женам военных США (10 февраля 2015 г.)

10 февраля 2015 года пять жен американских военнослужащих получили угрозы убийством от хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она является филиалом Исламского государства. ^{[35] [36] [37] [38]} Позже это выяснилось была атака под ложным флагом со стороны Fancy Bear, когда выяснилось, что адреса электронной почты жертв находились в списке целей фишинга Fancy Bear. ^[36] Российские тролли в социальных сетях также известны тем, что раздувают шумиху и распространяют слухи об угрозе потенциальных террористических атак Исламского государства на территорию США, чтобы посеять страх и политическую напряженность. ^[36]

Взлом французского телевидения (апрель 2015 г.)

8 апреля 2015 г. французская телекомпания TV5Monde стала жертвой кибератаки со стороны хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она связана с террористической организацией « Исламское государство Ирака и Леванта» (ИГИЛ). Позднее французские следователи отвергли версию о том, что за кибератакой стояли воинствующие исламисты, вместо этого заподозрив причастность Fancy Bear. ^[39]

Хакеры взломали внутренние системы сети, возможно, с помощью паролей, открыто транслируемых TV5, ^[40] блокируя трансляцию программ 12 каналов компании более чем на три часа. ^[41] Рано утром следующего дня обслуживание было восстановлено лишь частично, а нормальное вещание было прервано поздно вечером 9 апреля. ^[41] Различные компьютеризированные внутренние административные и вспомогательные системы, включая электронную почту, также все еще были отключены или недоступны по другим причинам. к атаке. ^{[42] [41]} Хакеры также взломали страницы TV5Monde в Facebook и Twitter , чтобы разместить личную информацию родственников французских солдат, участвовавших в действиях против ИГИЛ, а также сообщения с критикой президента Франсуа Олланда , утверждая, что теракты в январе 2015 года были «подарком». «за его «непростительную ошибку» участия в конфликтах, которые «[не служат] никакой цели». ^{[43] [41]}

Генеральный директор TV5Monde Ив Биго позже заявил, что атака почти уничтожила компанию; если бы восстановление вещания заняло больше времени, каналы спутникового распространения, скорее всего, расторгли бы свои контракты. Атака была задумана как разрушительная как для оборудования, так и для самой компании, а не для пропаганды или шпионажа, как это было в случае большинства других кибератак. Атака была тщательно спланирована; Первое известное проникновение в сеть произошло 23 января 2015 года. ^[44] Затем злоумышленники провели разведку TV5Monde, чтобы понять, как он транслирует свои сигналы, и создали специальное вредоносное программное обеспечение для повреждения и уничтожения подключенного к Интернету оборудования. которые контролировали работу телестанции, например, системы кодирования. Они использовали семь разных точек входа, не все из которых были частью TV5Monde или даже во Франции: одна из них была компанией, базирующейся в Нидерландах, которая поставляла камеры с дистанционным управлением, используемые в студиях TV5. ^[44] В период с 16 февраля по 25 марта злоумышленники собрали данные на внутренних платформах TV5, включая IT Internal Wiki , и проверили, что учетные данные для входа по-прежнему действительны. ^[44] В ходе атаки хакеры выполнили серию команд, извлеченных из журналов TACACS , чтобы стереть прошивку коммутаторов и маршрутизаторов . ^[44]

Хотя атака якобы была совершена ИГ, французское киберагентство посоветовало Биго сказать только, что сообщения якобы исходят от ИГ. Позже ему сообщили, что были найдены доказательства того, что нападавшими была группа российских хакеров APT 28. Причин нападения на TV5Monde обнаружено не было, а источник приказа о нападении и его финансирование неизвестны. Было высказано предположение, что это, вероятно, была попытка протестировать формы кибероружия. Стоимость оценивалась в 5 миллионов евро (5,6 миллиона долларов; 4,5 миллиона фунтов стерлингов) в первый год, после чего следовали ежегодные затраты на новую защиту в размере более 3 миллионов евро (3,4 миллиона долларов США; 2,7 миллиона фунтов стерлингов). Метод работы компании пришлось изменить, включая аутентификацию электронной почты, проверку флэш-накопителей перед вставкой и т. д., что значительно снизило эффективность новостной компании, которая должна перемещать информацию. ^[45]

отчет root9B (май 2015 г.)

Охранная фирма root9B в мае 2015 года опубликовала отчет о Fancy Bear, в котором объявила об обнаружении целенаправленной фишинговой атаки, направленной на финансовые учреждения. В отчете перечислены международные банковские учреждения, которые стали объектом нападения, в том числе Объединенный банк Африки , Банк Америки , TD Bank и Банк ОАЭ. По данным root9B, подготовка к атакам началась в июне 2014 года, и использованное вредоносное ПО «носило особые сигнатуры, которые исторически были уникальными только для одной организации — Sofacy». ^[46] Журналист по вопросам безопасности Брайан Кребс поставил под сомнение точность утверждений root9B, заявив, что атаки на самом деле были осуществлены нигерийскими фишерами. ^[47] В июне 2015 года уважаемый исследователь безопасности Клаудио Гуарниери опубликовал отчет, основанный на его собственном расследовании параллельного эксплойта, приписываемого SOFACY, против немецкого Бундестага ^[48] и отметил, что root9B сообщил, что «тот же IP-адрес используется как Command & Control сервер в атаке на Бундестаг (176.31.112.10)», и далее сказал, что на основе его исследования атаки на Бундестаг «по крайней мере некоторые» индикаторы, содержащиеся в отчете root9B, оказались точными, включая сравнение хеша вредоносного ПО. образцы обоих инцидентов. root9B позже опубликовал технический отчет, в котором сравнивается проведенный Клаудио анализ SOFACY, приписывающий вредоносное ПО их собственному образцу, что повышает достоверность их первоначального отчета. ^[49]

Пародия EFF, Белый дом и атака НАТО (август 2015 г.)

В августе 2015 года Fancy Bear использовала эксплойт нулевого дня в Java , подделав Electronic Frontier Foundation и организовав атаки на Белый дом и НАТО . Хакеры использовали целевую фишинговую атаку, направляя электронные письма на ложный URL-адрес Electronicfrontierfoundation.org. ^{[50] [51]}

Всемирное антидопинговое агентство (август 2016 г.)

В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных под видом официальных сообщений ВАДА с запросом данных для входа. После проверки двух доменов, предоставленных ВАДА, было обнаружено, что информация о регистрации и хостинге веб-сайтов соответствует данным российской хакерской группы Fancy Bear. ^{[52] [53]} По данным ВАДА, некоторые данные, опубликованные хакерами, были сфальсифицированы. ^[54]

Из-за фактов широкого распространения допинга со стороны российских спортсменов ВАДА рекомендовало отстранить российских спортсменов от участия в Олимпийских и Паралимпийских играх 2016 года в Рио. Аналитики заявили, что, по их мнению, взлом был отчасти актом возмездия против разоблачившей российской спортсменки Юлии Степановой , чья личная информация была раскрыта в результате взлома. ^[55] В августе 2016 года ВАДА сообщило, что их системы были взломаны, объяснив, что хакеры из Fancy Bear использовали учетную запись, созданную Международным олимпийским комитетом (МОК), для получения доступа к базе данных своей системы антидопингового администрирования и управления (АДАМС). . ^[56] Затем хакеры использовали веб-сайтfancybear.net, чтобы раскрыть то, что, по их словам, было файлами олимпийских тестов на допинг нескольких спортсменов, получивших освобождение от терапевтического использования, в том числе гимнастки Симоны Байлз , теннисисток Винус и Серены Уильямс и баскетболистки Елены Делле Донн. . ^[57] Хакеры оттачивали деятельность спортсменов, которым ВАДА по разным причинам предоставило освобождение от ответственности. Последующие утечки включали спортсменов из многих других стран. ^[56]

Совет по безопасности Нидерландов и Bellingcat

Элиот Хиггинс и другие журналисты, связанные с Bellingcat , группой, расследующей сбитый рейс 17 Malaysia Airlines над Украиной, подверглись многочисленным целевым фишинговым электронным письмам. Сообщения представляли собой поддельные уведомления безопасности Gmail с сокращенными URL-адресами Bit.ly и TinyCC. По данным ThreatConnect , некоторые фишинговые электронные письма были отправлены с серверов, которые Fancy Bear использовала в предыдущих атаках в других местах. Bellingcat известна тем, что продемонстрировала, что Россия виновна в сбитии MH17, и российские СМИ часто высмеивают ее. ^{[58] [59]}

Группа нацелилась на Совет безопасности Нидерландов , орган, проводящий официальное расследование катастрофы, до и после публикации окончательного отчета совета. Они установили поддельные серверы SFTP и VPN для имитации собственных серверов совета директоров, вероятно, с целью целенаправленного фишинга имен пользователей и паролей. ^[60] Представитель DSB заявил, что атаки не увенчались успехом. ^[61]

Национальный комитет Демократической партии (2016)

В первом квартале 2016 года компания Fancy Bear провела целевую фишинговую атаку на адреса электронной почты, связанные с ^{Национальным комитетом} Демократической партии. приезжать. Одна из этих учетных записей могла содержать обновленные списки контактов. На следующий день фишинговые атаки распространились на частные адреса электронной почты высокопоставленных чиновников Демократической партии. Адреса Hillaryclinton.com были атакованы, но для доступа требовалась двухфакторная аутентификация. Атака была перенаправлена ​​на учетные записи Gmail 19 марта. В тот же день была взломана учетная запись Gmail Подесты, в ходе которой было украдено 50 000 электронных писем. Фишинговые атаки усилились в апреле ^[63] , хотя хакеры, похоже, внезапно стали бездействовать в течение дня 15 апреля, который в России был праздником в честь военных служб радиоэлектронной борьбы. ^[64] Вредоносное ПО, использованное в атаке, отправило украденные данные на те же серверы, которые использовались группировкой для атаки на парламент Германии в 2015 году . ^[1]

14 июня CrowdStrike опубликовала отчет, в котором рассказывается о взломе DNC и называет виновниками Fancy Bear. Затем появился онлайн-персонаж Guccifer 2.0 , взявший на себя единоличную ответственность за нарушение. ^[65]

В то же время на серверах Национального комитета Демократической партии присутствовала еще одна изощренная хакерская группа, приписываемая Российской Федерации, под прозвищем Cozy Bear . Однако обе группы, похоже, не знали друг о друге, поскольку каждая независимо украла одни и те же пароли и иным образом дублировала свои усилия. Cozy Bear, похоже, представляет собой другое агентство, более заинтересованное в традиционном долгосрочном шпионаже. ^[64] Судебно-медицинская группа CrowdStrike установила, что хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear находился там всего несколько недель. ^[1]

Украинская артиллерия

Зараженная версия приложения для управления гаубицей Д-30 предположительно была распространена среди украинской артиллерии

По данным CrowdStrike , в 2014–2016 годах группировка использовала вредоносное ПО для Android для нападения на ракетные войска и артиллерию украинской армии . Они распространяли зараженную версию приложения для Android , первоначальной целью которого был контроль данных о целеуказании артиллерийской установки «Гаубица Д-30» . Приложение, которым пользовались украинские офицеры, было загружено шпионским ПО X-Agent и размещено на военных форумах. Первоначально CrowdStrike утверждала, что более 80% украинских гаубиц Д-30 были уничтожены во время войны, что является самым высоким процентом потерь среди всех артиллерийских орудий в армии (процент, о котором ранее никогда не сообщалось и который будет означать потерю почти всего арсенала). крупнейшего артиллерийского орудия ВСУ [ ^66] ). ^[67] По данным украинской армии, цифры CrowdStrike были неверными и что потери в артиллерийском вооружении «были намного ниже заявленных» и что эти потери «не имеют ничего общего с заявленной причиной». ^[68] CrowdStrike с тех пор пересмотрел этот отчет после того, как Международный институт стратегических исследований (IISS) дезавуировал его первоначальный отчет, утверждая, что взломы вредоносных программ привели к потерям в 15–20%, а не в первоначальном показателе в 80%. ^[69]

Windows нулевого дня (октябрь 2016 г.)

31 октября 2016 года группа анализа угроз Google обнаружила уязвимость нулевого дня в большинстве версий Microsoft Windows , которая является объектом активных атак вредоносного ПО. 1 ноября 2016 года исполнительный вице-президент Microsoft группы Windows и устройств Терри Майерсон разместил в блоге Microsoft Threat Research & Response Blog, признав наличие уязвимости и объяснив, что в «малой объемной целевой фишинговой кампании», нацеленной на конкретных пользователей, использовались «два уязвимости нулевого дня в Adobe Flash и ядре Windows нижнего уровня». Microsoft указала на Fancy Bear как на субъекта угрозы, назвав группу своим собственным кодовым названием STRONTIUM . ^[70]

Голландские министерства (февраль 2017 г.)

В феврале 2017 года Служба общей разведки и безопасности (AIVD) Нидерландов сообщила, что Fancy Bear и Cozy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, заявил на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. ^[71]

На брифинге в парламенте министр внутренних дел и отношений с королевством Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. ^[72]

Взлом ИААФ (февраль 2017 г.)

Представители Международной ассоциации легкоатлетических федераций (IAAF) в апреле 2017 года заявили, что ее серверы были взломаны группировкой Fancy Bear. Атака была обнаружена фирмой по кибербезопасности Context Information Security, которая установила, что 21 февраля имел место несанкционированный удаленный доступ к серверам ИААФ. ИААФ заявила, что хакеры получили доступ к приложениям для получения разрешения на терапевтическое использование , необходимым для использования лекарств, запрещенных ВАДА. ^{[73] [74]}

Выборы в Германии и Франции (2016–2017 гг.)

Исследователи из Trend Micro в 2017 году опубликовали отчет, в котором излагаются попытки Fancy Bear воздействовать на группы, связанные с избирательными кампаниями Эммануэля Макрона и Ангелы Меркель . Согласно отчету, они атаковали кампанию Макрона с помощью фишинга и попыток установки вредоносного ПО на свой сайт. Французское правительственное агентство кибербезопасности ANSSI подтвердило, что эти атаки имели место, но не смогло подтвердить ответственность APT28. ^{[75] Судя по всему, кампания} Марин Ле Пен не стала объектом внимания APT28, что, возможно, указывает на предпочтение России к ее кампании. Ранее Путин рекламировал выгоды для России в случае избрания Марин Ле Пен. ^[76]

В докладе говорится, что затем они напали на немецкий Фонд Конрада Аденауэра и Фонд Фридриха Эберта , группы, которые связаны с Христианско-демократическим союзом Ангелы Меркель и оппозиционной Социал-демократической партией соответственно. В конце 2016 года Fancy Bear установила поддельные почтовые серверы для рассылки фишинговых писем со ссылками на вредоносное ПО. ^[77]

Международный олимпийский комитет (2018)

10 января 2018 года онлайн-персонаж «Fancy Bears Hack Team» слил в сеть то, что, по всей видимости, было украдено. Электронные письма Международного олимпийского комитета (МОК) и Олимпийского комитета США , датированные концом 2016 — началом 2017 года, были раскрыты в явную месть за запрет МОК. российских спортсменов с зимних Олимпийских игр 2018 года в качестве санкции за систематическую допинговую программу России . Атака напоминает более ранние утечки информации от Всемирного антидопингового агентства (ВАДА). Неизвестно, являются ли электронные письма полностью подлинными, поскольку Fancy Bear уже неоднократно добавляла украденные электронные письма дезинформации. Способ атаки также неизвестен, но, вероятно, это был фишинг. ^{[78] [79]}

Эксперты по кибербезопасности также заявили, что атаки, судя по всему, также были направлены на профессиональную компанию по розливу спортивных допинг-тестов, известную как Berlinger Group. ^[80]

Шведская спортивная конфедерация

Шведская спортивная конфедерация сообщила, что Fancy Bear несет ответственность за атаку на ее компьютеры, нацеленную на записи допинг-тестов спортсменов. ^[81]

Консервативные группы США (2018)

Компания-разработчик программного обеспечения Microsoft сообщила в августе 2018 года, что группа пыталась украсть данные у политических организаций, таких как Международный республиканский институт и аналитические центры Института Гудзона . Атаки были предотвращены, когда сотрудники службы безопасности Microsoft получили контроль над шестью сетевыми доменами . ^[82] В своем заявлении Microsoft сообщила, что «в настоящее время у нас нет доказательств того, что эти домены использовались в каких-либо успешных атаках до того, как DCU передал контроль над ними, а также у нас нет доказательств, указывающих на личность конечных целей любой запланированной атаки с участием этих доменов». домены». ^[83]

Вселенский Патриархат и другое духовенство (август 2018 г.)

Согласно сообщению Associated Press за август 2018 года , Fancy Bear в течение многих лет преследовала электронную переписку должностных лиц Константинопольского патриархата во главе с Вселенским патриархом Варфоломеем I. ^[84] Публикация появилась в период обострения напряженности между Вселенским Патриархатом, старшей из всех Восточных Православных Церквей , и Русской Православной Церковью (Московский Патриархат) по вопросу полной церковной независимости ( автокефалии ) православных . Церковь в Украине , востребованная правительством Украины. Издание цитирует экспертов, заявляющих, что предоставление автокефалии Церкви в Украине подорвет власть и престиж Московского Патриархата и подорвет его претензии на транснациональную юрисдикцию. ^[84] Кибератаки также были направлены против православных христиан в других странах, а также против мусульман, евреев и католиков в США, «Уммы», зонтичной группы украинских мусульман, папского нунция в Киеве и Иосифа Зисельса, возглавляющего Украинскую ассоциацию еврейских организаций. и сообщества. ^[84]

Обвинения в 2018 году

ФБР запросило плакат с изображением офицеров, обвиненных в причастности к Fancy Bear

В октябре 2018 года федеральным большим жюри США было распечатано обвинительное заключение в отношении семи россиян, офицеров ГРУ, в отношении нападений. В обвинительном заключении говорится, что с декабря 2014 года по крайней мере до мая 2018 года офицеры ГРУ вступили в сговор с целью проведения «постоянных и изощренных компьютерных вторжений, затрагивающих граждан США, юридические лица, международные организации и их соответствующих сотрудников, расположенных по всему миру, исходя из их стратегического интереса к российское правительство». ^{[85] [86]} Министерство юстиции США заявило, что заговор, среди прочих целей, был направлен на «обнародование украденной информации в рамках кампании влияния и дезинформации, призванной подорвать, отомстить и иным образом лишить легитимности» усилия Мира . Антидопинговое агентство — международная антидопинговая организация, опубликовавшая доклад Макларена — доклад, в котором разоблачается широкомасштабное применение допинга российскими спортсменами, спонсируемое российским правительством . ^[85] Обвиняемым были предъявлены обвинения в компьютерном взломе , электронном мошенничестве , краже личных данных при отягчающих обстоятельствах и отмывании денег . ^[85]

Атаки аналитических центров в 2019 году

В феврале 2019 года Microsoft объявила, что обнаружила целевые фишинговые атаки со стороны APT28, направленные на сотрудников Немецкого фонда Маршалла , Института Аспена в Германии и Немецкого совета по международным отношениям . ^{[87] [88]} Хакеры из группы якобы рассылали фишинговые электронные письма на 104 адреса электронной почты по всей Европе, пытаясь получить доступ к учетным данным работодателя и заразить сайты вредоносным ПО. ^{[89] [90]}

Стратегическое чешское учреждение 2019 года

В 2020 году Чешское национальное агентство кибербезопасности и информационной безопасности  [cs] сообщило об инциденте кибершпионажа в неназванном стратегическом учреждении, возможно, Министерстве иностранных дел , ^[91] скорее всего осуществленном Fancy Bear. ^[92]

Атака на норвежский парламент в 2020 году

В августе 2020 года норвежский стортинг сообщил о «серьезной кибератаке» на свою систему электронной почты. В сентябре 2020 года министр иностранных дел Норвегии Ине Мари Эриксен Сёрейде обвинила Россию в нападении. Служба безопасности норвежской полиции в декабре 2020 года пришла к выводу, что «анализ показывает, что вполне вероятно, что операция была проведена киберпреступником, которого в открытых источниках называют APT28 и Fancy Bear», и что «конфиденциальный контент был извлечен из некоторых затронутые учетные записи электронной почты.». ^[93]

Характеристики и методы

Диаграмма, показывающая процесс использования целевого фишинга компанией Grizzly Steppe (Fancy Bear и Cozy Bear ).

Fancy Bear использует передовые методы, соответствующие возможностям государственных субъектов. ^[94] Они используют целевые фишинговые электронные письма, вредоносные веб-сайты, замаскированные под источники новостей, и уязвимости нулевого дня . Одна исследовательская группа по кибербезопасности отметила, что в 2015 году они использовали шесть различных эксплойтов нулевого дня — технический подвиг, который потребует от большого количества программистов поиска ранее неизвестных уязвимостей в новейшем коммерческом программном обеспечении. Это считается признаком того, что Fancy Bear — это государственная программа, а не банда или хакер-одиночка. ^{[95] [96]}

Одной из предпочтительных целей Fancy Bear являются веб-службы электронной почты. Типичный компромисс состоит в том, что пользователи электронной почты в Интернете получают электронное письмо с срочной просьбой сменить свои пароли, чтобы избежать взлома. В электронном письме будет ссылка на поддельный веб-сайт, который имитирует реальный интерфейс веб-почты. Пользователи попытаются войти в систему, а их учетные данные будут украдены. URL-адрес часто скрывается как сокращенная ссылка bit.ly ^[97] , чтобы обойти спам-фильтры . Fancy Bear рассылает эти фишинговые письма преимущественно по понедельникам и пятницам. Они также рассылают электронные письма, предположительно содержащие ссылки на новости, но вместо этого ссылаются на сайты, где размещаются вредоносные программы, которые устанавливают наборы инструментов на компьютер цели. ^[95] Fancy Bear также регистрирует домены, напоминающие законные веб-сайты, а затем создает подделку сайта, чтобы украсть учетные данные своих жертв. ^[65] Известно, что Fancy Bear ретранслирует свой командный трафик через прокси-сети жертв, которых он ранее скомпрометировал. ^[98]

Программное обеспечение, которое использовал Fancy Bear, включает ADVSTORESHELL, CHOPSTICK, JHUHUGIT и XTunnel. Fancy Bear использует ряд имплантатов, включая Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy и дропперы DownRange. ^[65] Основываясь на времени компиляции, компания FireEye пришла к выводу, что Fancy Bear постоянно обновляет свое вредоносное ПО с 2007 года. ^[98] Чтобы предотвратить обнаружение, Fancy Bear возвращается в среду, чтобы переключить свои имплантаты, изменить свои каналы управления и контроля , а также изменить свои постоянные методы. ^[94] Группа угроз применяет методы контранализа, чтобы запутать свой код . Они добавляют ненужные данные к закодированным строкам, что затрудняет декодирование без алгоритма удаления ненужных данных. ^[98] Fancy Bear принимает меры для предотвращения криминалистического анализа своих взломов, сбрасывая временные метки файлов и периодически очищая журналы событий. ^[65]

Согласно обвинительному заключению специального прокурора США, X-Agent «разрабатывался, настраивался и контролировался» капитаном-лейтенантом ГРУ Николаем Юрьевичем Козачеком. ^[2]

Известно, что Fancy Bear адаптирует имплантаты для целевых сред, например, перенастраивая их для использования локальных серверов электронной почты. ^[98] В августе 2015 года «Лаборатория Касперского» обнаружила и заблокировала версию имплантата ADVSTORESHELL, который использовался для нападения на оборонных подрядчиков. Через полтора часа после блока актеры Fancy Bear собрали и представили новый бэкдор для имплантата. ^[26]

Образование

Подразделение 26165 участвовало в разработке учебных программ в нескольких московских государственных школах, в том числе в школе 1101. ^[99]

Связанные персонажи

Fancy Bear иногда создает онлайн-персонажей, чтобы посеять дезинформацию, отвести вину и создать правдоподобное отрицание своей деятельности. ^[100]

Гуччифер 2.0

Интернет-персонаж, который впервые появился и взял на себя ответственность за взломы DNC в тот же день, когда появилась история о том, что за это несет ответственность Fancy Bear. ^[101] Guccifer 2.0 утверждает, что является румынским хакером, но в интервью журналу Motherboard им задавали вопросы на румынском языке , и они, похоже, не могли говорить на этом языке. ^[102] Некоторые документы, которые они опубликовали, по всей видимости, являются подделками, составленными из материалов предыдущих хакерских атак и общедоступной информации, а затем сдобренных дезинформацией. ^[102]

Команда хакеров Fancy Bears

На веб-сайте, созданном для утечки документов, полученных в ходе атак ВАДА и ИААФ, был опубликован краткий манифест от 13 сентября 2016 года, в котором утверждалось, что сайт принадлежит «хакерской команде Fancy Bears», которая, по словам представителей компании, является «международной хакерской командой». которые «выступают за честную игру и чистый спорт». ^[103] Сайт взял на себя ответственность за взлом ВАДА и пообещал предоставить «сенсационные доказательства приема допинговых веществ известными спортсменами», начиная с олимпийской сборной США, которая, по его словам, «опозорила свое имя запятнанными победами». ^[103] ВАДА заявило, что некоторые из документов, просочившихся под этим именем, были подделками, и что данные были изменены. ^{[104] [103]}

Аноним Польша

Аккаунт в Твиттере под названием «Анонимная Польша» (@anpoland) взял на себя ответственность за атаку на Всемирное антидопинговое агентство ^[105] и опубликовал данные, украденные из Спортивного арбитражного суда , который является второстепенной целью. ^{[106] [107]} ThreatConnect поддерживает точку зрения, что Anonymous Польша является марионеткой Fancy Bear, отмечая изменение исторического акцента на внутренней политике. На снимке экрана, загруженном Anonymous Польша, показана учетная запись с настройками польского языка, но история их браузера показала, что они выполняли поиск в Google.ru (Россия) и Google.com (США), но не в Google.pl (Польша). . ^[106]

Смотрите также

• BTC-e
• Кибервойна в России
• Дмитрий Сергеевич Бадин
• Русский шпионаж в США
• Участие России в смене режима
• Тролли из Ольгино
• Команда песчаных червей — термин, используемый для обозначения отряда 74455.
• Заговор с целью взлома Америки

Примечания

1. ^ По данным компании FireEye, занимающейся кибербезопасностью, Fancy Bear использует набор инструментов, который часто обновляется с 2007 или, возможно, даже с 2004 года. ^[95] Trend Micro заявила, что может проследить деятельность Pawn Storm с 2004 года. ^[108]

2. ^ Алексей Сергеевич Моренец (Моренец Алексей Сергеевич), Евгений Михайлович Серебряков, Иван Сергеевич Ермаков (Ермаков Иван Сергеевич), Артем Андреевич Малышев (Малышев Артём Андреевич), Дмитрий Сергеевич Бадин (Бадин Дмитрий Сергеевич, Олег Михайлович Сотников) , Алексей Валерьевич Минин (Алексей Валерьевич Минин). ^[86]

Рекомендации

1. Уорд, Вики (24 октября 2016 г.). «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина». Esquire.com . Архивировано из оригинала 26 января 2018 года . Проверено 13 декабря 2016 г.
2. Поулсон, Кевин (21 июля 2018 г.). «Мюллер наконец-то разгадал тайны российских хакеров «Fancy Bear»». Ежедневный зверь . Архивировано из оригинала 23 июля 2018 года . Проверено 21 июля 2018 г.
3. «Обвинение 12 российским хакерам может стать самым большим шагом Мюллера» . Проводной . Архивировано из оригинала 13 июля 2018 года . Проверено 4 октября 2018 г.
4. Димитрис Грицалис, Марианти Теохариду, Джордж Стергиопулос (10 января 2019 г.). Безопасность и устойчивость критической инфраструктуры: теории, методы, инструменты ... Springer, 2019. ISBN 9783030000240.
5. «МЕЖДУНАРОДНАЯ БЕЗОПАСНОСТЬ И ЭСТОНИЯ» (PDF) . Valisluureamet.ee . 2018. Архивировано из оригинала (PDF) 26 октября 2020 года . Проверено 4 октября 2018 г.
6. «Знакомьтесь, Fancy Bear и Cozy Bear, российские группы, обвиненные во взломе DNC» . Христианский научный монитор . 15 июня 2016 года. Архивировано из оригинала 8 апреля 2022 года . Проверено 4 октября 2018 г.
7. Винтур, Патрик (3 октября 2018 г.). «Великобритания обвиняет Кремль в заказе серии «безрассудных» кибератак». хранитель . Архивировано из оригинала 9 июля 2022 года . Проверено 4 октября 2018 г.
8. Группа угроз-4127 нацелена на президентскую кампанию Хиллари Клинтон. Secureworks.com (Отчет). 16 июня 2016 года. Архивировано из оригинала 20 июля 2016 года . Проверено 22 декабря 2016 г. и собирает разведданные от имени российского правительства.
9. «Российские кибероперации на стероидах». Threatconnect.com . 19 августа 2016 года. Архивировано из оригинала 23 декабря 2016 года . Проверено 22 декабря 2016 г. Русская тактика FANCY BEAR
10. «APT28: окно в российские операции по кибершпионажу?». Fireeye.com . 27 октября 2016 г. Архивировано из оригинала 11 сентября 2016 г. Проверено 1 сентября 2015 г. По нашим оценкам, APT28, скорее всего, спонсируется правительством России.
11. "Расследование российских воинских частей, занимающихся психологическими операциями (PSYOP) и хакерскими атаками — Мольфар" . molfar.com . Проверено 24 июля 2023 г.
12. "Россия обвиняет Украину в атаках дронов на Москву - DW - 24.07.2023" . dw.com . Проверено 24 июля 2023 г.
13. «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина». Esquire.com . 2016-10-24. Архивировано из оригинала 26 января 2018 г. Проверено 7 мая 2017 г.
14. Херн, Алекс (8 мая 2017 г.). «Хакеры Макрона связаны с связанной с Россией группой, стоящей за атакой на США». хранитель . Архивировано из оригинала 13 апреля 2018 года . Проверено 16 марта 2018 г.
15. Гоголински, Джим (22 октября 2014 г.). «Операция Pawn Storm: Красные в SEDNIT». Тренд Микро. Архивировано из оригинала 8 сентября 2015 года . Проверено 1 сентября 2015 г.
16. «Операция Pawn Storm: использование приманок для уклонения от обнаружения» (PDF) . Тренд Микро. 2014. Архивировано (PDF) из оригинала 13 сентября 2016 г. Проверено 1 сентября 2015 г.
17. Менн, Джозеф (18 апреля 2015 г.). «Российские киберзлоумышленники использовали две неизвестные уязвимости: охранная компания». Рейтер . Архивировано из оригинала 29 июня 2021 года . Проверено 5 июля 2021 г.
18. Кумар, Мохит (30 октября 2014 г.). «APT28 — спонсируемая государством российская хакерская группа». Хакерские новости . Архивировано из оригинала 22 октября 2015 года . Проверено 1 сентября 2015 г.
19. Мамиит, Аарон (30 октября 2014 г.). «Знакомьтесь, APT28, поддерживаемая Россией вредоносная программа для сбора разведывательной информации от правительств и военных: отчет». Тех Таймс . Архивировано из оригинала 14 августа 2016 года . Проверено 1 сентября 2015 г.
20. «APT28: Окно в российские операции по кибершпионажу?». FireEye.com . 27 октября 2014 года. Архивировано из оригинала 11 сентября 2016 года . Проверено 1 сентября 2015 г.
21. Вайсман, Кейл Гатри (11 июня 2015 г.). «Франция: российские хакеры выдавали себя за ИГИЛ, чтобы взломать французскую телекомпанию». Бизнес-инсайдер . Архивировано из оригинала 16 августа 2016 года . Проверено 1 сентября 2015 г.
22. Саттер, Рафаэль; Донн, Джефф; Майерс, Джастин (2 ноября 2017 г.). «Цифровой хит-лист показывает, что российские хакерские атаки вышли далеко за рамки выборов в США». Чикаго Трибьюн . АП. Архивировано из оригинала 9 ноября 2017 года . Проверено 10 ноября 2017 г. .
23. Ядрон, Дэнни (28 октября 2014 г.). «След хакерства ведет в Россию, говорят эксперты». Журнал "Уолл Стрит . Архивировано из оригинала 19 мая 2017 года . Проверено 7 марта 2017 г.
24. «Коми из ФБР: Россия также взломала республиканцев | CNN Politics» . CNN . 10 января 2017 г.
25. САТТЕР, РАФАЭЛЬ; ДОНН, ДЖЕФФ (1 ноября 2017 г.). «Российские хакеры преследовали врагов Путина, а не только демократов США». Новости США и мировой отчет . Ассошиэйтед Пресс . Архивировано из оригинала 12 декабря 2017 года . Проверено 2 ноября 2017 г.
26. Группа глобальных исследований и анализа «Лаборатории Касперского» (4 декабря 2015 г.). «Sofacy APT достигает поставленных целей с помощью обновленного набора инструментов Securelist». Список безопасности . Архивировано из оригинала 27 мая 2017 года . Проверено 13 декабря 2016 г.
27. "Российские хакеры в течение многих лет охотились на журналистов" . Звезда-Рекламодатель . Гонолулу. Ассошиэйтед Пресс. 22 декабря 2017. Архивировано из оригинала 23 декабря 2017 года . Проверено 23 декабря 2017 г.
28. «Российские хакеры подозреваются в кибератаке на парламент Германии» . Юго-восток Лондона . Новости Альянса. 19 июня 2015 года. Архивировано из оригинала 7 марта 2016 года . Проверено 1 сентября 2015 г.
29. «Германия выдает ордер на арест российского подозреваемого во взломе парламента: газета» . Нью-Йорк Таймс . Рейтер. 5 мая 2020 года. Архивировано из оригинала 5 мая 2020 года . Проверено 5 мая 2020 г.
30. Беннхольд, Катрин (13 мая 2020 г.). «Меркель «возмущена» российским хакерством, но изо всех сил пытается отреагировать» . Нью-Йорк Таймс . Архивировано из оригинала 14 мая 2020 года . Проверено 14 мая 2020 г.
31. «Хакеры скрываются, рассказали парламентарии» . Немецкая волна. Архивировано из оригинала 21 апреля 2021 года . Проверено 21 сентября 2016 г.
32. "Hackerangriff auf deutsche Parteien" . Зюддойче Цайтунг . Архивировано из оригинала 21 апреля 2021 года . Проверено 21 сентября 2016 г.
33. Холланд, Мартин (20 сентября 2016 г.). «Angeblich veruchter Hackerangriff auf Bundestag und Parteien». Хейзе. Архивировано из оригинала 1 апреля 2019 года . Проверено 21 сентября 2016 г.
34. "Wir haben Fingerabdrücke" . Франкфуртер Альгемайне . Архивировано из оригинала 22 марта 2019 года . Проверено 21 сентября 2016 г.
35. «Российские хакеры, выдававшие себя за боевиков ИГИЛ, угрожали женам военных» . Talkingpointsmemo.com . 8 мая 2018 г. Архивировано из оригинала 12 июля 2018 г. . Проверено 4 октября 2018 г.
36. «Российские хакеры выдавали себя за ИГ, чтобы угрожать женам военных». Чикаго Трибьюн . Архивировано из оригинала 12 июня 2018 года . Проверено 7 июня 2018 г.
37. Браун, Дженнингс (8 мая 2018 г.). «Отчет: российские хакеры выдавали себя за ИГИЛ, чтобы атаковать жен американских военных». gizmodo.com . Архивировано из оригинала 12 июня 2018 года . Проверено 4 октября 2018 г.
38. "Российские хакеры выдавали себя за ИГ, чтобы угрожать женам военных" . Apnews.com . 8 мая 2018 г. Архивировано из оригинала 17 августа 2018 г. . Проверено 4 октября 2018 г.
39. «Франция расследует причастность России к хакерству TV5Monde: источники» . Рейтер . 10 июня 2015 года. Архивировано из оригинала 19 января 2016 года . Проверено 9 июля 2015 г.
40. Взломанная французская сеть раскрыла свои пароли во время телеинтервью. Архивировано 22 июля 2017 г. на Wayback Machine — arstechnica.
41. «Хакеры ИГИЛ захватили контроль над французской сетью TV5Monde в результате «беспрецедентной» атаки» . «Дейли телеграф» . 9 апреля 2015 года. Архивировано из оригинала 9 апреля 2015 года . Проверено 10 апреля 2015 г.
42. «Французские медиа-группы проведут экстренное собрание после кибератаки ИГИЛ» . Хранитель . 9 апреля 2015 года. Архивировано из оригинала 10 апреля 2015 года . Проверено 10 апреля 2015 г.
43. «Французская телесеть TV5Monde« взломана киберхалифатом в ходе беспрецедентной атаки », которая раскрыла личные данные французских солдат» . Независимый . 9 апреля 2015 года. Архивировано из оригинала 25 сентября 2015 года . Проверено 9 апреля 2015 г.
44. Suiche, Мэтт (10 июня 2017 г.). «Уроки взлома TV5Monde 2015». Комаэ Технологии. Архивировано из оригинала 13 июня 2017 года.
45. Гордон Корера (10 октября 2016 г.). «Как французский телеканал TV5 почти уничтожили «российские хакеры»». Новости BBC . Архивировано из оригинала 25 июня 2018 года . Проверено 21 июля 2018 г.
46. Уокер, Даниэль (13 мая 2015 г.). «APT28 организовала атаки на глобальный банковский сектор, как установила фирма» . Журнал СК . Архивировано из оригинала 2 марта 2018 года . Проверено 1 сентября 2015 г.
47. «Охранная фирма дает новое определение APT: угроза африканского фишинга» . Кребс о безопасности. 20 мая 2015. Архивировано из оригинала 18 июля 2015 года . Проверено 1 сентября 2015 г.
48. «Цифровая атака на парламент Германии: отчет о расследовании взлома инфраструктуры левой партии в Бундестаге» . netzpolitik.org . 19 июня 2015 года. Архивировано из оригинала 22 марта 2018 года . Проверено 16 марта 2018 г.
49. «Для продуктов Orkos Dfd ничего не найдено» (PDF) . www.root9b.com . Архивировано (PDF) из оригинала 1 марта 2018 года . Проверено 4 октября 2018 г.
50. Доктороу, Кори (28 августа 2015 г.). «Нацеленные фишеры, подозреваемые в связях с российским правительством, подделывают поддельный домен EFF и атакуют Белый дом» . Боинг-Боинг . Архивировано из оригинала 22 марта 2019 года . Проверено 1 сентября 2015 г.
51. Квинтин, Купер (27 августа 2015 г.). «Новая кампания целевого фишинга притворяется EFF» . Eff.org . Архивировано из оригинала 7 августа 2019 года . Проверено 1 сентября 2015 г.
52. Гиацинт Маскареньяс (23 августа 2016 г.). «Российские хакеры Fancy Bear, вероятно, взломали олимпийское агентство по тестированию на допинг и Национальный комитет Демократической партии, говорят эксперты». Интернэшнл Бизнес Таймс . Архивировано из оригинала 21 апреля 2021 года . Проверено 13 сентября 2016 г.
53. «Что мы знаем о хакерской команде Fancy Bears» . Новости BBC . Архивировано из оригинала 22 марта 2019 года . Проверено 17 сентября 2016 г.
54. Галлахер, Шон (6 октября 2016 г.). «Исследователи находят фальшивые данные в олимпийской антидопинговой программе, Guccifer 2.0, которую Клинтон сбрасывает». Арс Техника . Архивировано из оригинала 14 июля 2017 года . Проверено 26 октября 2016 г.
55. Тильман, Сэм (22 августа 2016 г.). «Те же российские хакеры, вероятно, взломали олимпийское агентство по тестированию на допинг и DNC». Хранитель . Архивировано из оригинала 15 декабря 2016 года . Проверено 11 декабря 2016 г.
56. Мейер, Джош (14 сентября 2016 г.). «Российские хакеры публикуют предполагаемые медицинские файлы Симоны Байлз и Серены Уильямс». Новости Эн-Би-Си . Архивировано из оригинала 7 мая 2020 года . Проверено 17 апреля 2020 г.
57. «Американские спортсмены пойманы на допинге». Fancybear.net . 13 сентября 2016 года. Архивировано из оригинала 24 декабря 2017 года . Проверено 2 ноября 2016 г.
58. Накашима, Эллен (28 сентября 2016 г.). «Российские хакеры преследовали журналистов, расследующих авиакатастрофу Malaysia Airlines». Вашингтон Пост . Архивировано из оригинала 23 апреля 2019 года . Проверено 26 октября 2016 г.
59. ThreatConnect (28 сентября 2016 г.). «ThreatConnect проверяет деятельность, направленную против Bellingcat, ключевого участника расследования MH17». УгрозаСоединение . Архивировано из оригинала 21 апреля 2021 года . Проверено 26 октября 2016 г.
60. Фейке Хакеборд (22 октября 2015 г.). «Шторм пешек нацелен на следственную группу MH17» . Тренд Микро . Архивировано из оригинала 10 ноября 2016 года . Проверено 4 ноября 2016 г.
61. «Россия «пыталась взломать систему расследования MH17»» . АФП. 23 октября 2015 г. Архивировано из оригинала 21 августа 2018 г. Проверено 4 ноября 2016 г.
62. Сэнгер, Дэвид Э.; Корасанити, Ник (14 июня 2016 г.). «DNC заявляет, что российские хакеры проникли в его файлы, включая досье на Дональда Трампа» . Нью-Йорк Таймс . Архивировано из оригинала 25 июля 2019 года . Проверено 26 октября 2016 г.
63. Саттер, Рафаэль; Донн, Джефф; Дэй, Чад (4 ноября 2017 г.). «Внутренняя история: как русские взломали электронную почту демократов». АП Новости . Архивировано из оригинала 6 ноября 2017 года . Проверено 10 ноября 2017 г. .
64. «Мишка на медведе». Экономист . 22 сентября 2016 г. Архивировано из оригинала 20 мая 2017 г. Проверено 14 декабря 2016 г.
65. Альперович, Дмитрий (15 июня 2016 г.). «Медведи посреди: Вторжение в Национальный комитет Демократической партии». Crowdstrike.com . Архивировано из оригинала 24 мая 2019 года . Проверено 13 декабря 2016 г.
66. "Украинские военные отрицают хакерскую атаку России" . Yahoo! Новости . 6 января 2017 года. Архивировано из оригинала 7 января 2017 года . Проверено 6 января 2017 г.
67. Мейерс, Адам (22 декабря 2016 г.). «Опасность близка: необычное выслеживание медведей украинских подразделений полевой артиллерии». Crowdstrike.com . Архивировано из оригинала 1 января 2017 года . Проверено 22 декабря 2016 г.
68. "Министерство обороны опровергает сообщения о предполагаемых артиллерийских потерях из-за взлома программного обеспечения российскими хакерами" . Интерфакс-Украина . 6 января 2017 года. Архивировано из оригинала 7 января 2017 года . Проверено 6 января 2017 г.
69. Кузьменко, Алексей; Кобус, Пит. «Киберфирма переписывает часть спорного отчета о российском хакерстве» . Voanews.com . Архивировано из оригинала 22 декабря 2021 года . Проверено 26 марта 2017 г.
70. Галлахер, Шон (1 ноября 2016 г.). «Windows нулевого дня использована той же группой, которая стояла за взломом DNC» . Арс Техника . Архивировано из оригинала 2 ноября 2016 года . Проверено 2 ноября 2016 г. .
71. Моддерколк, Хуиб (4 февраля 2017 г.). «Russen faalden bij hackpogingen ambtenaren op Nederlandse Ministrys». Де Фолькскрант (на голландском языке). Архивировано из оригинала 4 февраля 2017 года . Проверено 4 февраля 2017 г.
72. Класки, Питер (3 февраля 2017 г.). «Голландцы выбрали ручной подсчет после сообщений о российском взломе» . Ирландские Таймс . Архивировано из оригинала 19 сентября 2020 года . Проверено 20 февраля 2020 г.
73. Роджерс, Джеймс (3 апреля 2017 г.). «Международная легкоатлетическая организация IAAF, подвергшаяся хакерской атаке, предупреждает, что данные спортсменов могут быть скомпрометированы». Фокс Ньюс . Архивировано из оригинала 17 мая 2017 года . Проверено 14 мая 2017 г.
74. «ИААФ заявляет, что она была взломана, доступ к медицинской информации спортсмена» . Голос Америки. Ассошиэйтед Пресс. 3 апреля 2017 года. Архивировано из оригинала 17 мая 2017 года . Проверено 14 мая 2017 г.
75. Эрик Ошар (24 апреля 2017 г.). «Кампания Макрона стала объектом кибератак со стороны шпионской группы». Reuters.com . Архивировано из оригинала 26 апреля 2017 года . Проверено 27 апреля 2017 г.
76. Седдон, Макс; Стотхард, Майкл (4 мая 2017 г.). «Путин ждет возврата инвестиций в Ле Пен». Файнэншл Таймс . Архивировано из оригинала 5 мая 2017 года.
77. «Связанные с Россией хакеры нацелены на немецкие политические фонды» . Хандельсблатт. 26 апреля 2017 года. Архивировано из оригинала 12 августа 2018 года . Проверено 26 апреля 2017 г. .
78. Мацакис, Луиза (10 января 2018 г.). «Краткая информация о взломе: российские хакеры опубликовали очевидные электронные письма МОК после запрета Олимпийских игр» . Проводной . Архивировано из оригинала 13 января 2018 года . Проверено 12 января 2018 г.
79. Ребекка Р. Руис, Ребекка Русские хакеры публикуют украденные электронные письма в новой попытке подорвать деятельность следователей по допингу. Архивировано 13 января 2018 г. в Wayback Machine , The New York Times (10 января 2018 г.).
80. Ник Гриффин, Performanta, [1] Архивировано 6 февраля 2018 г. в Wayback Machine (26 января 2018 г.).
81. Джонсон, Саймон; Сванберг, Олоф (15 мая 2018 г.). Поллард, Никлас; Лоусон, Хью (ред.). «Шведская спортивная организация заявляет, что антидопинговое подразделение подверглось хакерской атаке» . Рейтер . Архивировано из оригинала 25 мая 2018 года . Проверено 24 мая 2018 г.
82. «Microsoft 'препятствует российскому политическому хакерству'» . Новости BBC . 21 августа 2018 г. Архивировано из оригинала 21 августа 2018 г. Проверено 21 августа 2018 г.
83. Смит, Брэд (21 августа 2018 г.). «Мы предпринимаем новые шаги против растущих угроз демократии». Майкрософт . Архивировано из оригинала 21 августа 2018 года . Проверено 22 августа 2018 г.
84. Рафаэль Саттер (27 августа 2018 г.). «Российские кибершпионы потратили годы на православное духовенство». Блумберг. Ассошиэйтед Пресс. Архивировано из оригинала 29 августа 2018 г. Проверено 28 августа 2018 г.
85. «США обвиняют российских офицеров ГРУ в международных хакерских атаках и связанных с ними операциях по влиянию и дезинформации» (пресс-релиз). Министерство юстиции США. Архивировано из оригинала 4 октября 2018 г. Проверено 28 ноября 2018 г.
86. Брэди, Скотт В. «Обвинительное заключение 7 офицерам ГРУ_октябрь 2018 г.» (PDF) . Окружной суд США Западного округа Пенсильвании . Архивировано (PDF) из оригинала 8 июня 2020 г. Проверено 8 июля 2018 г.
87. Двоскин, Элизабет; Тимберг, Крейг (19 февраля 2019 г.). «Microsoft заявляет, что обнаружила еще одну российскую операцию, нацеленную на известные аналитические центры». Вашингтон Пост . Архивировано из оригинала 22 февраля 2019 года . Проверено 22 февраля 2019 г. Атаки «целевого фишинга», в ходе которых хакеры рассылают фальшивые электронные письма с целью заставить людей посетить веб-сайты, которые выглядят аутентичными, но на самом деле позволяют им проникнуть в корпоративные компьютерные системы своих жертв, были связаны с хакерской группой APT28, подразделением Российская военная разведка, вмешивавшаяся в выборы в США в 2016 году. Группа нацелилась на более чем 100 европейских сотрудников Немецкого фонда Маршалла, Института Аспена в Германии и Немецкого совета по международным отношениям — влиятельных групп, занимающихся вопросами трансатлантической политики.
88. Берт, Том (20 февраля 2019 г.). «Новые шаги по защите Европы от продолжающихся киберугроз». Майкрософт . Архивировано из оригинала 20 февраля 2019 года . Проверено 22 февраля 2019 г. Атаки на эти организации, которые мы раскрываем с их разрешения, были направлены на 104 аккаунта, принадлежащих сотрудникам организаций, расположенных в Бельгии, Франции, Германии, Польше, Румынии и Сербии. MSTIC продолжает расследовать источники этих атак, но мы уверены, что многие из них исходили от группы, которую мы называем Strontium. Атаки произошли в период с сентября по декабрь 2018 года. Когда мы обнаружили, что они стали целью, мы быстро уведомили каждую из этих организаций, чтобы они могли принять меры для защиты своих систем, а также приняли ряд технических мер для защиты клиентов от этих атак.
89. Такер, Патрик (20 февраля 2019 г.). «Российские атаки затронули электронную почту американо-европейских аналитических центров, - заявляет Microsoft» . Защита Один . Архивировано из оригинала 07 апреля 2019 г. Проверено 7 апреля 2019 г.
90. «Microsoft заявляет, что российские хакеры атаковали европейские аналитические центры» . Блумберг . 20 февраля 2019 г. Архивировано из оригинала 07 апреля 2019 г. Проверено 7 апреля 2019 г.
91. "Киберуток на чешскую дипломатию, способствовавший гражданскому государству, потврдил Сенат НУКИБ" . iDNES.cz . 13 августа 2019 г. Архивировано из оригинала 06.11.2020 . Проверено 15 сентября 2020 г.
92. Zpráva o stavu kibernetické bezpečnosti České republiky za rok 2019 (PDF) . НУКИБ. 2020. Архивировано (PDF) из оригинала 17 сентября 2020 г. Проверено 15 сентября 2020 г.
93. «Норвегия заявляет, что российские группы, вероятно, стоят за кибератакой на парламент» . 8 декабря 2020 года. Архивировано из оригинала 16 декабря 2020 года . Проверено 15 декабря 2020 г.
94. Робинсон, Тери (14 июня 2016 г.). «Российские хакеры получили доступ к файлам Трампа в результате взлома Национального комитета Демократической партии». Журнал SC США . Архивировано из оригинала 20 декабря 2016 года . Проверено 13 декабря 2016 г.
95. Тильман, Сэм; Акерман, Спенсер (29 июля 2016 г.). «Cozy Bear и Fancy Bear: взломали ли россияне Демократическую партию, и если да, то почему?». Хранитель . ISSN  0261-3077. Архивировано из оригинала 15 декабря 2016 г. Проверено 12 декабря 2016 г.
96. Клюли, Грэм (20 октября 2016 г.). «Новое исследование ESET рассматривает Sednit под микроскопом» . WeLiveSecurity . Архивировано из оригинала 25 октября 2016 года . Проверено 26 октября 2016 г.
97. Френкель, Шира (15 октября 2016 г.). «Знакомьтесь, Fancy Bear, российская группа, взломавшая выборы в США». БаззФид . Архивировано из оригинала 15 июня 2018 года . Проверено 2 ноября 2016 г.
98. «APT28: окно в российские операции по кибершпионажу?» (PDF) . Fireeye.com . 2014. Архивировано из оригинала (PDF) 10 января 2017 г. Проверено 13 декабря 2016 г.
99. Трояновский, Антон ; Накашима, Эллен ; Харрис, Шейн (28 декабря 2018 г.). «Как российская военная разведка стала тайной силой в дуэлях Путина с Западом». Вашингтон Пост . Архивировано из оригинала 29 декабря 2018 года.
100. «Хактивисты против фейкетивистов: замаскированные модные медведи» . Threatconnect.com . 13 декабря 2016 года. Архивировано из оригинала 20 декабря 2016 года . Проверено 15 декабря 2016 г.
101. Кеблер, Джейсон (15 июня 2016 г.). «Guccifer 2.0» берет на себя ответственность за взлом DNC и публикует документы, подтверждающие это» . Материнская плата . Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
102. Франчески-Биккьерай, Лоренцо (4 октября 2016 г.). «Guccifer 2.0» врет нам о предполагаемом взломе Фонда Клинтон» . Материнская плата . Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
103. Бартлетт, Эван (26 марта 2018 г.). «Fancy Bears: Кто эта теневая хакерская группа, разоблачающая допинг, сокрытие информации и коррупцию в спорте?». Независимый. Архивировано из оригинала 25 мая 2018 года . Проверено 24 мая 2018 г.
104. BBC (5 октября 2016 г.). «Данные о допинге Fancy Bears« могли быть изменены », - говорит ВАДА». Би-би-си. Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
105. Нэнси, Малькольм (2016). Заговор с целью взлома Америки: как путинские кибершпионы и WikiLeaks пытались украсть выборы 2016 года . Издательство Скайхорс. ISBN 978-1-5107-2333-7.
106. Чимпану, Каталин (23 августа 2016 г.). «Россия стоит за взломом Всемирного антидопингового агентства и международных спортивных площадок». Софтпедия . Архивировано из оригинала 21 декабря 2016 года . Проверено 15 декабря 2016 г.
107. «Сайт Всемирного антидопингового агентства взломан; утечка тысяч учетных записей» . Взломать . 12 августа 2016 года. Архивировано из оригинала 20 декабря 2016 года . Проверено 15 декабря 2016 г.
108. Фейке Хакеборд (2017). Два года пешечного штурма — исследование все более актуальной угрозы (PDF) (отчет). Тренд Микро. Архивировано (PDF) из оригинала 5 июля 2017 г. Проверено 27 апреля 2017 г.

Внешние ссылки

• «Отчет Microsoft по вопросам безопасности: стронций». Центр защиты от вредоносных программ Microsoft. 15 ноября 2015 г.