Fancy Bear , также известный как APT28 (от Mandiant ), Pawn Storm , Sofacy Group (от Kaspersky ), Sednit , Tsar Team (от FireEye ) и STRONTIUM или Forest Blizzard (от Microsoft ), [2] [4] — российская кибербезопасность . шпионская группа. Фирма по кибербезопасности CrowdStrike со средней степенью уверенности заявила, что она связана с российской военной разведкой ГРУ . [5] [6] Министерство иностранных дел и по делам Содружества Великобритании [7] , а также охранные фирмы SecureWorks , [8] ThreatConnect , [9] и Mandiant , [10] также заявили, что группу спонсирует российское правительство. В 2018 году в обвинительном заключении Специального прокурора США Fancy Bear был указан как подразделение ГРУ 26165 . [3] [2] Имеется в виду единый номер воинской части полков Российской армии. 24 июля 2023 года штаб-квартира Fancy Bear и все воинское подразделение, которое, как сообщается, специализируется на финансируемых государством кибератаках и расшифровке взломанных данных [11] , были атакованы украинскими дронами, в результате чего обрушилась крыша одного из зданий. взрыва. [12]
Fancy Bear классифицируется FireEye как продвинутая постоянная угроза . [10] Помимо прочего, он использует эксплойты нулевого дня , целевой фишинг и вредоносное ПО для компрометации целей. Группа продвигает политические интересы российского правительства и известна взломом электронной почты Национального комитета Демократической партии с целью повлиять на исход президентских выборов в США в 2016 году.
Название «Fancy Bear» происходит от названия системы кодирования, которую исследователь безопасности Дмитрий Альперович использует для идентификации хакеров. [13]
Методы Fancy Bear, действующие, вероятно, с середины 2000-х годов, соответствуют возможностям государственных субъектов. Группа нацелена на правительственные, военные и организации безопасности, особенно на государства Закавказья и НАТО . Считается, что Fancy Bear несет ответственность за кибератаки на немецкий парламент , норвежский парламент , французский телеканал TV5Monde , Белый дом , НАТО, Национальный комитет Демократической партии , Организацию по безопасности и сотрудничеству в Европе и кампанию Кандидат в президенты Франции Эммануэль Макрон . [14]
22 октября 2014 года Trend Micro обозначила участников вредоносного ПО Sofacy как Operation Pawn Storm. [15] Такое название произошло из-за того, что группа использовала «два или более взаимосвязанных инструмента/тактики для атаки на определенную цель, аналогичную шахматной стратегии». « [16] известный как пешка шторм .
Фирма сетевой безопасности FireEye опубликовала подробный отчет о Fancy Bear в октябре 2014 года. В отчете группа обозначена как «Advanced Persistent Threat 28» (APT28) и описано, как хакерская группа использовала эксплойты нулевого дня для операционной системы Microsoft Windows и Adobe Flash. . [17] В отчете обнаружены оперативные данные, указывающие на то, что источником является «правительственный спонсор, базирующийся в Москве». Доказательства, собранные FireEye, позволили предположить, что вредоносное ПО Fancy Bear компилировалось в основном в русскоязычной среде сборки и происходило в основном в рабочие часы, соответствующие часовому поясу Москвы . [18] Директор FireEye по разведке угроз Лаура Галанте назвала деятельность группы «государственным шпионажем» [19] и заявила, что в число целей также входят «СМИ или влиятельные лица». [20] [21]
Название «Fancy Bear» происходит от системы кодирования, которую компания CrowdStrike Дмитрия Альперовича использует для хакерских групп. «Медведь» указывает на то, что хакеры из России. «Fancy» относится к «Sofacy», слову в вредоносной программе, которое напомнило обнаружившему его аналитику песню Игги Азалии « Fancy ». [1]
Целями Fancy Bear были правительства и вооруженные силы Восточной Европы, Грузия и Кавказ , Украина, [22] организации, связанные с безопасностью, такие как НАТО , а также американские оборонные подрядчики Academi (ранее известные как Blackwater и Xe Services), Science Applications International Corporation (SAIC), [23] Boeing, Lockheed Martin и Raytheon. [22] Fancy Bear также нападала на граждан Российской Федерации, которые являются политическими врагами Кремля, в том числе на бывшего нефтяного магната Михаила Ходорковского и Марию Алехину из группы Pussy Riot . [22] SecureWorks, фирма по кибербезопасности со штаб-квартирой в США, пришла к выводу, что с марта 2015 по май 2016 года в целевой список «Необычного медведя» входили не только Национальный комитет Демократической партии США и Национальный комитет Республиканской партии, [24] но десятки тысяч врагов Путина и Кремля в США, Украине, России, Грузии и Сирии. Однако лишь горстка республиканцев подверглась нападкам. [25] Анализ AP 4700 учетных записей электронной почты, атакованных Fancy Bear, пришел к выводу, что ни одна страна, кроме России, не будет заинтересована во взломе такого количества очень разных целей, которые, казалось бы, не имеют ничего общего, кроме того, что они представляют интерес для Российское правительство. [22]
Fancy Bear также, похоже, пытается влиять на политические события, чтобы друзья или союзники российского правительства пришли к власти.
В 2011–2012 годах вредоносным ПО первой стадии Fancy Bear был имплант Sofacy или SOURFACE. В 2013 году Fancy Bear добавила больше инструментов и бэкдоров, в том числе CHOPSTICK, CORESHELL, JHUHUGIT и ADVSTORESHELL. [26]
С середины 2014 года до осени 2017 года Fancy Bear преследовала многочисленных журналистов в США, Украине, России, Молдове, странах Балтии и других странах, которые писали статьи о Владимире Путине и Кремле. По данным Associated Press и SecureWorks, эта группа журналистов является третьей по величине группой, на которую нацелена Fancy Bear, после дипломатического персонала и демократов США. В целевой список Fancy Bear входят Адриан Чен , армянская журналистка Мария Титициан, Элиот Хиггинс из Bellingcat , Эллен Барри и по меньшей мере 50 других репортеров New York Times , по меньшей мере 50 иностранных корреспондентов, базирующихся в Москве, которые работали на независимые новостные агентства, Джош Рогин , Обозреватель Washington Post , Шейн Харрис , автор Daily Beast , который в 2015 году освещал вопросы разведки, Майкл Вайс , аналитик по безопасности CNN, Джейми Кирчик из Института Брукингса , 30 объектов СМИ в Украине, многие из которых работают в «Kyiv Post» , репортеры, освещавшие ситуацию в России поддерживаемая война на востоке Украины , а также в России, где большинство журналистов, подвергшихся атакам хакеров, работали на независимые новости (например, « Новая газета» или «Ведомости» ), такие как Екатерина Винокурова на Znak.com и ведущие российские журналисты Тина Канделаки , Ксения Собчак , и российский телеведущий Павел Лобков, все они работали на телеканале «Дождь» . [27]
Считается, что Fancy Bear несет ответственность за шестимесячную кибератаку на парламент Германии , начавшуюся в декабре 2014 года. [28] 5 мая 2020 года федеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина в связи с атаки. [29] Атака полностью парализовала ИТ-инфраструктуру Бундестага в мае 2015 года. Чтобы разрешить ситуацию, весь парламент пришлось отключить на несколько дней. По оценкам ИТ-экспертов, в ходе атаки из парламента было скачано 16 гигабайт данных. [30]
Группа также подозревается в причастности к целевой фишинговой атаке в августе 2016 года на членов Бундестага и нескольких политических партий, таких как лидер фракции Linken Сара Вагенкнехт , Союз Юнге и ХДС Саара . [31] [32] [33] [34] Власти опасались, что хакеры могут собрать конфиденциальную информацию, чтобы впоследствии манипулировать общественностью в преддверии выборов, таких как следующие федеральные выборы в Германии, которые должны были состояться в сентябре 2017 года. [31]
10 февраля 2015 года пять жен американских военнослужащих получили угрозы убийством от хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она является филиалом Исламского государства. [35] [36] [37] [38] Позже это выяснилось была атака под ложным флагом со стороны Fancy Bear, когда выяснилось, что адреса электронной почты жертв находились в списке целей фишинга Fancy Bear. [36] Российские тролли в социальных сетях также известны тем, что раздувают шумиху и распространяют слухи об угрозе потенциальных террористических атак Исламского государства на территорию США, чтобы посеять страх и политическую напряженность. [36]
8 апреля 2015 г. французская телекомпания TV5Monde стала жертвой кибератаки со стороны хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она связана с террористической организацией « Исламское государство Ирака и Леванта» (ИГИЛ). Позднее французские следователи отвергли версию о том, что за кибератакой стояли воинствующие исламисты, вместо этого заподозрив причастность Fancy Bear. [39]
Хакеры взломали внутренние системы сети, возможно, с помощью паролей, открыто транслируемых TV5, [40] блокируя трансляцию программ 12 каналов компании более чем на три часа. [41] Рано утром следующего дня обслуживание было восстановлено лишь частично, а нормальное вещание было прервано поздно вечером 9 апреля. [41] Различные компьютеризированные внутренние административные и вспомогательные системы, включая электронную почту, также все еще были отключены или недоступны по другим причинам. к атаке. [42] [41] Хакеры также взломали страницы TV5Monde в Facebook и Twitter , чтобы разместить личную информацию родственников французских солдат, участвовавших в действиях против ИГИЛ, а также сообщения с критикой президента Франсуа Олланда , утверждая, что теракты в январе 2015 года были «подарком». «за его «непростительную ошибку» участия в конфликтах, которые «[не служат] никакой цели». [43] [41]
Генеральный директор TV5Monde Ив Биго позже заявил, что атака почти уничтожила компанию; если бы восстановление вещания заняло больше времени, каналы спутникового распространения, скорее всего, расторгли бы свои контракты. Атака была задумана как разрушительная как для оборудования, так и для самой компании, а не для пропаганды или шпионажа, как это было в случае большинства других кибератак. Атака была тщательно спланирована; Первое известное проникновение в сеть произошло 23 января 2015 года. [44] Затем злоумышленники провели разведку TV5Monde, чтобы понять, как он транслирует свои сигналы, и создали специальное вредоносное программное обеспечение для повреждения и уничтожения подключенного к Интернету оборудования. которые контролировали работу телестанции, например, системы кодирования. Они использовали семь разных точек входа, не все из которых были частью TV5Monde или даже во Франции: одна из них была компанией, базирующейся в Нидерландах, которая поставляла камеры с дистанционным управлением, используемые в студиях TV5. [44] В период с 16 февраля по 25 марта злоумышленники собрали данные на внутренних платформах TV5, включая IT Internal Wiki , и проверили, что учетные данные для входа по-прежнему действительны. [44] В ходе атаки хакеры выполнили серию команд, извлеченных из журналов TACACS , чтобы стереть прошивку коммутаторов и маршрутизаторов . [44]
Хотя атака якобы была совершена ИГ, французское киберагентство посоветовало Биго сказать только, что сообщения якобы исходят от ИГ. Позже ему сообщили, что были найдены доказательства того, что нападавшими была группа российских хакеров APT 28. Причин нападения на TV5Monde обнаружено не было, а источник приказа о нападении и его финансирование неизвестны. Было высказано предположение, что это, вероятно, была попытка протестировать формы кибероружия. Стоимость оценивалась в 5 миллионов евро (5,6 миллиона долларов; 4,5 миллиона фунтов стерлингов) в первый год, после чего следовали ежегодные затраты на новую защиту в размере более 3 миллионов евро (3,4 миллиона долларов США; 2,7 миллиона фунтов стерлингов). Метод работы компании пришлось изменить, включая аутентификацию электронной почты, проверку флэш-накопителей перед вставкой и т. д., что значительно снизило эффективность новостной компании, которая должна перемещать информацию. [45]
Охранная фирма root9B в мае 2015 года опубликовала отчет о Fancy Bear, в котором объявила об обнаружении целенаправленной фишинговой атаки, направленной на финансовые учреждения. В отчете перечислены международные банковские учреждения, которые стали объектом нападения, в том числе Объединенный банк Африки , Банк Америки , TD Bank и Банк ОАЭ. По данным root9B, подготовка к атакам началась в июне 2014 года, и использованное вредоносное ПО «носило особые сигнатуры, которые исторически были уникальными только для одной организации — Sofacy». [46] Журналист по вопросам безопасности Брайан Кребс поставил под сомнение точность утверждений root9B, заявив, что атаки на самом деле были осуществлены нигерийскими фишерами. [47] В июне 2015 года уважаемый исследователь безопасности Клаудио Гуарниери опубликовал отчет, основанный на его собственном расследовании параллельного эксплойта, приписываемого SOFACY, против немецкого Бундестага [48] и отметил, что root9B сообщил, что «тот же IP-адрес используется как Command & Control сервер в атаке на Бундестаг (176.31.112.10)», и далее сказал, что на основе его исследования атаки на Бундестаг «по крайней мере некоторые» индикаторы, содержащиеся в отчете root9B, оказались точными, включая сравнение хеша вредоносного ПО. образцы обоих инцидентов. root9B позже опубликовал технический отчет, в котором сравнивается проведенный Клаудио анализ SOFACY, приписывающий вредоносное ПО их собственному образцу, что повышает достоверность их первоначального отчета. [49]
В августе 2015 года Fancy Bear использовала эксплойт нулевого дня в Java , подделав Electronic Frontier Foundation и организовав атаки на Белый дом и НАТО . Хакеры использовали целевую фишинговую атаку, направляя электронные письма на ложный URL-адрес Electronicfrontierfoundation.org. [50] [51]
В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных под видом официальных сообщений ВАДА с запросом данных для входа. После проверки двух доменов, предоставленных ВАДА, было обнаружено, что информация о регистрации и хостинге веб-сайтов соответствует данным российской хакерской группы Fancy Bear. [52] [53] По данным ВАДА, некоторые данные, опубликованные хакерами, были сфальсифицированы. [54]
Из-за фактов широкого распространения допинга со стороны российских спортсменов ВАДА рекомендовало отстранить российских спортсменов от участия в Олимпийских и Паралимпийских играх 2016 года в Рио. Аналитики заявили, что, по их мнению, взлом был отчасти актом возмездия против разоблачившей российской спортсменки Юлии Степановой , чья личная информация была раскрыта в результате взлома. [55] В августе 2016 года ВАДА сообщило, что их системы были взломаны, объяснив, что хакеры из Fancy Bear использовали учетную запись, созданную Международным олимпийским комитетом (МОК), для получения доступа к базе данных своей системы антидопингового администрирования и управления (АДАМС). . [56] Затем хакеры использовали веб-сайтfancybear.net, чтобы раскрыть то, что, по их словам, было файлами олимпийских тестов на допинг нескольких спортсменов, получивших освобождение от терапевтического использования, в том числе гимнастки Симоны Байлз , теннисисток Винус и Серены Уильямс и баскетболистки Елены Делле Донн. . [57] Хакеры оттачивали деятельность спортсменов, которым ВАДА по разным причинам предоставило освобождение от ответственности. Последующие утечки включали спортсменов из многих других стран. [56]
Элиот Хиггинс и другие журналисты, связанные с Bellingcat , группой, расследующей сбитый рейс 17 Malaysia Airlines над Украиной, подверглись многочисленным целевым фишинговым электронным письмам. Сообщения представляли собой поддельные уведомления безопасности Gmail с сокращенными URL-адресами Bit.ly и TinyCC. По данным ThreatConnect , некоторые фишинговые электронные письма были отправлены с серверов, которые Fancy Bear использовала в предыдущих атаках в других местах. Bellingcat известна тем, что продемонстрировала, что Россия виновна в сбитии MH17, и российские СМИ часто высмеивают ее. [58] [59]
Группа нацелилась на Совет безопасности Нидерландов , орган, проводящий официальное расследование катастрофы, до и после публикации окончательного отчета совета. Они установили поддельные серверы SFTP и VPN для имитации собственных серверов совета директоров, вероятно, с целью целенаправленного фишинга имен пользователей и паролей. [60] Представитель DSB заявил, что атаки не увенчались успехом. [61]
В первом квартале 2016 года компания Fancy Bear провела целевую фишинговую атаку на адреса электронной почты, связанные с Национальным комитетом Демократической партии. приезжать. Одна из этих учетных записей могла содержать обновленные списки контактов. На следующий день фишинговые атаки распространились на частные адреса электронной почты высокопоставленных чиновников Демократической партии. Адреса Hillaryclinton.com были атакованы, но для доступа требовалась двухфакторная аутентификация. Атака была перенаправлена на учетные записи Gmail 19 марта. В тот же день была взломана учетная запись Gmail Подесты, в ходе которой было украдено 50 000 электронных писем. Фишинговые атаки усилились в апреле [63] , хотя хакеры, похоже, внезапно стали бездействовать в течение дня 15 апреля, который в России был праздником в честь военных служб радиоэлектронной борьбы. [64] Вредоносное ПО, использованное в атаке, отправило украденные данные на те же серверы, которые использовались группировкой для атаки на парламент Германии в 2015 году . [1]
14 июня CrowdStrike опубликовала отчет, в котором рассказывается о взломе DNC и называет виновниками Fancy Bear. Затем появился онлайн-персонаж Guccifer 2.0 , взявший на себя единоличную ответственность за нарушение. [65]
В то же время на серверах Национального комитета Демократической партии присутствовала еще одна изощренная хакерская группа, приписываемая Российской Федерации, под прозвищем Cozy Bear . Однако обе группы, похоже, не знали друг о друге, поскольку каждая независимо украла одни и те же пароли и иным образом дублировала свои усилия. Cozy Bear, похоже, представляет собой другое агентство, более заинтересованное в традиционном долгосрочном шпионаже. [64] Судебно-медицинская группа CrowdStrike установила, что хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear находился там всего несколько недель. [1]
По данным CrowdStrike , в 2014–2016 годах группировка использовала вредоносное ПО для Android для нападения на ракетные войска и артиллерию украинской армии . Они распространяли зараженную версию приложения для Android , первоначальной целью которого был контроль данных о целеуказании артиллерийской установки «Гаубица Д-30» . Приложение, которым пользовались украинские офицеры, было загружено шпионским ПО X-Agent и размещено на военных форумах. Первоначально CrowdStrike утверждала, что более 80% украинских гаубиц Д-30 были уничтожены во время войны, что является самым высоким процентом потерь среди всех артиллерийских орудий в армии (процент, о котором ранее никогда не сообщалось и который будет означать потерю почти всего арсенала). крупнейшего артиллерийского орудия ВСУ [ 66] ). [67] По данным украинской армии, цифры CrowdStrike были неверными и что потери в артиллерийском вооружении «были намного ниже заявленных» и что эти потери «не имеют ничего общего с заявленной причиной». [68] CrowdStrike с тех пор пересмотрел этот отчет после того, как Международный институт стратегических исследований (IISS) дезавуировал его первоначальный отчет, утверждая, что взломы вредоносных программ привели к потерям в 15–20%, а не в первоначальном показателе в 80%. [69]
31 октября 2016 года группа анализа угроз Google обнаружила уязвимость нулевого дня в большинстве версий Microsoft Windows , которая является объектом активных атак вредоносного ПО. 1 ноября 2016 года исполнительный вице-президент Microsoft группы Windows и устройств Терри Майерсон разместил в блоге Microsoft Threat Research & Response Blog, признав наличие уязвимости и объяснив, что в «малой объемной целевой фишинговой кампании», нацеленной на конкретных пользователей, использовались «два уязвимости нулевого дня в Adobe Flash и ядре Windows нижнего уровня». Microsoft указала на Fancy Bear как на субъекта угрозы, назвав группу своим собственным кодовым названием STRONTIUM . [70]
В феврале 2017 года Служба общей разведки и безопасности (AIVD) Нидерландов сообщила, что Fancy Bear и Cozy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, заявил на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. [71]
На брифинге в парламенте министр внутренних дел и отношений с королевством Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. [72]
Представители Международной ассоциации легкоатлетических федераций (IAAF) в апреле 2017 года заявили, что ее серверы были взломаны группировкой Fancy Bear. Атака была обнаружена фирмой по кибербезопасности Context Information Security, которая установила, что 21 февраля имел место несанкционированный удаленный доступ к серверам ИААФ. ИААФ заявила, что хакеры получили доступ к приложениям для получения разрешения на терапевтическое использование , необходимым для использования лекарств, запрещенных ВАДА. [73] [74]
Исследователи из Trend Micro в 2017 году опубликовали отчет, в котором излагаются попытки Fancy Bear воздействовать на группы, связанные с избирательными кампаниями Эммануэля Макрона и Ангелы Меркель . Согласно отчету, они атаковали кампанию Макрона с помощью фишинга и попыток установки вредоносного ПО на свой сайт. Французское правительственное агентство кибербезопасности ANSSI подтвердило, что эти атаки имели место, но не смогло подтвердить ответственность APT28. [75] Судя по всему, кампания Марин Ле Пен не стала объектом внимания APT28, что, возможно, указывает на предпочтение России к ее кампании. Ранее Путин рекламировал выгоды для России в случае избрания Марин Ле Пен. [76]
В докладе говорится, что затем они напали на немецкий Фонд Конрада Аденауэра и Фонд Фридриха Эберта , группы, которые связаны с Христианско-демократическим союзом Ангелы Меркель и оппозиционной Социал-демократической партией соответственно. В конце 2016 года Fancy Bear установила поддельные почтовые серверы для рассылки фишинговых писем со ссылками на вредоносное ПО. [77]
10 января 2018 года онлайн-персонаж «Fancy Bears Hack Team» слил в сеть то, что, по всей видимости, было украдено. Электронные письма Международного олимпийского комитета (МОК) и Олимпийского комитета США , датированные концом 2016 — началом 2017 года, были раскрыты в явную месть за запрет МОК. российских спортсменов с зимних Олимпийских игр 2018 года в качестве санкции за систематическую допинговую программу России . Атака напоминает более ранние утечки информации от Всемирного антидопингового агентства (ВАДА). Неизвестно, являются ли электронные письма полностью подлинными, поскольку Fancy Bear уже неоднократно добавляла украденные электронные письма дезинформации. Способ атаки также неизвестен, но, вероятно, это был фишинг. [78] [79]
Эксперты по кибербезопасности также заявили, что атаки, судя по всему, также были направлены на профессиональную компанию по розливу спортивных допинг-тестов, известную как Berlinger Group. [80]
Шведская спортивная конфедерация сообщила, что Fancy Bear несет ответственность за атаку на ее компьютеры, нацеленную на записи допинг-тестов спортсменов. [81]
Компания-разработчик программного обеспечения Microsoft сообщила в августе 2018 года, что группа пыталась украсть данные у политических организаций, таких как Международный республиканский институт и аналитические центры Института Гудзона . Атаки были предотвращены, когда сотрудники службы безопасности Microsoft получили контроль над шестью сетевыми доменами . [82] В своем заявлении Microsoft сообщила, что «в настоящее время у нас нет доказательств того, что эти домены использовались в каких-либо успешных атаках до того, как DCU передал контроль над ними, а также у нас нет доказательств, указывающих на личность конечных целей любой запланированной атаки с участием этих доменов». домены». [83]
Согласно сообщению Associated Press за август 2018 года , Fancy Bear в течение многих лет преследовала электронную переписку должностных лиц Константинопольского патриархата во главе с Вселенским патриархом Варфоломеем I. [84] Публикация появилась в период обострения напряженности между Вселенским Патриархатом, старшей из всех Восточных Православных Церквей , и Русской Православной Церковью (Московский Патриархат) по вопросу полной церковной независимости ( автокефалии ) православных . Церковь в Украине , востребованная правительством Украины. Издание цитирует экспертов, заявляющих, что предоставление автокефалии Церкви в Украине подорвет власть и престиж Московского Патриархата и подорвет его претензии на транснациональную юрисдикцию. [84] Кибератаки также были направлены против православных христиан в других странах, а также против мусульман, евреев и католиков в США, «Уммы», зонтичной группы украинских мусульман, папского нунция в Киеве и Иосифа Зисельса, возглавляющего Украинскую ассоциацию еврейских организаций. и сообщества. [84]
В октябре 2018 года федеральным большим жюри США было распечатано обвинительное заключение в отношении семи россиян, офицеров ГРУ, в отношении нападений. В обвинительном заключении говорится, что с декабря 2014 года по крайней мере до мая 2018 года офицеры ГРУ вступили в сговор с целью проведения «постоянных и изощренных компьютерных вторжений, затрагивающих граждан США, юридические лица, международные организации и их соответствующих сотрудников, расположенных по всему миру, исходя из их стратегического интереса к российское правительство». [85] [86] Министерство юстиции США заявило, что заговор, среди прочих целей, был направлен на «обнародование украденной информации в рамках кампании влияния и дезинформации, призванной подорвать, отомстить и иным образом лишить легитимности» усилия Мира . Антидопинговое агентство — международная антидопинговая организация, опубликовавшая доклад Макларена — доклад, в котором разоблачается широкомасштабное применение допинга российскими спортсменами, спонсируемое российским правительством . [85] Обвиняемым были предъявлены обвинения в компьютерном взломе , электронном мошенничестве , краже личных данных при отягчающих обстоятельствах и отмывании денег . [85]
В феврале 2019 года Microsoft объявила, что обнаружила целевые фишинговые атаки со стороны APT28, направленные на сотрудников Немецкого фонда Маршалла , Института Аспена в Германии и Немецкого совета по международным отношениям . [87] [88] Хакеры из группы якобы рассылали фишинговые электронные письма на 104 адреса электронной почты по всей Европе, пытаясь получить доступ к учетным данным работодателя и заразить сайты вредоносным ПО. [89] [90]
В 2020 году Чешское национальное агентство кибербезопасности и информационной безопасности иностранных дел , [91] скорее всего осуществленном Fancy Bear. [92]
сообщило об инциденте кибершпионажа в неназванном стратегическом учреждении, возможно, МинистерствеВ августе 2020 года норвежский стортинг сообщил о «серьезной кибератаке» на свою систему электронной почты. В сентябре 2020 года министр иностранных дел Норвегии Ине Мари Эриксен Сёрейде обвинила Россию в нападении. Служба безопасности норвежской полиции в декабре 2020 года пришла к выводу, что «анализ показывает, что вполне вероятно, что операция была проведена киберпреступником, которого в открытых источниках называют APT28 и Fancy Bear», и что «конфиденциальный контент был извлечен из некоторых затронутые учетные записи электронной почты.». [93]
Fancy Bear использует передовые методы, соответствующие возможностям государственных субъектов. [94] Они используют целевые фишинговые электронные письма, вредоносные веб-сайты, замаскированные под источники новостей, и уязвимости нулевого дня . Одна исследовательская группа по кибербезопасности отметила, что в 2015 году они использовали шесть различных эксплойтов нулевого дня — технический подвиг, который потребует от большого количества программистов поиска ранее неизвестных уязвимостей в новейшем коммерческом программном обеспечении. Это считается признаком того, что Fancy Bear — это государственная программа, а не банда или хакер-одиночка. [95] [96]
Одной из предпочтительных целей Fancy Bear являются веб-службы электронной почты. Типичный компромисс состоит в том, что пользователи электронной почты в Интернете получают электронное письмо с срочной просьбой сменить свои пароли, чтобы избежать взлома. В электронном письме будет ссылка на поддельный веб-сайт, который имитирует реальный интерфейс веб-почты. Пользователи попытаются войти в систему, а их учетные данные будут украдены. URL-адрес часто скрывается как сокращенная ссылка bit.ly [97] , чтобы обойти спам-фильтры . Fancy Bear рассылает эти фишинговые письма преимущественно по понедельникам и пятницам. Они также рассылают электронные письма, предположительно содержащие ссылки на новости, но вместо этого ссылаются на сайты, где размещаются вредоносные программы, которые устанавливают наборы инструментов на компьютер цели. [95] Fancy Bear также регистрирует домены, напоминающие законные веб-сайты, а затем создает подделку сайта, чтобы украсть учетные данные своих жертв. [65] Известно, что Fancy Bear ретранслирует свой командный трафик через прокси-сети жертв, которых он ранее скомпрометировал. [98]
Программное обеспечение, которое использовал Fancy Bear, включает ADVSTORESHELL, CHOPSTICK, JHUHUGIT и XTunnel. Fancy Bear использует ряд имплантатов, включая Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy и дропперы DownRange. [65] Основываясь на времени компиляции, компания FireEye пришла к выводу, что Fancy Bear постоянно обновляет свое вредоносное ПО с 2007 года. [98] Чтобы предотвратить обнаружение, Fancy Bear возвращается в среду, чтобы переключить свои имплантаты, изменить свои каналы управления и контроля , а также изменить свои постоянные методы. [94] Группа угроз применяет методы контранализа, чтобы запутать свой код . Они добавляют ненужные данные к закодированным строкам, что затрудняет декодирование без алгоритма удаления ненужных данных. [98] Fancy Bear принимает меры для предотвращения криминалистического анализа своих взломов, сбрасывая временные метки файлов и периодически очищая журналы событий. [65]
Согласно обвинительному заключению специального прокурора США, X-Agent «разрабатывался, настраивался и контролировался» капитаном-лейтенантом ГРУ Николаем Юрьевичем Козачеком. [2]
Известно, что Fancy Bear адаптирует имплантаты для целевых сред, например, перенастраивая их для использования локальных серверов электронной почты. [98] В августе 2015 года «Лаборатория Касперского» обнаружила и заблокировала версию имплантата ADVSTORESHELL, который использовался для нападения на оборонных подрядчиков. Через полтора часа после блока актеры Fancy Bear собрали и представили новый бэкдор для имплантата. [26]
Подразделение 26165 участвовало в разработке учебных программ в нескольких московских государственных школах, в том числе в школе 1101. [99]
Fancy Bear иногда создает онлайн-персонажей, чтобы посеять дезинформацию, отвести вину и создать правдоподобное отрицание своей деятельности. [100]
Интернет-персонаж, который впервые появился и взял на себя ответственность за взломы DNC в тот же день, когда появилась история о том, что за это несет ответственность Fancy Bear. [101] Guccifer 2.0 утверждает, что является румынским хакером, но в интервью журналу Motherboard им задавали вопросы на румынском языке , и они, похоже, не могли говорить на этом языке. [102] Некоторые документы, которые они опубликовали, по всей видимости, являются подделками, составленными из материалов предыдущих хакерских атак и общедоступной информации, а затем сдобренных дезинформацией. [102]
На веб-сайте, созданном для утечки документов, полученных в ходе атак ВАДА и ИААФ, был опубликован краткий манифест от 13 сентября 2016 года, в котором утверждалось, что сайт принадлежит «хакерской команде Fancy Bears», которая, по словам представителей компании, является «международной хакерской командой». которые «выступают за честную игру и чистый спорт». [103] Сайт взял на себя ответственность за взлом ВАДА и пообещал предоставить «сенсационные доказательства приема допинговых веществ известными спортсменами», начиная с олимпийской сборной США, которая, по его словам, «опозорила свое имя запятнанными победами». [103] ВАДА заявило, что некоторые из документов, просочившихся под этим именем, были подделками, и что данные были изменены. [104] [103]
Аккаунт в Твиттере под названием «Анонимная Польша» (@anpoland) взял на себя ответственность за атаку на Всемирное антидопинговое агентство [105] и опубликовал данные, украденные из Спортивного арбитражного суда , который является второстепенной целью. [106] [107] ThreatConnect поддерживает точку зрения, что Anonymous Польша является марионеткой Fancy Bear, отмечая изменение исторического акцента на внутренней политике. На снимке экрана, загруженном Anonymous Польша, показана учетная запись с настройками польского языка, но история их браузера показала, что они выполняли поиск в Google.ru (Россия) и Google.com (США), но не в Google.pl (Польша). . [106]
и собирает разведданные от имени российского правительства.
Русская тактика FANCY BEAR
По нашим оценкам, APT28, скорее всего, спонсируется правительством России.
Атаки «целевого фишинга», в ходе которых хакеры рассылают фальшивые электронные письма с целью заставить людей посетить веб-сайты, которые выглядят аутентичными, но на самом деле позволяют им проникнуть в корпоративные компьютерные системы своих жертв, были связаны с хакерской группой APT28, подразделением Российская военная разведка, вмешивавшаяся в выборы в США в 2016 году. Группа нацелилась на более чем 100 европейских сотрудников Немецкого фонда Маршалла, Института Аспена в Германии и Немецкого совета по международным отношениям — влиятельных групп, занимающихся вопросами трансатлантической политики.
Атаки на эти организации, которые мы раскрываем с их разрешения, были направлены на 104 аккаунта, принадлежащих сотрудникам организаций, расположенных в Бельгии, Франции, Германии, Польше, Румынии и Сербии. MSTIC продолжает расследовать источники этих атак, но мы уверены, что многие из них исходили от группы, которую мы называем Strontium. Атаки произошли в период с сентября по декабрь 2018 года. Когда мы обнаружили, что они стали целью, мы быстро уведомили каждую из этих организаций, чтобы они могли принять меры для защиты своих систем, а также приняли ряд технических мер для защиты клиентов от этих атак.