Необычный медведь

Российская государственная группа кибершпионажа

Fancy Bear ^[b] — российская группа кибершпионажа . Фирма по кибербезопасности CrowdStrike заявила со средней степенью уверенности, что она связана с российским военным разведывательным агентством ГРУ . ^{[7] [8]} Министерство иностранных дел и по делам Содружества Великобритании ^[9], а также охранные фирмы SecureWorks ^[10] , ThreatConnect ^[11] и Mandiant ^{[12] также заявили, что группа спонсируется российским правительством. В 2018 году обвинительное заключение} Специального прокурора США идентифицировало Fancy Bear как подразделение ГРУ 26165 [ ^{5] [4]} Это относится к ее единому номеру воинской части полков российской армии. Штаб-квартира Fancy Bear и все военное подразделение, которое, как сообщается, специализируется на спонсируемых государством кибератаках и расшифровке взломанных данных, ^[13] подверглись атаке украинских беспилотников 24 июля 2023 года, в результате взрыва обрушилась крыша соседнего здания. ^{[14] [15]}

Fancy Bear классифицируется FireEye как продвинутая постоянная угроза . ^[12] Среди прочего, он использует эксплойты нулевого дня , фишинг и вредоносное ПО для компрометации целей. Группа продвигает политические интересы российского правительства и известна взломом электронной почты Демократического национального комитета с целью повлиять на исход президентских выборов в США в 2016 году.

Название «Fancy Bear» происходит от системы кодирования, которую использует исследователь безопасности Дмитрий Альперович для идентификации хакеров. ^[16]

Вероятно, действующая с середины 2000-х годов, методы Fancy Bear соответствуют возможностям государственных субъектов. Группа нацелена на правительственные, военные и силовые структуры, особенно на государства Закавказья и страны, входящие в НАТО . Считается, что Fancy Bear несет ответственность за кибератаки на немецкий парламент , норвежский парламент , французский телеканал TV5Monde , Белый дом , НАТО, Демократический национальный комитет , Организацию по безопасности и сотрудничеству в Европе и кампанию кандидата в президенты Франции Эммануэля Макрона . ^[17]

Отчеты об обнаружении и безопасности

22 октября 2014 года компания Trend Micro обозначила участников вредоносного ПО Sofacy как Operation Pawn Storm . ^[18] Название произошло от использования группой «двух или более связанных инструментов/тактик для атаки на определенную цель, аналогичной шахматной стратегии», ^[19] известной как Pawn Storm .

Компания сетевой безопасности FireEye опубликовала подробный отчет о Fancy Bear в октябре 2014 года. В отчете группа была обозначена как «Advanced Persistent Threat 28» (APT28) и описано, как хакерская группа использовала эксплойты нулевого дня операционной системы Microsoft Windows и Adobe Flash . ^[20] В отчете были обнаружены оперативные данные, указывающие на то, что источником является «правительственный спонсор, базирующийся в Москве». Доказательства, собранные FireEye, предполагают, что вредоносное ПО Fancy Bear было скомпилировано в основном в русскоязычной среде сборки и происходило в основном в рабочее время, параллельное московскому часовому поясу . ^[21] Директор FireEye по разведке угроз Лора Галанте назвала деятельность группы «государственным шпионажем» ^[22] и сказала, что целями также являются «СМИ или влиятельные лица». ^{[23] [24]}

Название «Fancy Bear» происходит от системы кодирования, которую компания Дмитрия Альперовича CrowdStrike использует для хакерских групп. «Bear» указывает на то, что хакеры из России. «Fancy» относится к «Sofacy», слову во вредоносной программе, которое напомнило аналитику, обнаружившему ее, песню Игги Азалии « Fancy ». ^[3]

Атаки

Целями Fancy Bear были правительства и военные страны Восточной Европы, страны Грузии и Кавказа , Украина, ^[25] организации, связанные с безопасностью, такие как НАТО , а также американские оборонные подрядчики Academi (ранее известные как Blackwater и Xe Services), Science Applications International Corporation (SAIC), ^[26] Boeing, Lockheed Martin и Raytheon. ^[25] Fancy Bear также атаковала граждан Российской Федерации, являющихся политическими врагами Кремля, включая бывшего нефтяного магната Михаила Ходорковского и Марию Алехину из группы Pussy Riot . ^[25] SecureWorks, фирма по кибербезопасности со штаб-квартирой в Соединенных Штатах, пришла к выводу, что с марта 2015 года по май 2016 года в список целей «Fancy Bear» входили не только Национальный комитет Демократической партии США и Национальный комитет Республиканской партии, ^[27] но и десятки тысяч врагов Путина и Кремля в Соединенных Штатах, Украине, России, Грузии и Сирии. Однако атаке подверглось лишь несколько республиканцев. ^[28] Анализ 4700 аккаунтов электронной почты, атакованных Fancy Bear, проведенный агентством AP, пришел к выводу, что ни одна страна, кроме России, не была бы заинтересована во взломе стольких совершенно разных целей, которые, казалось бы, не имеют ничего общего, кроме того, что они представляют интерес для российского правительства. ^[25]

Fancy Bear, по-видимому, также пытается влиять на политические события, чтобы друзья или союзники российского правительства пришли к власти.

В 2011–2012 годах вредоносным ПО Fancy Bear первого этапа был имплант «Sofacy» или SOURFACE. В течение 2013 года Fancy Bear добавила больше инструментов и бэкдоров, включая CHOPSTICK, CORESHELL, JHUHUGIT и ADVSTORESHELL. ^[29]

Нападения на журналистов

С середины 2014 года до осени 2017 года Fancy Bear преследовал многочисленных журналистов в США, Украине, России, Молдове, странах Балтии и других странах, которые писали статьи о Владимире Путине и Кремле. По данным Associated Press и SecureWorks, эта группа журналистов является третьей по величине группой, подвергшейся нападкам Fancy Bear после дипломатического персонала и американских демократов. Список целей Fancy Bear включает Адриана Чена , армянскую журналистку Марию Титизян, Элиота Хиггинса из Bellingcat , Эллен Барри и не менее 50 других репортеров New York Times , не менее 50 иностранных корреспондентов, работающих в Москве для независимых новостных агентств, Джоша Рогина , колумниста Washington Post , Шейна Харриса , автора Daily Beast , который в 2015 году освещал вопросы разведки, Майкла Вайса , аналитика по безопасности CNN, Джейми Кирчика из Brookings Institution , 30 целей для СМИ на Украине, многие из которых работали в Kyiv Post , репортеров, освещавших поддерживаемую Россией войну на востоке Украины , а также в России, где большинство журналистов, подвергшихся атакам хакеров, работали для независимых новостей (например, в «Новой газете» или «Ведомостях» ), таких как Екатерина Винокурова из Znak.com, и ведущих российских журналистов Тину Канделаки , Ксению Собчак и российского телеведущего Павла Лобков, все они работали на телеканале «Дождь» . ^[30]

Немецкие атаки (с 2014 года)

Fancy Bear, как полагают, несет ответственность за шестимесячную кибератаку на немецкий парламент , которая началась в декабре 2014 года. ^[31] 5 мая 2020 года немецкие федеральные прокуроры выдали ордер на арест Дмитрия Бадина в связи с атаками. ^[32] Атака полностью парализовала ИТ-инфраструктуру Бундестага в мае 2015 года. Чтобы разрешить ситуацию, весь парламент пришлось отключить на несколько дней. ИТ-эксперты подсчитали, что в ходе атаки из парламента было загружено в общей сложности 16 гигабайт данных. ^[33]

Группа также подозревается в организации фишинговой атаки в августе 2016 года на членов Бундестага и несколько политических партий, таких как лидер фракции Linken Сары Вагенкнехт , Юнге Юнион и ХДС Саара . ^{[34] [35] [36] [37] Власти опасались, что хакеры могут собрать конфиденциальную информацию, чтобы впоследствии} манипулировать общественностью перед выборами, такими как следующие федеральные выборы в Германии, которые должны были состояться в сентябре 2017 года. ^[34]

Угрозы смерти женам американских военнослужащих (10 февраля 2015 г.)

Пятеро жен американских военнослужащих получили угрозы смерти от хакерской группы, называющей себя «КиберХалифат», утверждающей, что она является филиалом Исламского государства, 10 февраля 2015 года. ^{[38] [39] [40] [41]} Позже выяснилось, что это была атака под ложным флагом со стороны Fancy Bear, когда адреса электронной почты жертв были обнаружены в списке целей фишинга Fancy Bear. ^[39] Российские тролли в социальных сетях также известны тем, что раздувают и распространяют слухи об угрозе потенциальных террористических атак Исламского государства на территории США, чтобы посеять страх и политическую напряженность. ^[39]

Взлом французского телевидения (апрель 2015 г.)

8 апреля 2015 года французская телевизионная сеть TV5Monde стала жертвой кибератаки хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она связана с террористической организацией «Исламское государство Ирака и Леванта » (ИГИЛ). Французские следователи позже отвергли теорию о том, что за кибератакой стояли воинствующие исламисты, заподозрив причастность Fancy Bear. ^[42]

Хакеры взломали внутренние системы сети, возможно, с помощью паролей, открыто транслируемых TV5, ^[43] перекрывая вещательную программу 12 каналов компании более чем на три часа. ^[44] Обслуживание было восстановлено лишь частично в ранние часы следующего утра, а обычные вещательные услуги были нарушены до конца 9 апреля. ^[44] Различные компьютеризированные внутренние административные и вспомогательные системы, включая электронную почту, также были отключены или иным образом недоступны из-за атаки. ^{[45] [44]} Хакеры также взломали страницы TV5Monde в Facebook и Twitter , чтобы разместить личную информацию родственников французских солдат, участвующих в действиях против ИГИЛ, а также сообщения с критикой президента Франсуа Олланда , утверждая, что террористические атаки января 2015 года были «подарками» за его «непростительную ошибку» участия в конфликтах, которые «[не служат] никакой цели». ^{[46] [44]}

Генеральный директор TV5Monde Ив Биго позже сказал, что атака едва не уничтожила компанию; если бы восстановление вещания заняло больше времени, спутниковые каналы распространения, скорее всего, расторгли бы свои контракты. Атака была разработана с целью разрушения как оборудования, так и самой компании, а не для пропаганды или шпионажа, как это было в случае большинства других кибератак. Атака была тщательно спланирована; первое известное проникновение в сеть произошло 23 января 2015 года. ^[47] Затем злоумышленники провели разведку TV5Monde, чтобы понять, как она транслирует свои сигналы, и создали специальное вредоносное программное обеспечение для повреждения и уничтожения подключенного к Интернету оборудования, которое контролировало работу телестанции, например, системы кодирования. Они использовали семь различных точек входа, не все из которых были частью TV5Monde или даже находились во Франции — одна из них была компанией, базирующейся в Нидерландах, которая поставляла дистанционно управляемые камеры, используемые в студиях TV5. ^[47] В период с 16 февраля по 25 марта злоумышленники собирали данные о внутренних платформах TV5, включая его IT Internal Wiki , и проверяли, что учетные данные для входа все еще действительны. ^[47] Во время атаки хакеры выполнили ряд команд, извлеченных из журналов TACACS , чтобы стереть прошивку с коммутаторов и маршрутизаторов . ^[47]

Хотя атака якобы исходила от ИГ, французское киберагентство попросило Биго сказать только то, что сообщения якобы были от ИГ. Позже ему сказали, что были найдены доказательства того, что нападавшими была группа российских хакеров APT 28. Не было найдено никаких причин для нападения на TV5Monde, и источник приказа атаковать и ее финансирование неизвестны. Было высказано предположение, что это, вероятно, была попытка протестировать формы кибероружия. Стоимость была оценена в €5 млн ($5,6 млн; £4,5 млн) в первый год, за которым последовали повторяющиеся ежегодные расходы более €3 млн ($3,4 млн; £2,7 млн) на новую защиту. Метод работы компании должен был измениться с аутентификацией электронной почты, проверкой флэш-накопителей перед вставкой и т. д., что значительно снизило эффективность для новостной медиакомпании, которая должна перемещать информацию. ^[48]

Отчет root9B (май 2015 г.)

Фирма по безопасности root9B опубликовала отчет о Fancy Bear в мае 2015 года, в котором сообщила об обнаружении целевой фишинговой атаки, направленной на финансовые учреждения. В отчете перечислены международные банковские учреждения, которые подверглись атакам, включая United Bank for Africa , Bank of America , TD Bank и UAE Bank. По данным root9B, подготовка к атакам началась в июне 2014 года, а используемое вредоносное ПО «носило особые сигнатуры, которые исторически были уникальны только для одной организации, Sofacy». ^[49] Журналист по безопасности Брайан Кребс усомнился в точности утверждений root9B, предположив, что атаки на самом деле исходили от нигерийских фишеров. ^[50] В июне 2015 года уважаемый исследователь безопасности Клаудио Гуарниери опубликовал отчет, основанный на его собственном расследовании параллельного эксплойта SOFACY против немецкого Бундестага ^[51] и приписал root9B сообщение о «том же IP-адресе, который использовался в качестве сервера управления и контроля при атаке на Бундестаг (176.31.112.10)», и продолжил, сказав, что на основе его исследования атаки на Бундестаг, «по крайней мере некоторые» индикаторы, содержащиеся в отчете root9B, оказались точными, включая сравнение хэша образца вредоносного ПО из обоих инцидентов. Позднее root9B опубликовал технический отчет, сравнивающий анализ Клаудио вредоносного ПО, приписанного SOFACY, с их собственным образцом, что добавило достоверности их первоначальному отчету. ^[52]

Пародия EFF, Белый дом и атака НАТО (август 2015 г.)

В августе 2015 года Fancy Bear использовал эксплойт нулевого дня Java , подделывая Electronic Frontier Foundation , и начал атаки на Белый дом и НАТО . Хакеры использовали фишинговую атаку, направляя электронные письма на ложный URL electronicfrontierfoundation.org. ^{[53] [54]}

Всемирное антидопинговое агентство (август 2016 г.)

В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных, которые якобы были официальными сообщениями ВАДА с просьбой предоставить данные для входа. После проверки двух доменов, предоставленных ВАДА, было обнаружено, что информация о регистрации и хостинге веб-сайтов соответствовала российской хакерской группе Fancy Bear. ^{[55] [56]} По данным ВАДА, некоторые из данных, опубликованных хакерами, были поддельными. ^[57]

Из-за доказательств широко распространенного употребления допинга российскими спортсменами ВАДА рекомендовало отстранить российских спортсменов от участия в Олимпийских и Паралимпийских играх 2016 года в Рио. Аналитики заявили, что, по их мнению, взлом был отчасти актом возмездия против российской спортсменки Юлии Степановой , разоблачившей допинг , чья личная информация была раскрыта в результате взлома. ^[58] В августе 2016 года ВАДА сообщило, что их системы были взломаны, объяснив, что хакеры из Fancy Bear использовали созданную Международным олимпийским комитетом (МОК) учетную запись для получения доступа к их базе данных Системы антидопингового администрирования и управления (ADAMS). ^[59] Затем хакеры использовали веб-сайт fancybear.net для утечки того, что, по их словам, было файлами олимпийского тестирования на наркотики нескольких спортсменов, получивших освобождение от терапевтического использования, включая гимнастку Симону Байлз , теннисисток Винус и Серену Уильямс и баскетболистку Елену Делле Донн . ^[60] Хакеры сосредоточились на спортсменах, которым ВАДА предоставило освобождение по разным причинам. Последующие утечки включали спортсменов из многих других стран. ^[59]

Совет по безопасности Нидерландов и Bellingcat

Элиот Хиггинс и другие журналисты, связанные с Bellingcat , группой, расследующей сбитие рейса 17 Malaysia Airlines над Украиной, подверглись многочисленным фишинговым письмам. Сообщения представляли собой поддельные уведомления о безопасности Gmail с сокращенными URL-адресами Bit.ly и TinyCC. По данным ThreatConnect , некоторые из фишинговых писем были отправлены с серверов, которые Fancy Bear использовала в предыдущих атаках в других местах. Bellingcat известна тем, что продемонстрировала, что Россия виновна в сбитии MH17, и часто высмеивается российскими СМИ. ^{[61] [62]}

Группа нацелилась на Dutch Safety Board , орган, проводящий официальное расследование крушения, до и после публикации окончательного отчета совета. Они создали поддельные SFTP- и VPN-серверы, чтобы имитировать собственные серверы совета, вероятно, с целью целевого фишинга имен пользователей и паролей. ^[63] Представитель DSB сказал, что атаки не увенчались успехом. ^[64]

Национальный комитет Демократической партии (2016)

Fancy Bear осуществил фишинговые атаки на адреса электронной почты, связанные с Национальным комитетом Демократической партии, в первом квартале 2016 года. ^{[65] [66]} 10 марта начали приходить фишинговые письма, которые были направлены в основном на старые адреса электронной почты сотрудников Демократической кампании 2008 года. Один из этих аккаунтов, возможно, содержал обновленные списки контактов. На следующий день фишинговые атаки распространились на закрытые адреса электронной почты высокопоставленных должностных лиц Демократической партии. Адреса Hillaryclinton.com были атакованы, но для доступа к ним требовалась двухфакторная аутентификация. Атака была перенаправлена ​​на аккаунты Gmail 19 марта. Аккаунт Gmail Подесты был взломан в тот же день, и было украдено 50 000 писем. Фишинговые атаки усилились в апреле, ^[66] хотя хакеры, похоже, внезапно стали неактивными в течение дня 15 апреля, который в России был праздником в честь военных служб радиоэлектронной борьбы. ^[67] Вредоносное ПО, использованное в атаке, отправляло украденные данные на те же серверы, которые использовались группой для атаки на немецкий парламент в 2015 году . ^[3]

14 июня CrowdStrike опубликовал отчет, в котором сообщалось о взломе DNC и в качестве виновников назывались Fancy Bear. Затем появилась онлайн-персона Guccifer 2.0 , которая взяла на себя исключительную ответственность за взлом. ^[68]

Другая сложная хакерская группа, приписываемая Российской Федерации, по прозвищу Cozy Bear , также присутствовала на серверах DNC в то же время. Однако обе группы, по-видимому, не знали друг о друге, поскольку каждая независимо украла одни и те же пароли и иным образом дублировала свои усилия. Cozy Bear, по-видимому, является другим агентством, еще одним, заинтересованным в традиционном долгосрочном шпионаже. ^[67] Криминалистическая группа CrowdStrike определила, что в то время как Cozy Bear находился в сети DNC более года, Fancy Bear находился там всего несколько недель. ^[3]

Украинская артиллерия

Зараженная версия приложения для управления гаубицей Д-30 якобы была распространена среди украинской артиллерии

По данным CrowdStrike , с 2014 по 2016 год группа использовала вредоносное ПО для Android, чтобы атаковать ракетные войска и артиллерию украинской армии . Они распространяли зараженную версию приложения для Android , изначальной целью которого было управление данными наведения для артиллерийских орудий Д-30 . Приложение, используемое украинскими офицерами, было загружено шпионским ПО X-Agent и размещено в Интернете на военных форумах. CrowdStrike изначально утверждала, что более 80% украинских гаубиц Д-30 были уничтожены в войне, что является самым высоким процентом потерь среди артиллерийских орудий в армии (процент, о котором ранее никогда не сообщалось, и который означал бы потерю почти всего арсенала крупнейшего артиллерийского орудия Вооруженных сил Украины ^[69] ). ^[70] По данным украинской армии, цифры CrowdStrike были неверными, и что потери в артиллерийском оружии «были намного ниже заявленных», и что эти потери «не имеют ничего общего с заявленной причиной». ^[71] CrowdStrike с тех пор пересмотрела этот отчет после того, как Международный институт стратегических исследований (IISS) дезавуировал свой первоначальный отчет, заявив, что взломы вредоносного ПО привели к потерям в размере 15–20%, а не изначальной цифры в 80%. ^[72]

Уязвимость нулевого дня Windows (октябрь 2016 г.)

31 октября 2016 года группа анализа угроз Google обнаружила уязвимость нулевого дня в большинстве версий Microsoft Windows , которая является объектом активных атак вредоносного ПО. 1 ноября 2016 года исполнительный вице-президент группы Windows and Devices компании Microsoft Терри Майерсон опубликовал в блоге Threat Research & Response блоге Microsoft, признав наличие уязвимости и объяснив, что «маломасштабная фишинговая кампания», нацеленная на конкретных пользователей, использовала «две уязвимости нулевого дня в Adobe Flash и ядре Windows нижнего уровня». Microsoft указала на Fancy Bear как на источник угрозы, назвав группу по ее внутреннему кодовому имени STRONTIUM . ^[73]

Голландские министерства (февраль 2017 г.)

В феврале 2017 года Служба общей разведки и безопасности (AIVD) Нидерландов сообщила , что Fancy Bear и Cozy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, сказал на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. ^[74]

На брифинге в парламенте министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. ^[75]

Взлом IAAF (февраль 2017 г.)

В апреле 2017 года должностные лица Международной ассоциации легкоатлетических федераций (IAAF) заявили, что ее серверы были взломаны группой «Fancy Bear». Атака была обнаружена фирмой по кибербезопасности Context Information Security, которая установила, что 21 февраля имел место несанкционированный удаленный доступ к серверам IAAF. IAAF заявила, что хакеры получили доступ к приложениям Therapeutic Use Exemption , необходимым для использования лекарств, запрещенных WADA. ^{[76] [77]}

Выборы в Германии и Франции (2016–2017)

Исследователи из Trend Micro в 2017 году опубликовали отчет, в котором описывались попытки Fancy Bear атаковать группы, связанные с предвыборными кампаниями Эммануэля Макрона и Ангелы Меркель . Согласно отчету, они атаковали кампанию Макрона с помощью фишинга и пытались установить вредоносное ПО на своем сайте. Французское правительственное агентство по кибербезопасности ANSSI подтвердило, что эти атаки имели место, но не смогло подтвердить ответственность APT28. ^{[78] Кампания} Марин Ле Пен , по-видимому, не была атакована APT28, что, возможно, указывает на предпочтение, которое Россия отдает ее кампании. Ранее Путин расхваливал выгоды для России в случае избрания Марин Ле Пен. ^[79]

В отчете говорится, что затем они нацелились на немецкий Фонд Конрада Аденауэра и Фонд Фридриха Эберта , группы, которые связаны с Христианско-демократическим союзом Ангелы Меркель и оппозиционной Социал-демократической партией , соответственно. Fancy Bear создала поддельные серверы электронной почты в конце 2016 года для отправки фишинговых писем со ссылками на вредоносное ПО. ^[80]

Международный олимпийский комитет (2018)

10 января 2018 года онлайн-персона «Fancy Bears Hack Team» слила то, что, по-видимому, было украдено. Электронные письма Международного олимпийского комитета (МОК) и Олимпийского комитета США , датированные концом 2016 - началом 2017 года, были слиты в отместку за отстранение МОК российских спортсменов от зимних Олимпийских игр 2018 года в качестве санкции за систематическую допинговую программу России . Атака напоминает более ранние утечки Всемирного антидопингового агентства (ВАДА). Неизвестно, являются ли электронные письма полностью подлинными, поскольку Fancy Bear уже не раз добавлял дезинформацию в украденные электронные письма. Способ атаки также неизвестен, но, вероятно, это был фишинг. ^{[81] [82]}

Эксперты по кибербезопасности также утверждают, что атаки, по всей видимости, были направлены на компанию по производству бутылок для профессиональных спортивных тестов на наркотики, известную как Berlinger Group. ^[83]

Шведская спортивная конфедерация

Шведская спортивная конфедерация сообщила, что Fancy Bear несет ответственность за атаку на ее компьютеры, целью которой были записи допинг-тестов спортсменов. ^[84]

Консервативные группы США (2018)

Компания-разработчик программного обеспечения Microsoft сообщила в августе 2018 года, что группа пыталась украсть данные из политических организаций, таких как Международный республиканский институт и аналитические центры Института Хадсона . Атаки были предотвращены, когда сотрудники службы безопасности Microsoft получили контроль над шестью сетевыми доменами . ^[85] В своем заявлении Microsoft сообщила, что «в настоящее время у нас нет доказательств того, что эти домены использовались в каких-либо успешных атаках до того, как DCU передал контроль над ними, и у нас нет доказательств, указывающих на личность конечных целей какой-либо запланированной атаки с участием этих доменов». ^[86]

Вселенский Патриархат и другие священнослужители (август 2018 г.)

Согласно отчету Associated Press за август 2018 года , Fancy Bear в течение многих лет атаковал электронную переписку должностных лиц Константинопольского Вселенского Патриархата во главе с Вселенским Патриархом Варфоломеем I. [ ^87] Публикация появилась в период обострения напряженности между Вселенским Патриархатом, старейшей из всех Восточных Православных Церквей , и Русской Православной Церковью (Московским Патриархатом) по вопросу полной церковной независимости ( автокефалии ) Православной Церкви в Украине , к которой стремится украинское правительство. В публикации цитируются эксперты, которые утверждают, что предоставление автокефалии Церкви в Украине подорвет власть и престиж Московского Патриархата и подорвет его претензии на транснациональную юрисдикцию. ^[87] Кибератаки также были направлены против православных христиан в других странах, а также против мусульман, иудеев и католиков в Соединенных Штатах, «Уммы», зонтичной группы украинских мусульман, папского нунция в Киеве и Иосифа Зисельса, который руководит Ассоциацией еврейских организаций и общин Украины. ^[87]

Обвинения в 2018 году

ФБР разыскивает плакат с изображением офицеров, обвиняемых в связях с Fancy Bear

В октябре 2018 года было обнародовано обвинительное заключение федерального большого жюри США из семи россиян, ^[c] все офицеры ГРУ, в связи с атаками. В обвинительном заключении говорится, что с декабря 2014 года по как минимум май 2018 года офицеры ГРУ сговорились проводить «постоянные и сложные компьютерные вторжения, затрагивающие граждан США, корпоративные структуры, международные организации и их соответствующих сотрудников, расположенных по всему миру, исходя из их стратегических интересов для российского правительства». ^{[88] [89]} Министерство юстиции США заявило, что заговор, среди прочего, был направлен на «публикацию украденной информации в рамках кампании влияния и дезинформации, призванной подорвать, отомстить и иным образом делегитимировать» усилия Всемирного антидопингового агентства , международной антидопинговой организации, опубликовавшей отчет Макларена , в котором разоблачалось широкомасштабное употребление допинга российскими спортсменами, спонсируемое российским правительством . ^[88] Обвиняемым были предъявлены обвинения во взломе компьютеров , мошенничестве с использованием электронных средств связи , краже личных данных при отягчающих обстоятельствах и отмывании денег . ^[88]

Атаки аналитических центров в 2019 году

В феврале 2019 года компания Microsoft объявила, что обнаружила фишинговые атаки со стороны APT28, направленные на сотрудников Немецкого фонда Маршалла , Института Аспена в Германии и Немецкого совета по международным отношениям . ^{[90] [91]} Хакеры из этой группы якобы отправляли фишинговые письма на 104 адреса электронной почты по всей Европе, пытаясь получить доступ к учетным данным работодателей и заразить сайты вредоносным ПО. ^{[92] [93]}

2019 стратегическое чешское учреждение

В 2020 году Чешское национальное агентство по кибербезопасности и информации  [cs] сообщило об инциденте кибершпионажа в неназванном стратегическом учреждении, возможно, в Министерстве иностранных дел ^[94] , скорее всего, осуществленном Fancy Bear. ^[95]

Нападение на норвежский парламент в 2020 году

В августе 2020 года норвежский стортинг сообщил о «существенной кибератаке» на свою систему электронной почты. В сентябре 2020 года министр иностранных дел Норвегии Ине Мари Эриксен Сёрейде обвинила в атаке Россию. Норвежская полицейская служба безопасности в декабре 2020 года пришла к выводу, что «анализы показывают, что, вероятно, операция была проведена киберпреступником, упоминаемым в открытых источниках как APT28 и Fancy Bear», и что «из некоторых затронутых учетных записей электронной почты был извлечен конфиденциальный контент». ^[96]

Характеристики и методы

Диаграмма, демонстрирующая процесс использования фишинга Grizzly Steppe (Fancy Bear и Cozy Bear )

Fancy Bear использует передовые методы, соответствующие возможностям государственных субъектов. ^[97] Они используют фишинговые письма, вредоносные веб-сайты, замаскированные под новостные источники, и уязвимости нулевого дня . Одна исследовательская группа по кибербезопасности отметила, что они использовали шесть различных эксплойтов нулевого дня в 2015 году, технический подвиг, который потребовал бы большого количества программистов, ищущих ранее неизвестные уязвимости в первоклассном коммерческом программном обеспечении. Это рассматривается как признак того, что Fancy Bear — это государственная программа, а не банда или хакер-одиночка. ^{[1] [98]}

Одной из предпочитаемых целей Fancy Bear являются веб-сервисы электронной почты. Типичная компрометация будет заключаться в том, что пользователи веб-почты получат электронное письмо с настоятельной просьбой сменить пароли, чтобы избежать взлома. Электронное письмо будет содержать ссылку на поддельный веб-сайт, который разработан для имитации настоящего интерфейса веб-почты, пользователи попытаются войти в систему, и их учетные данные будут украдены. URL-адрес часто скрыт как сокращенная ссылка bit.ly ^[99] для того, чтобы обойти спам-фильтры . Fancy Bear отправляет эти фишинговые письма в основном по понедельникам и пятницам. Они также отправляют электронные письма, предположительно содержащие ссылки на новостные статьи, но вместо этого ссылающиеся на сайты с вредоносным ПО, которые устанавливают наборы инструментов на компьютер цели. ^[1] Fancy Bear также регистрирует домены, которые напоминают настоящие веб-сайты, а затем создает поддельный сайт, чтобы украсть учетные данные у своих жертв. ^[68] Известно, что Fancy Bear ретранслирует свой командный трафик через прокси-сети жертв, которые он ранее скомпрометировал. ^[100]

Программное обеспечение, которое использовала Fancy Bear, включает ADVSTORESHELL, CHOPSTICK, JHUHUGIT и XTunnel. Fancy Bear использует ряд имплантов, включая Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy и дропперы DownRange. ^[68] На основе времени компиляции FireEye пришла к выводу, что Fancy Bear постоянно обновляет свое вредоносное ПО с 2007 года. ^[100] Чтобы избежать обнаружения, Fancy Bear возвращается в среду, чтобы переключить свои импланты, меняет свои каналы управления и контроля и модифицирует свои постоянные методы. ^[97] Группа угроз реализует методы контранализа, чтобы скрыть свой код . Они добавляют мусорные данные в закодированные строки, что затрудняет декодирование без алгоритма удаления мусора. ^[100] Fancy Bear принимает меры для предотвращения судебно-медицинского анализа своих взломов, сбрасывая временные метки в файлах и периодически очищая журналы событий. ^[68]

Согласно обвинительному заключению Специального прокурора США, X-Agent был «разработан, настроен и отслеживался» капитан-лейтенантом ГРУ Николаем Юрьевичем Козачеком. ^[4]

Известно, что Fancy Bear адаптирует импланты под целевые среды, например, перенастраивая их для использования локальных почтовых серверов. ^[100] В августе 2015 года «Лаборатория Касперского» обнаружила и заблокировала версию импланта ADVSTORESHELL, которая использовалась для атаки на подрядчиков в сфере обороны. Через полтора часа после блокировки участники Fancy Bear скомпилировали и предоставили новый бэкдор для импланта. ^[29]

Образование

Отряд 26165 участвовал в разработке учебной программы в нескольких московских государственных школах, включая школу 1101. ^[101]

Связанные персоны

Fancy Bear иногда создает онлайн-персоны, чтобы сеять дезинформацию, отвлекать от ответственности и создавать правдоподобное отрицание своей деятельности. ^[102]

Гуччифер 2.0

Онлайн-персона, которая впервые появилась и взяла на себя ответственность за взломы DNC в тот же день, когда появилась история о том, что Fancy Bear несет ответственность. ^[103] Guccifer 2.0 утверждает, что является румынским хакером, но когда он давал интервью журналу Motherboard , ему задавали вопросы на румынском языке , и он, по-видимому, не мог говорить на этом языке. ^[104] Некоторые опубликованные ими документы, по-видимому, являются подделками, слепленными из материалов предыдущих взломов и общедоступной информации, а затем приправленными дезинформацией. ^[104]

Команда хакеров Fancy Bears

Веб-сайт, созданный для утечки документов, полученных в результате атак на WADA и IAAF, был представлен с кратким манифестом от 13 сентября 2016 года, в котором говорилось, что сайт принадлежит «хакерской команде Fancy Bears», которая, по ее словам, является «международной хакерской командой», которая «выступает за честную игру и чистый спорт». ^[105] Сайт взял на себя ответственность за взлом WADA и пообещал предоставить «сенсационные доказательства приема допинговых веществ известными спортсменами», начиная с олимпийской сборной США, которая, по ее словам, «опозорила свое имя поддельными победами». ^[105] WADA заявило, что некоторые документы, опубликованные под этим именем, были подделками, и что данные были изменены. ^{[106] [105]}

Аноним Польша

Аккаунт в Twitter под названием «Anonymous Poland» (@anpoland) взял на себя ответственность за атаку на Всемирное антидопинговое агентство ^[107] и опубликовал данные, украденные из Спортивного арбитражного суда , вторичной цели. ^{[108] [109]} ThreatConnect поддерживает точку зрения, что Anonymous Poland является марионеткой Fancy Bear, отмечая изменение исторического фокуса на внутренней политике. Видеозапись снимка экрана, загруженная Anonymous Poland, показывает учетную запись с настройками польского языка, но история их браузера показывает, что они выполняли поиск в Google.ru (Россия) и Google.com (США), но не в Google.pl (Польша). ^[108]

Смотрите также

• BTC-e
• Кибервойна в России
• Дмитрий Сергеевич Бадин
• Русский шпионаж в США
• Участие России в смене режима
• Тролли из Ольгино
• Команда «Песчаный червь» — термин, используемый для обозначения отряда 74455.
• Заговор с целью взлома Америки

Примечания

1. По данным компании FireEye, занимающейся кибербезопасностью, Fancy Bear использует набор инструментов, который часто обновляется с 2007 года или, возможно, даже с 2004 года. ^[1] Trend Micro заявила, что может отследить деятельность Pawn Storm с 2004 года. ^[2]
2. Также известна как APT28 (от Mandiant ), Pawn Storm , Sofacy Group (от Kaspersky ), Sednit , Tsar Team (от FireEye ) и STRONTIUM или Forest Blizzard (от Microsoft ). ^{[4] [6]}
3. Алексей Сергеевич Моренец (Алексей Сергеевич Моренец), Евгений Михайлович Серебряков (Евгений Михайлович Серебряков), Иван Сергеевич Ермаков (Иван Сергеевич Ермаков), Артем Андреевич Малышев (Артём Андреевич Малышев), Дмитрий Сергеевич Бадин (Дмитрий Сергеевич Бадин), Олег Михайлович Сотников ( Олег Михайлович Сотников) и Алексей Валерьевич Минин (Алексей Валерьевич Минин).

Ссылки

1. Thielman, Sam; Ackerman, Spencer (29 июля 2016 г.). «Cozy Bear и Fancy Bear: взломали ли русские Демократическую партию и если да, то почему?». The Guardian . ISSN  0261-3077. Архивировано из оригинала 2016-12-15 . Получено 2016-12-12 .
2. Feike Hacquebord (2017). Два года Pawn Storm — изучение все более значимой угрозы (PDF) (Отчет). Trend Micro. Архивировано (PDF) из оригинала 2017-07-05 . Получено 2017-04-27 .
3. Уорд, Вики (24 октября 2016 г.). «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина». Esquire.com . Архивировано из оригинала 26 января 2018 г. Получено 13 декабря 2016 г.
4. Poulson, Kevin (21 июля 2018 г.). «Mueller Finally Solves Mysteries About Russia's „Fancy Bear“ Hackers». The Daily Beast . Архивировано из оригинала 23 июля 2018 г. . Получено 21 июля 2018 г. .
5. "Предъявление обвинений 12 российским хакерам может стать самым крупным шагом Мюллера". Wired . Архивировано из оригинала 13 июля 2018 г. Получено 4 октября 2018 г.
6. Димитрис Гритцалис, Марианти Теочариду, Джордж Стергиопулос (2019-01-10). Безопасность и устойчивость критической инфраструктуры: теории, методы, инструменты ... Springer, 2019. ISBN 9783030000240.
7. "МЕЖДУНАРОДНАЯ БЕЗОПАСНОСТЬ И ЭСТОНИЯ" (PDF) . Valisluureamet.ee . 2018. Архивировано из оригинала (PDF) 26 октября 2020 г. . Получено 4 октября 2018 г. .
8. «Встречайте Fancy Bear и Cozy Bear, российские группы, обвиняемые во взломе DNC». The Christian Science Monitor . 15 июня 2016 г. Архивировано из оригинала 8 апреля 2022 г. Получено 4 октября 2018 г.
9. Винтур, Патрик (3 октября 2018 г.). «Великобритания обвиняет Кремль в заказе серии «безрассудных» кибератак». The Guardian . Архивировано из оригинала 9 июля 2022 г. Получено 4 октября 2018 г.
10. Threat Group-4127 нацелилась на президентскую кампанию Хиллари Клинтон. Secureworks.com (отчет). 16 июня 2016 г. Архивировано из оригинала 20 июля 2016 г. Получено 22 декабря 2016 г. и собирает разведданные в интересах российского правительства.
11. "Российские кибероперации на стероидах". Threatconnect.com . 19 августа 2016 г. Архивировано из оригинала 23 декабря 2016 г. Получено 22 декабря 2016 г. Тактика российских FANCY BEAR
12. "APT28: Окно в российские операции кибершпионажа?". Fireeye.com . 27 октября 2016 г. Архивировано из оригинала 11 сентября 2016 г. Получено 1 сентября 2015 г. Мы оцениваем, что APT28, скорее всего, спонсируется российским правительством .
13. «Расследование в отношении российских воинских частей, занимающихся психологическими операциями (PSYOP) и хакерскими атаками — Molfar». molfar.com . Получено 24.07.2023 .
14. "Россия обвиняет Украину в атаках беспилотников в Москве – DW – 24.07.2023". dw.com . Получено 24.07.2023 .
15. Робин, Себастьен (25.07.2023). «Украинские беспилотники атаковали российских шпионов в Москве — и «это будет еще не все». ca.news.yahoo.com . Получено 04.05.2024 .
16. «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина». Esquire.com . 2016-10-24. Архивировано из оригинала 2018-01-26 . Получено 2017-05-07 .
17. Херн, Алекс (8 мая 2017 г.). «Хакеры Макрона связаны с группой, связанной с Россией и стоящей за атакой в ​​США». The Guardian . Архивировано из оригинала 13 апреля 2018 г. Получено 16 марта 2018 г.
18. Гоголински, Джим (22 октября 2014 г.). «Операция «Штурм пешек»: Красные в SEDNIT». Trend Micro. Архивировано из оригинала 8 сентября 2015 г. Получено 1 сентября 2015 г.
19. «Операция «Шторм пешек»: использование приманок для уклонения от обнаружения» (PDF) . Trend Micro. 2014. Архивировано (PDF) из оригинала 2016-09-13 . Получено 2015-09-01 .
20. Менн, Джозеф (18 апреля 2015 г.). «Российские киберпреступники использовали две неизвестные уязвимости: компания по безопасности». Reuters . Архивировано из оригинала 29 июня 2021 г. Получено 5 июля 2021 г.
21. Кумар, Мохит (30 октября 2014 г.). «APT28 — спонсируемая государством русская хакерская группа». The Hacker News . Архивировано из оригинала 22 октября 2015 г. Получено 1 сентября 2015 г.
22. Мамиит, Аарон (30 октября 2014 г.). «Встречайте APT28, вредоносное ПО, поддерживаемое Россией, для сбора разведданных от правительств и военных: отчет». Tech Times . Архивировано из оригинала 14 августа 2016 г. Получено 1 сентября 2015 г.
23. "APT28: Окно в российские операции по кибершпионажу?". FireEye.com . 27 октября 2014 г. Архивировано из оригинала 11 сентября 2016 г. Получено 1 сентября 2015 г.
24. Вайсман, Кейл Гатри (11 июня 2015 г.). «Франция: российские хакеры выдавали себя за ИГИЛ, чтобы взломать французскую телекомпанию». Business Insider . Архивировано из оригинала 16 августа 2016 г. Получено 1 сентября 2015 г.
25. Satter, Raphael; Donn, Jeff; Myers, Justin (2 ноября 2017 г.). «Цифровой список хитов показывает, что российские хакерские атаки вышли далеко за рамки выборов в США». Chicago Tribune . AP. Архивировано из оригинала 9 ноября 2017 г. Получено 10 ноября 2017 г.
26. Ядрон, Дэнни (28 октября 2014 г.). «Эксперты говорят, что хакерский след ведет в Россию». The Wall Street Journal . Архивировано из оригинала 19 мая 2017 г. Получено 7 марта 2017 г.
27. "Коми из ФБР: республиканцы также подверглись хакерской атаке со стороны России | CNN Politics". CNN . 10 января 2017 г.
28. SATTER, RAPHAEL; DONN, JEFF (1 ноября 2017 г.). «Российские хакеры преследовали врагов Путина, а не только американских демократов». US News & World Report . Associated Press . Архивировано из оригинала 12 декабря 2017 г. . Получено 2 ноября 2017 г. .
29. Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» (4 декабря 2015 г.). «Sofacy APT поражает высокопрофильные цели с обновленным набором инструментов — Securelist». Securelist . Архивировано из оригинала 27 мая 2017 г. . Получено 13 декабря 2016 г. .
30. «Российские хакеры охотились на журналистов в ходе многолетней кампании». Star-Advertiser . Гонолулу. Associated Press. 22 декабря 2017 г. Архивировано из оригинала 23 декабря 2017 г. Получено 23 декабря 2017 г.
31. "Российские хакеры подозреваются в кибератаке на немецкий парламент". London South East . Alliance News. 19 июня 2015 г. Архивировано из оригинала 7 марта 2016 г. Получено 1 сентября 2015 г.
32. "Германия выдала ордер на арест российского подозреваемого во взломе парламента: газета". The New York Times . Reuters. 5 мая 2020 г. Архивировано из оригинала 5 мая 2020 г. Получено 5 мая 2020 г.
33. Беннхольд, Катрин (13 мая 2020 г.). «Меркель «возмущена» российским взломом, но не может отреагировать». The New York Times . Архивировано из оригинала 14 мая 2020 г. Получено 14 мая 2020 г.
34. "Хакеры скрываются, сообщили парламентарии". Deutsche Welle. Архивировано из оригинала 21 апреля 2021 года . Получено 21 сентября 2016 года .
35. "Hackerangriff auf deutsche Parteien" . Зюддойче Цайтунг . Архивировано из оригинала 21 апреля 2021 года . Проверено 21 сентября 2016 г.
36. Холланд, Мартин (20 сентября 2016 г.). «Angeblich veruchter Hackerangriff auf Bundestag und Parteien». Хейзе. Архивировано из оригинала 1 апреля 2019 года . Проверено 21 сентября 2016 г.
37. "Wir haben Fingerabdrücke" . Франкфуртер Альгемайне . Архивировано из оригинала 22 марта 2019 года . Проверено 21 сентября 2016 г.
38. «Российские хакеры, выдававшие себя за боевиков ИГИЛ, угрожали женам военных». Talkingpointsmemo.com . 8 мая 2018 г. Архивировано из оригинала 12 июля 2018 г. Получено 4 октября 2018 г.
39. "Русские хакеры выдавали себя за ИГ, чтобы угрожать женам военных". Chicago Tribune . Архивировано из оригинала 12 июня 2018 года . Получено 7 июня 2018 года .
40. Браун, Дженнингс (8 мая 2018 г.). «Отчет: российские хакеры выдавали себя за ИГИЛ, чтобы атаковать американских военных жен». gizmodo.com . Архивировано из оригинала 12 июня 2018 г. . Получено 4 октября 2018 г. .
41. "Российские хакеры выдавали себя за ИГ, чтобы угрожать женам военных". Apnews.com . 8 мая 2018 г. Архивировано из оригинала 17 августа 2018 г. Получено 4 октября 2018 г.
42. "Франция расследует российское руководство взломом TV5Monde: источники". Reuters . 10 июня 2015 г. Архивировано из оригинала 19 января 2016 г. Получено 9 июля 2015 г.
43. Взломанная французская сеть раскрыла свои пароли во время телевизионного интервью. Архивировано 22 июля 2017 г. на Wayback Machine - arstechnica
44. «Хакеры ИГИЛ захватили контроль над французской сетью TV5Monde в результате «беспрецедентной» атаки». The Daily Telegraph . 9 апреля 2015 г. Архивировано из оригинала 9 апреля 2015 г. Получено 10 апреля 2015 г.
45. "Французские медиагруппы проведут экстренное совещание после кибератаки ИГИЛ". The Guardian . 9 апреля 2015 г. Архивировано из оригинала 10 апреля 2015 г. Получено 10 апреля 2015 г.
46. "Французская телесеть TV5Monde была "взломана киберхалифатом в ходе беспрецедентной атаки", которая раскрыла личные данные французских солдат". The Independent . 9 апреля 2015 г. Архивировано из оригинала 25 сентября 2015 г. Получено 9 апреля 2015 г.
47. Suiche, Matt (10 июня 2017 г.). "Уроки взлома TV5Monde 2015". Comae Technologies. Архивировано из оригинала 13 июня 2017 г.
48. Гордон Корера (10 октября 2016 г.). «Как французский телеканал TV5 едва не был уничтожен «русскими хакерами». BBC News . Архивировано из оригинала 25 июня 2018 г. Получено 21 июля 2018 г.
49. Уокер, Даниэль (13 мая 2015 г.). «APT28 организовала атаки на глобальный банковский сектор, фирма обнаружила». SC Magazine . Архивировано из оригинала 2 марта 2018 г. Получено 1 сентября 2015 г.
50. "Security Firm Redefines APT: African Phishing Threat". Krebs on Security. 20 мая 2015 г. Архивировано из оригинала 18 июля 2015 г. Получено 1 сентября 2015 г.
51. «Цифровая атака на немецкий парламент: отчет о расследовании взлома инфраструктуры левой партии в Бундестаге». netzpolitik.org . 19 июня 2015 г. Архивировано из оригинала 22 марта 2018 г. Получено 16 марта 2018 г.
52. "Ничего не найдено для Products Orkos Dfd" (PDF) . www.root9b.com . Архивировано (PDF) из оригинала 1 марта 2018 г. . Получено 4 октября 2018 г. .
53. Доктороу, Кори (28 августа 2015 г.). «Фишеры, подозреваемые в связях с российским правительством, подделывают поддельный домен EFF, атакуют Белый дом». Boing Boing . Архивировано из оригинала 22 марта 2019 г. . Получено 1 сентября 2015 г. .
54. Квинтин, Купер (27 августа 2015 г.). «Новая кампания целевого фишинга претендует на роль EFF». Eff.org . Архивировано из оригинала 7 августа 2019 г. Получено 1 сентября 2015 г.
55. Hyacinth Mascarenhas (23 августа 2016 г.). «Российские хакеры «Fancy Bear», вероятно, взломали Олимпийское агентство по тестированию на наркотики и DNC, говорят эксперты». International Business Times . Архивировано из оригинала 21 апреля 2021 г. Получено 13 сентября 2016 г.
56. "Что мы знаем о хакерской команде Fancy Bears". BBC News . Архивировано из оригинала 22 марта 2019 года . Получено 17 сентября 2016 года .
57. Галлахер, Шон (6 октября 2016 г.). «Исследователи находят поддельные данные в олимпийском антидопинговом отчете, Guccifer 2.0 Clinton dumps». Ars Technica . Архивировано из оригинала 14 июля 2017 г. Получено 26 октября 2016 г.
58. Тильман, Сэм (22 августа 2016 г.). «Одни и те же русские хакеры, вероятно, взломали Олимпийское агентство по тестированию на наркотики и DNC». The Guardian . Архивировано из оригинала 15 декабря 2016 г. Получено 11 декабря 2016 г.
59. Meyer, Josh (14 сентября 2016 г.). «Русские хакеры публикуют предполагаемые медицинские файлы Симоны Байлз, Серены Уильямс». NBC News . Архивировано из оригинала 7 мая 2020 г. . Получено 17 апреля 2020 г. .
60. "Американские спортсмены пойманы на допинге". Fancybear.net . 13 сентября 2016 г. Архивировано из оригинала 24 декабря 2017 г. Получено 2 ноября 2016 г.
61. Накашима, Эллен (28 сентября 2016 г.). «Российские хакеры преследовали журналистов, расследовавших крушение самолета Malaysia Airlines». The Washington Post . Архивировано из оригинала 23 апреля 2019 г. Получено 26 октября 2016 г.
62. ThreatConnect (28 сентября 2016 г.). "ThreatConnect рассматривает активность, направленную против Bellingcat, ключевого участника расследования MH17". ThreatConnect . Архивировано из оригинала 21 апреля 2021 г. . Получено 26 октября 2016 г. .
63. Feike Hacquebord (22 октября 2015 г.). «Pawn Storm Targets MH17 Investigation Team». Trend Micro . Архивировано из оригинала 10 ноября 2016 г. Получено 4 ноября 2016 г.
64. "Россия 'пыталась взломать систему расследования MH17'". AFP. 23 октября 2015 г. Архивировано из оригинала 21 августа 2018 г. Получено 4 ноября 2016 г.
65. Sanger, David E.; Corasaniti, Nick (14 июня 2016 г.). «DNC заявляет, что российские хакеры проникли в его файлы, включая досье на Дональда Трампа». The New York Times . Архивировано из оригинала 25 июля 2019 г. . Получено 26 октября 2016 г.
66. Satter, Raphael; Donn, Jeff; Day, Chad (4 ноября 2017 г.). «Inside story: How Russians hacked the Democrats' emails». AP News . Архивировано из оригинала 6 ноября 2017 г. Получено 10 ноября 2017 г.
67. "Медведь на медведе". The Economist . 22 сентября 2016 г. Архивировано из оригинала 20 мая 2017 г. Получено 14 декабря 2016 г.
68. Альперович, Дмитрий (15 июня 2016 г.). «Медведи в середине: вторжение в Национальный комитет Демократической партии»». Crowdstrike.com . Архивировано из оригинала 24 мая 2019 г. . Получено 13 декабря 2016 г. .
69. "Украинские военные отрицают российскую хакерскую атаку". Yahoo! News . 6 января 2017 г. Архивировано из оригинала 7 января 2017 г. Получено 6 января 2017 г.
70. Мейерс, Адам (22 декабря 2016 г.). «Danger Close: Fancy Bear Tracking of Ukrainian Field Artillery Units». Crowdstrike.com . Архивировано из оригинала 1 января 2017 г. Получено 22 декабря 2016 г.
71. "Минобороны опровергает сообщения о предполагаемых потерях артиллерии из-за взлома программного обеспечения российскими хакерами". Интерфакс-Украина . 6 января 2017 г. Архивировано из оригинала 7 января 2017 г. Получено 6 января 2017 г.
72. Кузьменко, Алексей; Кобус, Пит. «Cyber ​​Firm Rewrites Part of Disputed Russian Hacking Report» (Киберфирма переписывает часть спорного отчета о российском взломе). Voanews.com . Архивировано из оригинала 22 декабря 2021 г. Получено 26 марта 2017 г.
73. Галлахер, Шон (1 ноября 2016 г.). «Уязвимость нулевого дня Windows эксплуатируется той же группой, что и взломщик DNC». Ars Technica . Архивировано из оригинала 2 ноября 2016 г. Получено 2 ноября 2016 г.
74. Моддерколк, Хуиб (4 февраля 2017 г.). «Russen faalden bij hackpogingen ambtenaren op Nederlandse Ministrys». Де Фолькскрант (на голландском языке). Архивировано из оригинала 4 февраля 2017 года . Проверено 4 февраля 2017 г.
75. Клуски, Питер (3 февраля 2017 г.). «Голландцы перешли на ручной подсчет после сообщений о российском взломе». The Irish Times . Архивировано из оригинала 19 сентября 2020 г. Получено 20 февраля 2020 г.
76. Роджерс, Джеймс (3 апреля 2017 г.). «Международная легкоатлетическая организация IAAF взломана, предупреждает, что данные спортсменов могут быть скомпрометированы». Fox News . Архивировано из оригинала 17 мая 2017 г. Получено 14 мая 2017 г.
77. «IAAF заявляет, что ее взломали, доступ к медицинской информации спортсменов получен». Голос Америки. Associated Press. 3 апреля 2017 г. Архивировано из оригинала 17 мая 2017 г. Получено 14 мая 2017 г.
78. Эрик Ошар (24 апреля 2017 г.). «Кампания Макрона подверглась кибератакам со стороны связанной со шпионами группы». Reuters.com . Архивировано из оригинала 26 апреля 2017 г. Получено 27 апреля 2017 г.
79. Седдон, Макс; Стотард, Майкл (4 мая 2017 г.). «Путин ожидает возврата инвестиций Ле Пен». Financial Times . Архивировано из оригинала 5 мая 2017 г.
80. "Связанные с Россией хакеры атакуют немецкие политические фонды". Handelsblatt. 26 апреля 2017 г. Архивировано из оригинала 12 августа 2018 г. Получено 26 апреля 2017 г.
81. Мацакис, Луиза (10 января 2018 г.). «Краткое описание взлома: российские хакеры опубликовали электронные письма МОК в связи с запретом на проведение Олимпиады». Wired . Архивировано из оригинала 13 января 2018 г. Получено 12 января 2018 г.
82. Ребекка Р. Руис, Ребекка Русские хакеры публикуют украденные электронные письма в новой попытке подорвать авторитет следователей по допингу. Архивировано 13 января 2018 г. на Wayback Machine , The New York Times (10 января 2018 г.).
83. Ник Гриффин, Performanta,[1] Архивировано 06.02.2018 на Wayback Machine (26 января 2018 г.).
84. Джонсон, Саймон; Сванберг, Олоф (15 мая 2018 г.). Поллард, Никлас; Лоусон, Хью (ред.). «Шведский спортивный орган заявляет, что антидопинговый отдел подвергся хакерской атаке». Reuters . Архивировано из оригинала 25 мая 2018 г. Получено 24 мая 2018 г.
85. "Microsoft 'остановила российский политический взлом'". BBC News . 2018-08-21. Архивировано из оригинала 2018-08-21 . Получено 2018-08-21 .
86. Смит, Брэд (21 августа 2018 г.). «Мы предпринимаем новые шаги против расширения угроз демократии». Microsoft . Архивировано из оригинала 21 августа 2018 г. . Получено 22 августа 2018 г. .
87. Raphael Satter (27 августа 2018 г.). «Российские кибершпионы годами нацеливались на православное духовенство». Bloomberg. Associated Press. Архивировано из оригинала 29-08-2018 . Получено 28-08-2018 .
88. "США обвиняют российских офицеров ГРУ в международном хакерстве и связанных с этим операциях по влиянию и дезинформации" (пресс-релиз). Министерство юстиции США. Архивировано из оригинала 2018-10-04 . Получено 2018-11-28 .
89. Брэди, Скотт В. "Обвинительное заключение 7 Офицеры ГРУ_Октябрь 2018" (PDF) . Окружной суд США по Западному округу Пенсильвании . Архивировано (PDF) из оригинала 8 июня 2020 г. . Получено 8 июля 2018 г. .
90. Двоскин, Элизабет; Тимберг, Крейг (19 февраля 2019 г.). «Microsoft заявляет, что обнаружила еще одну российскую операцию, нацеленную на известные аналитические центры». The Washington Post . Архивировано из оригинала 22 февраля 2019 г. . Получено 22 февраля 2019 г. Атаки «целевого фишинга» — в ходе которых хакеры рассылают поддельные электронные письма, призванные обманом заставить людей посетить веб-сайты, которые выглядят подлинными, но на самом деле позволяют им проникнуть в корпоративные компьютерные системы своих жертв — были связаны с хакерской группой APT28, подразделением российской военной разведки, которое вмешалось в выборы в США в 2016 году. Группа нацелилась на более чем 100 европейских сотрудников Немецкого фонда Маршалла, Института Аспена в Германии и Немецкого совета по международным отношениям, влиятельных групп, которые сосредоточены на вопросах трансатлантической политики.
91. Берт, Том (20 февраля 2019 г.). "Новые шаги по защите Европы от продолжающихся киберугроз". Microsoft . Архивировано из оригинала 20 февраля 2019 г. . Получено 22 февраля 2019 г. . Атаки на эти организации, которые мы раскрываем с их разрешения, были нацелены на 104 аккаунта, принадлежащих сотрудникам организаций, расположенных в Бельгии, Франции, Германии, Польше, Румынии и Сербии. MSTIC продолжает расследовать источники этих атак, но мы уверены, что многие из них исходили от группы, которую мы называем Strontium. Атаки произошли в период с сентября по декабрь 2018 года. Мы быстро уведомили каждую из этих организаций, когда обнаружили, что они подверглись атакам, чтобы они могли принять меры по защите своих систем, и мы приняли ряд технических мер для защиты клиентов от этих атак.
92. Такер, Патрик (2019-02-20). «Российские атаки поразили электронные письма американо-европейских аналитических центров, заявляет Microsoft». Defense One . Архивировано из оригинала 2019-04-07 . Получено 2019-04-07 .
93. "Microsoft заявляет, что российские хакеры атаковали европейские аналитические центры". Bloomberg . 2019-02-20. Архивировано из оригинала 2019-04-07 . Получено 2019-04-07 .
94. "Киберуток на чешскую дипломатию, способствовавший гражданскому государству, потврдил Сенат НУКИБ" . iDNES.cz . 13 августа 2019 г. Архивировано из оригинала 06.11.2020 . Проверено 15 сентября 2020 г.
95. Zpráva o stavu kibernetické bezpečnosti České republiky za rok, 2019 (PDF) . НУКИБ. 2020. Архивировано (PDF) из оригинала 17 сентября 2020 г. Проверено 15 сентября 2020 г.
96. «Норвегия заявляет, что за кибератакой на парламент «вероятно» стоят российские группировки». 8 декабря 2020 г. Архивировано из оригинала 16 декабря 2020 г. Получено 15 декабря 2020 г.
97. Robinson, Teri (14 июня 2016 г.). «Русские хакеры получили доступ к файлам Трампа при взломе DNC». SC Magazine US . Архивировано из оригинала 20 декабря 2016 г. Получено 13 декабря 2016 г.
98. Клули, Грэм (20 октября 2016 г.). «Новая исследовательская работа ESET рассматривает Sednit под микроскопом». WeLiveSecurity . Архивировано из оригинала 25 октября 2016 г. Получено 26 октября 2016 г.
99. Френкель, Шира (15 октября 2016 г.). «Знакомьтесь, Fancy Bear, русская группа, взломавшая выборы в США». BuzzFeed . Архивировано из оригинала 15 июня 2018 г. Получено 2 ноября 2016 г.
100. "APT28: Окно в российские операции по кибершпионажу?" (PDF) . Fireeye.com . 2014. Архивировано из оригинала (PDF) 2017-01-10 . Получено 2016-12-13 .
101. Трояновский, Антон ; Накашима, Эллен ; Харрис, Шейн (28 декабря 2018 г.). «Как российское военное разведывательное управление стало тайной силой в дуэлях Путина с Западом». The Washington Post . Архивировано из оригинала 29 декабря 2018 г.
102. "Хактивисты против фейковистов: замаскированные Fancy Bears". Threatconnect.com . 13 декабря 2016 г. Архивировано из оригинала 20 декабря 2016 г. Получено 15 декабря 2016 г.
103. Кёблер, Джейсон (15 июня 2016 г.). «Guccifer 2.0 берет на себя ответственность за взлом DNC и публикует подтверждающие это документы». Motherboard . Архивировано из оригинала 4 ноября 2016 г. . Получено 3 ноября 2016 г. .
104. Франчески-Биккьераи, Лоренцо (4 октября 2016 г.). «Guccifer 2.0 обманывает нас по поводу его предполагаемого взлома Clinton Foundation». Motherboard . Архивировано из оригинала 4 ноября 2016 г. . Получено 3 ноября 2016 г. .
105. Бартлетт, Эван (26 марта 2018 г.). «Fancy Bears: Кто эта теневая хакерская группа, разоблачающая допинг, сокрытие информации и коррупцию в спорте?». The Independent. Архивировано из оригинала 25 мая 2018 г. Получено 24 мая 2018 г.
106. BBC (5 октября 2016 г.). «Данные о допинге Fancy Bears «могли быть изменены», заявляет WADA». BBC. Архивировано из оригинала 4 ноября 2016 г. Получено 3 ноября 2016 г.
107. Нэнс, Малкольм (2016). Заговор с целью взлома Америки: как кибершпионы Путина и WikiLeaks пытались украсть выборы 2016 года . Skyhorse Publishing. ISBN 978-1-5107-2333-7.
108. Cimpanu, Catalin (23 августа 2016 г.). "Russia Behind World Anti-Doping Agency & International Sports Court Hacks". Softpedia . Архивировано из оригинала 21 декабря 2016 г. Получено 15 декабря 2016 г.
109. "Взломан сайт Всемирного антидопингового агентства; утечка тысяч аккаунтов". HackRead . 12 августа 2016 г. Архивировано из оригинала 20 декабря 2016 г. Получено 15 декабря 2016 г.

Внешние ссылки

• «Отчет Microsoft Security Intelligence: Strontium». Центр защиты от вредоносных программ Microsoft. 15 ноября 2015 г.