Fancy Bear - Fancy Bear

"STRONTIUM" omdirigerer her. For annen bruk, se Strontium (disambiguation) .
Fancy Bear
Formasjon c. 2004–2007
Type Avansert vedvarende trussel
Hensikt Cyberespionage , cyberwarfare
Region
Russland
Metoder Null dager , spearphishing , malware
Offisielt språk
Russisk
Foreldreorganisasjon
 GRU
Tilknytninger Koselig bjørn
Tidligere kalt
 APT28
Pawn Storm
Sofacy Group
Sednit
STRONTIUM
Tsar Team
Threat Group-4127
Grizzly Steppe (kombinert med Cozy Bear )

Jobb bjørn (også kjent som APT28 (av Mandiant ), Bonde Storm , Sofacy Gruppe (ved Kaspersky ), Sednit , Tsar-teamet (ved FireEye ) og strontium (av Microsoft )) er en russisk cyberspionasje gruppe. Cybersecurity firmaet CrowdStrike har sagt med et middels nivå av tillit til at det er forbundet med det russiske militære etterretningsbyrå GRU . Storbritannias utenriks- og samveldskontor samt sikkerhetsfirmaene SecureWorks , ThreatConnect og Fireeye 's Mandiant har også sagt at gruppen er sponset av den russiske regjeringen. I 2018 identifiserte en tiltale fra USAs spesialråd Fancy Bear som GRU Unit 26165 .

Navnet "Fancy Bear" kommer fra en kodingsystems sikkerhetsforsker Dmitri Alperovitch bruker for å identifisere hackere.

Trolig operert siden midten av 2000-tallet, er Fancy Bears metoder i samsvar med evnene til statlige aktører. Gruppen retter seg mot regjerings-, militær- og sikkerhetsorganisasjoner, spesielt transkaukasiske og NATO -tilrettelagte stater. Fancy Bear antas å være ansvarlig for cyberangrep på det tyske parlamentet , det norske parlamentet , den franske TV-stasjonen TV5Monde , Det hvite hus , NATO, Den demokratiske nasjonale komiteen , Organisasjonen for sikkerhet og samarbeid i Europa og kampanjen for Den franske presidentkandidaten Emmanuel Macron .

Gruppen fremmer de politiske interessene til den russiske regjeringen, og er kjent for å ha hacket e -post fra Den demokratiske nasjonale komiteen for å prøve å påvirke utfallet av presidentvalget i USA 2016.

Fancy Bear er klassifisert av Fireeye som en avansert vedvarende trussel . Blant annet bruker den null-dagers utnyttelser, spydfishing og skadelig programvare for å kompromittere mål.

Funn- og sikkerhetsrapporter

Trend Micro utpekte aktørene bak Sofacy malware som Operation Pawn Storm 22. oktober 2014. Navnet skyldtes gruppens bruk av "to eller flere tilkoblede verktøy/taktikker for å angripe et bestemt mål som ligner på sjakkstrategien", kjent som pantestorm .

Nettverkssikkerhetsfirmaet FireEye ga ut en detaljert rapport om Fancy Bear i oktober 2014. Rapporten betegnet gruppen som "Advanced Persistent Threat 28" (APT28) og beskrev hvordan hackingsgruppen brukte null-dagers utnyttelser av Microsoft Windows- operativsystemet og Adobe Flash . Rapporten fant operative detaljer som indikerer at kilden er en "regjeringssponsor med base i Moskva". Bevis samlet inn av FireEye antydet at Fancy Bears skadelige programvare hovedsakelig ble samlet i et russiskspråklig bygningsmiljø og forekom hovedsakelig i arbeidstiden parallelt med Moskvas tidssone . FireEye -direktør for trusseletterretning Laura Galante omtalte gruppens aktiviteter som "statlig spionasje" og sa at målene også inkluderer "media eller påvirkere".

Navnet "Fancy Bear" er avledet fra kodingssystemet som Dmitri Alperovitch bruker for hackergrupper. "Bjørn" indikerer at hackerne er fra Russland. Fancy refererer til "Sofacy", et ord i skadelig programvare som minnet analytikeren som fant det, om Iggy Azaleas sang " Fancy ".

Angrep

Fancy Bears mål har inkludert østeuropeiske regjeringer og militærer, Georgia og Kaukasus , Ukraina, sikkerhetsrelaterte organisasjoner som NATO , samt amerikanske forsvarskontraktører Academi (tidligere kjent som Blackwater og Xe Services), Science Applications International Corporation (SAIC), Boeing, Lockheed Martin og Raytheon. Fancy Bear har også angrepet borgere i Russland som er politiske fiender av Kreml, inkludert den tidligere oljemagnaten Mikhail Khodorkovsky og Maria Alekhina fra bandet Pussy Riot . SecureWorks, et cybersikkerhetsfirma med hovedkontor i USA, konkluderte med at fra mars 2015 til mai 2016 inkluderte mållisten "Fancy Bear" ikke bare USAs demokratiske nasjonale komité, men titusenvis av fiender til Putin og Kreml i USA, Ukraina, Russland, Georgia og Syria. Bare en håndfull republikanere ble imidlertid målrettet. En AP -analyse av 4700 e -postkontoer som hadde blitt angrepet av Fancy Bear konkluderte med at intet annet land enn Russland ville være interessert i å hacke så mange veldig forskjellige mål som ikke syntes å ha noe annet til felles enn at de var av interesse for den russiske regjeringen.

Fancy Bear ser også ut til å prøve å påvirke politiske hendelser for at venner eller allierte til den russiske regjeringen skal få makten.

I 2011–2012 var Fancy Bears malware i første trinn "Sofacy" eller SOURFACE-implantatet. I løpet av 2013 la Fancy Bear til flere verktøy og bakdører, inkludert CHOPSTICK, CORESHELL, JHUHUGIT og ADVSTORESHELL.

Angrep på fremtredende journalister i Russland, USA, Ukraina, Moldova, Baltikum og andre steder

Fra midten av 2014 til høsten 2017 målrettet Fancy Bear en rekke journalister i USA, Ukraina, Russland, Moldova, Baltikum og andre land som hadde skrevet artikler om Vladimir Putin og Kreml. Ifølge Associated Press og SecureWorks er denne gruppen journalister den tredje største gruppen Fancy Bear målrettet etter diplomatisk personell og amerikanske demokrater. Fancy Bears målrettede liste inkluderer Adrian Chen , den armenske journalisten Maria Titizian, Eliot HigginsBellingcat , Ellen Barry og minst 50 andre New York Times -reportere , minst 50 utenlandske korrespondenter med base i Moskva som jobbet for uavhengige nyhetssteder, Josh Rogin , en Washington Post -spaltist, Shane Harris , en Daily Beast -forfatter som i 2015 dekket etterretningsspørsmål, Michael Weiss , en sikkerhetsanalytiker på CNN, Jamie Kirchick med Brookings Institution , 30 mediemål i Ukraina, mange ved Kyiv Post , journalister som dekket russeren -støttet krig i Øst -Ukraina , så vel som i Russland hvor flertallet av journalister som ble hacket av hackere jobbet for uavhengige nyheter (f.eks. Novaya Gazeta eller Vedomosti ) som Ekaterina VinokurovaZnak.com og vanlige russiske journalister Tina Kandelaki , Ksenia Sobchak , og det russiske tv -ankeret Pavel Lobkov , som alle jobbet for Dozhd .

Tyske angrep (fra 2014)

Fancy Bear antas å ha vært ansvarlig for et seks måneder langt cyberangrep på det tyske parlamentet som begynte i desember 2014. 5. mai 2020 utstedte tyske føderale påtalemyndigheter en arrestordre på Dimitri Badin i forbindelse med angrepene. Angrepet lammet fullstendig forbundsdagens IT -infrastruktur i mai 2015. For å løse situasjonen måtte hele parlamentet være frakoblet i flere dager. IT -eksperter anslår at totalt 16 gigabyte data ble lastet ned fra parlamentet som en del av angrepet.

Gruppen mistenkes også for å stå bak et spydfiskeangrep i august 2016 mot medlemmer av Forbundsdagen og flere politiske partier som Linken -fraksjonsleder Sahra Wagenknecht , Junge Union og CDU i Saarland . Myndighetene fryktet at sensitiv informasjon kunne samles inn av hackere for senere å manipulere offentligheten i forkant av valg, for eksempel Tysklands neste føderale valg som skulle holdes i september 2017.

Amerikanske militærkoners dødstrusler (10. februar 2015)

Fem koner til amerikansk militærpersonell mottok dødstrusler fra en hackergruppe som kalte seg "CyberCaliphate", som hevdet å være en islamsk stat, den 10. februar 2015. Dette ble senere oppdaget som et falskt flaggangrep av Fancy Bear, da ofrenes e -postadresser ble funnet å ha vært på Fancy Bear phishing -mållisten. Russiske sosiale medier -troll har også vært kjent for å ha hype og rykter som forverrer trusselen om potensielle terrorangrep fra Islamsk Stat på amerikansk jord for å så frykt og politisk spenning.

Fransk tv -hack (april 2015)

April 2015 ble det franske TV-nettverket TV5Monde utsatt for et cyberangrep av en hackergruppe som kalte seg "CyberCaliphate" og hevdet å ha bånd til terrororganisasjonen Islamic State of Iraq and the Levant (ISIL). Franske etterforskere diskonterte senere teorien om at militante islamister sto bak cyberangrepet, i stedet mistenkte involvering av Fancy Bear.

Hackere brøt nettverkets interne systemer, muligens hjulpet av passord åpent sendt av TV5, og overstyrte kringkastingsprogrammeringen av selskapets 12 kanaler i over tre timer. Tjenesten ble bare delvis gjenopprettet tidlig på morgenen etter og vanlige kringkastingstjenester ble avbrutt sent i 9. april. Ulike datastyrte interne administrative og støttesystemer, inkludert e-post, ble også fortsatt stengt eller på annen måte utilgjengelige på grunn av angrepet. Hackerne kapret også TV5Mondes Facebook- og Twitter -sider for å legge ut personlig informasjon om slektninger til franske soldater som deltok i aksjoner mot ISIS, sammen med meldinger som var kritiske til president François Hollande , og hevdet at terrorangrepene i januar 2015 var "gaver" for hans "utilgivelige feil" "å delta i konflikter som" [tjener] ingen hensikt ".

Generaldirektøren for TV5Monde, Yves Bigot, sa senere at angrepet nesten ødela selskapet; hvis det hadde tatt lengre tid å gjenopprette kringkasting, hadde satellittdistribusjonskanaler sannsynligvis kansellert kontraktene sine. Angrepet var designet for å være ødeleggende, både for utstyr og for selskapet selv, i stedet for for propaganda eller spionasje, slik det hadde vært tilfelle for de fleste andre cyberangrep. Angrepet var nøye planlagt; den første kjente penetrasjonen av nettverket var 23. januar 2015. Angriperne utførte deretter rekognosering av TV5Monde for å forstå måten det sendte sine signaler på, og konstruerte skreddersydd ondsinnet programvare for å ødelegge og ødelegge internett-tilkoblet maskinvare som kontrollerte TV -stasjonens operasjoner, for eksempel kodersystemene. De brukte syv forskjellige inngangspunkter, ikke alle en del av TV5Monde eller til og med i Frankrike - det ene var et selskap med base i Nederland som leverte de fjernstyrte kameraene som ble brukt i TV5s studioer. Mellom 16. februar og 25. mars samlet angriperne data på interne TV5 -plattformer, inkludert IT Internal Wiki , og bekreftet at påloggingsinformasjon fortsatt var gyldig. Under angrepet kjørte hackerne en rekke kommandoer hentet fra TACACS -logger for å slette fastvaren fra brytere og rutere .

Selv om angrepet påstås å være fra IS, sa Frankrikes cyberbyrå Bigot til bare å si at meldingene hevdet å være fra IS. Han ble senere fortalt at det var funnet bevis på at angriperne var APT 28 -gruppen av russiske hackere. Det ble ikke funnet noen grunn til målsetting av TV5Monde, og kilden til ordren om angrep og finansiering for den er ikke kjent. Det har blitt spekulert i at det sannsynligvis var et forsøk på å teste former for nettvåpen. Kostnaden ble estimert til € 5m ($ 5,6m; £ 4,5m) det første året, etterfulgt av gjentagende årlige kostnader på over € 3m ($ 3,4m; £ 2,7m) for ny beskyttelse. Selskapets arbeidsmåte måtte endres, med autentisering av e -post, kontroll av flash -stasjoner før innsetting, og så videre, på betydelig skade for effektiviteten for et nyhetsmedieselskap som må flytte informasjon.

root9B -rapport (mai 2015)

Sikkerhetsfirmaet root9B ga ut en rapport om Fancy Bear i mai 2015, der de kunngjorde oppdagelsen av et målrettet angrep mot spydfishing rettet mot finansinstitusjoner. Rapporten oppførte internasjonale bankinstitusjoner som var målrettet, inkludert United Bank for Africa , Bank of America , TD Bank og UAE Bank. I følge root9B startet forberedelsene til angrepene i juni 2014, og skadelig programvare som ble brukt "bar spesifikke signaturer som historisk sett har vært unike for bare en organisasjon, Sofacy." Sikkerhetsjournalist Brian Krebs satte spørsmålstegn ved nøyaktigheten i root9Bs påstander, og antok at angrepene faktisk stammer fra nigerianske phishere. I juni 2015 publiserte den respekterte sikkerhetsforskeren Claudio Guarnieri en rapport basert på hans egen undersøkelse av en samtidig SOFACY -tilskrevet utnyttelse mot den tyske forbundsdagen og kreditert root9B for å ha rapportert, "den samme IP -adressen som ble brukt som Command & Control -server i angrepet mot Forbundsdagen (176.31.112.10) ", og fortsatte med å si at basert på hans undersøkelse av Bundestag -angrepet, så" i det minste noen "indikatorer i root9B -rapporten ut til å være nøyaktige, inkludert en sammenligning av hashen til skadelig programvare fra begge hendelsene. root9B publiserte senere en teknisk rapport der Claudios analyse av SOFACY ble tilskrevet skadelig programvare til sin egen prøve, noe som økte sannheten i den opprinnelige rapporten.

EFF -forfalskning, Det hvite hus og NATO -angrep (august 2015)

I august 2015 Jobb bjørn brukt en zero-day utnytte av Java , etterligning av Electronic Frontier Foundation og lansere angrep på hvite hus og NATO . Hackerne brukte et spyd -phishing -angrep, og sendte e -post til den falske nettadressen electronicfrontierfoundation.org.

World Anti-Doping Agency (august 2016)

I august 2016 rapporterte World Anti-Doping Agency om mottak av phishing- e-postmeldinger som ble sendt til brukere av databasen som hevdet å være offisiell WADA-kommunikasjon som ba om påloggingsinformasjon. Etter å ha gjennomgått de to domenene levert av WADA, ble det funnet at nettstedets registrerings- og hostinginformasjon var i samsvar med den russiske hackergruppen Fancy Bear. Ifølge WADA var noen av dataene hackerne ga ut, blitt forfalsket.

På grunn av bevis på utbredt doping fra russiske idrettsutøvere , anbefalte WADA at russiske idrettsutøvere ble forhindret fra å delta i Rio -OL i 2016 og Paralympics. Analytikere sa at de trodde hackingen delvis var en gjengjeldelse mot den varslende russiske friidrettsutøveren Yuliya Stepanova , hvis personlige informasjon ble utgitt i bruddet. I august 2016 avslørte WADA at systemene deres hadde blitt brutt, og forklarte at hackere fra Fancy Bear hadde brukt en internasjonal olympisk komité (IOC) -opprettet konto for å få tilgang til databasen Anti-doping Administration and Management System (ADAMS). Hackerne brukte deretter nettstedet fancybear.net til å lekke det de sa var de olympiske stofftestfilene til flere idrettsutøvere som hadde mottatt fritak for terapeutisk bruk, inkludert gymnast Simone Biles , tennisspillere Venus og Serena Williams og basketballspiller Elena Delle Donne . Hackerne finjusterte idrettsutøvere som av WADA hadde fått unntak av forskjellige årsaker. Påfølgende lekkasjer inkluderte idrettsutøvere fra mange andre land.

Dutch Safety Board og Bellingcat

Eliot Higgins og andre journalister tilknyttet Bellingcat , en gruppe som forsker på nedskytingen av Malaysia Airlines Flight 17 over Ukraina, ble målrettet av en rekke e -postmeldinger. Meldingene var falske Gmail sikkerhetsforskriftene med Bit.ly og TinyCC forkortede nettadresser. I følge ThreatConnect hadde noen av phishing -e -postene stammer fra servere som Fancy Bear hadde brukt i tidligere angrep andre steder. Bellingcat er kjent for å ha demonstrert at Russland er skyldig i nedskytingen av MH17, og blir ofte hånet av russiske medier.

Gruppen målrettet det nederlandske sikkerhetsstyret , organet som utførte den offisielle undersøkelsen av krasjet, før og etter utgivelsen av styrets sluttrapport. De konfigurerte falske SFTP- og VPN -servere for å etterligne brettets egne servere, sannsynligvis med det formål å spearphishing brukernavn og passord. En talsmann for DSB sa at angrepene ikke var vellykkede.

Den demokratiske nasjonale komiteen (2016)

Fancy Bear utførte spyd -phishing -angrep på e -postadresser knyttet til Den demokratiske nasjonale komiteen i første kvartal 2016. 10. mars begynte phishing -e -postmeldinger som hovedsakelig var rettet mot gamle e -postadresser til demokratiske kampanjeansatte i 2008. En av disse kontoene kan ha gitt oppdaterte kontaktlister. Dagen etter utvidet phishing-angrep seg til de ikke-offentlige e-postadressene til høytstående embetsmenn i Det demokratiske partiet. Hillaryclinton.com -adresser ble angrepet, men krevde tofaktorautentisering for tilgang. Angrepet ble omdirigert mot Gmail -kontoer 19. mars. Podestas Gmail -konto ble brutt samme dag, med 50 000 e -poster stjålet. Phishing -angrepene intensiverte seg i april, selv om hackerne plutselig så ut til å bli inaktive for dagen 15. april, som i Russland var en høytid til ære for militærets elektroniske krigføringstjenester. Den skadelige programvaren som ble brukt i angrepet sendte stjålne data til de samme serverne som ble brukt for gruppens angrep på 2015 på det tyske parlamentet .

14. juni ga CrowdStrike ut en rapport som offentliggjorde DNC -hacket og identifiserte Fancy Bear som synderne. En online persona, Guccifer 2.0 , dukket deretter opp, og hevdet den eneste æren for bruddet.

En annen sofistikert hackergruppe som ble tilskrevet Den russiske føderasjonen, kallenavnet Cozy Bear , var også til stede på DNCs servere samtidig. Imidlertid syntes de to gruppene å være uvitende om den andre, ettersom hver av dem uavhengig stjal de samme passordene og ellers dupliserte innsatsen. Cozy Bear ser ut til å være et annet byrå, en mer interessert i tradisjonell langsiktig spionasje. Et kriminalteknisk team fra CrowdStrike bestemte at mens Cozy Bear hadde vært på DNCs nettverk i over et år, hadde Fancy Bear bare vært der noen uker.

Ukrainsk artilleri

En infisert versjon av en app for å kontrollere D-30 Howitzer ble angivelig distribuert til det ukrainske artilleriet
Se også: Russisk militær intervensjon i Ukraina (2014 - i dag)

I følge CrowdStrike fra 2014 til 2016 brukte gruppen Android malware for å målrette mot den ukrainske hærens rakettstyrker og artilleri . De distribuerte en infisert versjon av en Android- app hvis opprinnelige formål var å kontrollere målrettingsdata for D-30 Howitzer- artilleriet. Appen, som ble brukt av ukrainske offiserer, ble lastet med X-Agent- spionprogrammer og lagt ut online på militære fora. CrowdStrike hevdet opprinnelig at mer enn 80% av ukrainske D-30 Howitzers ble ødelagt i krigen, det høyeste prosentvise tapet av noen artilleribiter i hæren (en prosentandel som aldri hadde blitt rapportert tidligere og ville bety tap av nesten hele arsenalet av det største artilleristykket fra den ukrainske væpnede styrken ). I følge den ukrainske hæren var CrowdStrikes tall feil og at tap i artillerivåpen "var langt under de rapporterte" og at disse tapene "ikke har noe å gjøre med den oppgitte årsaken". CrowdStrike har siden revidert denne rapporten etter at International Institute for Strategic Studies (IISS) avviste sin opprinnelige rapport, og hevdet at hacking av malware resulterte i tap på 15–20% i stedet for deres opprinnelige tall på 80%.

Windows zero-day (oktober 2016)

31. oktober 2016 avslørte Googles trusselanalysegruppe et null-dagers sårbarhet i de fleste Microsoft Windows- versjoner som er gjenstand for aktive malware-angrep. November 2016 postet Microsofts visepresident i Windows and Devices Group Terry Myerson til Microsofts trusselforsknings- og responsblogg, og anerkjente sårbarheten og forklarte at en "lavvolum-spydfiskekampanje" rettet mot spesifikke brukere hadde brukt "to null-dagers sårbarheter i Adobe Flash og Windows-kjernen på lavere nivå. " Microsoft pekte på Fancy Bear som trusselsaktøren, og refererte til gruppen med sitt interne kodenavn STRONTIUM .

Nederlandske departementer (februar 2017)

I februar 2017 avslørte General Intelligence and Security Service (AIVD) i Nederland at Fancy Bear og Cozy Bear hadde gjort flere forsøk på å hacke seg inn i nederlandske departementer, inkludert generaldepartementet , de siste seks månedene. Rob Bertholee , leder for AIVD, sa på EenVandaag at hackerne var russiske og hadde prøvd å få tilgang til hemmelige regjeringsdokumenter.

I en orientering til parlamentet kunngjorde den nederlandske innenriks- og riksministeren Ronald Plasterk at stemmer for det nederlandske stortingsvalget i mars 2017 ville bli talt for hånd.

IAAF hack (februar 2017)

Tjenestemennene i International Association of Athletics Federations (IAAF) uttalte i april 2017 at serverne hadde blitt hacket av gruppen "Fancy Bear". Angrepet ble oppdaget av cybersikkerhetsfirmaet Context Information Security som identifiserte at en uautorisert fjerntilgang til IAAFs servere hadde funnet sted 21. februar. IAAF uttalte at hackerne hadde fått tilgang til Therapeutic Use Exemption -applikasjonene, som trengs for å bruke medisiner som er forbudt av WADA.

Tysk og fransk valg (2016–2017)

Se også: Fransk presidentvalg, 2017 ; Tysk forbundsvalg, 2017 ; og Macron e-postlekkasjer i 2017

Forskere fra Trend Micro ga i 2017 ut en rapport som beskriver forsøk fra Fancy Bear på målgrupper relatert til valgkampanjene til Emmanuel Macron og Angela Merkel . I følge rapporten målrettet de Macron -kampanjen med phishing og forsøk på å installere skadelig programvare på nettstedet deres. Den franske regjeringen cybersikkerhetsbyrå ANSSI bekreftet at angrepene fant sted, men kunne ikke bekrefte APT28s ansvar. Marine Le Pens kampanje ser ikke ut til å ha blitt målrettet av APT28, noe som muligens indikerer russisk preferanse for kampanjen hennes. Putin hadde tidligere spilt fordelene for Russland hvis Marine Le Pen ble valgt.

Rapporten sier at de deretter målrettet tyske Konrad Adenauer Foundation og Friedrich Ebert Foundation , grupper som er tilknyttet henholdsvis Angela Merkels Kristelig demokratiske union og opposisjonens sosialdemokratiske parti . Fancy Bear konfigurerte falske e -postservere i slutten av 2016 for å sende phishing -e -post med lenker til skadelig programvare.

Den internasjonale olympiske komité (2018)

Januar 2018 lekket "Fancy Bears Hack Team" online persona det som syntes å være stjålet fra Den internasjonale olympiske komité (IOC) og Den amerikanske olympiske komitees e -post, datert fra slutten av 2016 til begynnelsen av 2017, i tilsynelatende gjengjeldelse for IOCs forbud av russiske idrettsutøvere fra vinter -OL 2018 som en sanksjon for Russlands systematiske dopingprogram . Angrepet ligner tidligere lekkasjer fra World Anti-Doping Agency (WADA). Det er ikke kjent om e -postene er fullt autentiske, på grunn av Fancy Bears historie med salting av stjålne e -poster med desinformasjon. Angrepsmåten var heller ikke kjent, men var sannsynligvis phishing.

Cyber ​​Security -eksperter har også hevdet at angrep også ser ut til å ha vært rettet mot det profesjonelle tappingfirmaet for sportstest, kjent som Berlinger Group.

Svensk idrettsforbund

Det svenske idrettsforbundet rapporterte at Fancy Bear var ansvarlig for et angrep på datamaskinene, som var rettet mot registreringer av idrettsutøveres dopingtester.

Amerikas konservative grupper (2018)

Programvareselskapet Microsoft rapporterte i august 2018 at gruppen hadde forsøkt å stjele data fra politiske organisasjoner som International Republican Institute og Hudson Institute tenketanker . Angrepene ble motarbeidet da Microsofts sikkerhetspersonell vant kontroll over seks nettdomener . I sin kunngjøring ga Microsoft beskjed om at "vi for øyeblikket ikke har bevis på at disse domenene ble brukt i vellykkede angrep før DCU overførte kontrollen over dem, og vi har heller ikke bevis for å indikere identiteten til de endelige målene for et planlagt angrep som involverer disse domenene".

Det økumeniske patriarkat og andre presteskap (august 2018)

Ifølge august 2018 rapport fra Associated Press , hadde Jobb bjørn vært i år rettet mot e-post korrespondanse av tjenestemenn i Konstantinopel-patriarkatet ledet av den økumeniske patriark Bartolomeus jeg . Publikasjonen dukket opp i en tid med økte spenninger mellom Det økumeniske patriarkatet, den eldste av alle de østortodokse kirker og den russisk -ortodokse kirken (Moskva -patriarkatet) om spørsmålet om full kirkelig uavhengighet ( autocephaly ) for den ortodokse kirken i Ukraina , ettertraktet av den ukrainske regjeringen. Publikasjonen siterte eksperter for at tildeling av autocefali til kirken i Ukraina ville tære på makten og prestisjen til Moskva -patriarkatet og ville undergrave dets påstander om transnasjonal jurisdiksjon. Cyberangrep rettet også ortodokse kristne i andre land, så vel som muslimer, jøder og katolikker i USA, Ummah, en paraplygruppe for ukrainske muslimer, pavelig nuncio i Kiev og Yosyp Zisels, som leder Ukrainas sammenslutning av jødiske organisasjoner og samfunn.

Anklager i 2018

FBI ønsket plakat av offiserer tiltalt i forbindelse med Fancy Bear

I oktober 2018 ble en tiltale fra en amerikansk føderal storjury mot syv russiske menn, alle GRU -offiserer, i forbindelse med angrepene uforseglet. I tiltalen heter det at fra desember 2014 til minst mai 2018 sammensluttet GRU -offiserene seg for å gjennomføre "vedvarende og sofistikerte datamaskininnbrudd som påvirker amerikanske personer, foretak, internasjonale organisasjoner og deres respektive ansatte rundt om i verden, basert på deres strategiske interesse for å den russiske regjeringen. " Det amerikanske justisdepartementet uttalte at konspirasjonen blant andre mål hadde til hensikt "å offentliggjøre stjålet informasjon som en del av en innflytelses- og desinformasjonskampanje som er designet for å undergrave, gjengjelde mot og ellers delegitimere" innsatsen fra World Anti-Doping Agency , en internasjonal antidopingorganisasjon som hadde publisert McLaren Report , en rapport som avslørte omfattende doping av russiske idrettsutøvere sponset av den russiske regjeringen . De tiltalte ble siktet for datamaskinhacking , bedrageri , grovt identitetstyveri og hvitvasking av penger .

2019 tenketankangrep

I februar 2019 kunngjorde Microsoft at det hadde oppdaget spear-phishing-angrep fra APT28, rettet mot ansatte i det tyske Marshallfondet , Aspen Institute Germany og det tyske rådet for utenriksrelasjoner . Hackere fra gruppen sendte angivelig phishing-e-post til 104 e-postadresser over hele Europa i et forsøk på å få tilgang til arbeidsgivers legitimasjon og infisere nettsteder med skadelig programvare.

2019 strategisk tsjekkisk institusjon

I 2020 rapporterte tsjekkiske nasjonale cyber- og informasjonssikkerhetsbyrå  [ cs ] cyber -spionasjehendelse i en ikke navngitt strategisk institusjon, muligens UD , som mest sannsynlig ble utført av Fancy Bear.

2020 arrestordre fra tyske myndigheter

I 2020 utnevnte tyske tjenestemenn Dimitri Badin , en offiser i GRU og mistenkt medlem av APT28, som hovedmistenkt for cyberangrepene på Forbundsdagen fra 2015. Ifølge det tyske nyhetsmagasinet Der Spiegel , etterforskere fra Federal Criminal Police Office ( BKA) har tydeliggjort Badins identitet i omhyggelig detaljert arbeid. BKA og Federal Office for Information Security (BSI) var også involvert. Cyberforsvarseksperter fra Federal Office for the Protection of the Constitution (BfV), som behandlet de virtuelle bevegelsene til de russiske angriperne på en overvåket server, spilte også en viktig rolle.

Norges parlamentsangrep 2020

I august 2020 informerte Stortinget om "et betydelig cyberangrep" på deres e-postsystem.

I september 2020 anklaget Norges utenriksminister , Ine Marie Eriksen Søreide Russland for angrepet.

Politiets sikkerhetstjeneste konkluderte i desember 2020 med at "Analysene viser at det er sannsynlig at aksjonen ble utført av cyberaktøren omtalt i åpne kilder som APT28 og Fancy Bear," og "og at" sensitivt innhold er hentet fra noen av de berørte e -postkontoene. ".

Kjennetegn og teknikker

Diagram som viser Grizzly Steppes (Fancy Bear and Cozy Bear ) prosess for å bruke spydfishing

Fancy Bear bruker avanserte metoder som er i samsvar med mulighetene til statlige aktører. De bruker spyd-phishing- e-post, malware slipper nettsteder forkledd som nyhetskilder og null-dagers sårbarheter. En forskningsgruppe for cybersikkerhet bemerket bruken av ikke mindre enn seks forskjellige null-dagers utnyttelser i 2015, en betydelig teknisk bragd som ville kreve et stort antall programmerere som søker etter tidligere ukjente sårbarheter i toppen av kommersiell programvare. Dette er et tegn på at Fancy Bear er et statlig program og ikke en gjeng eller en ensom hacker.

Et av Fancy Bears foretrukne mål er nettbaserte e-posttjenester. Et typisk kompromiss vil bestå av at nettbaserte e-postbrukere raskt mottar en e-post som ber dem om å endre passord for å unngå hacking. E -posten vil inneholde en lenke til et forfalsket nettsted som er designet for å etterligne et ekte webmail -grensesnitt, brukere vil prøve å logge inn og legitimasjonen deres blir stjålet. URL -adressen er ofte skjult som en forkortet bit.ly -lenke for å komme forbi spamfiltre . Fancy Bear sender disse phishing -e -postene først og fremst på mandager og fredager. De sender også e -postmeldinger som angivelig inneholder koblinger til nyhetsartikler, men kobler i stedet til malware som slipper nettsteder som installerer verktøysett på målets datamaskin. Fancy Bear registrerer også domener som ligner legitime nettsteder, og lager deretter en forfalskning av nettstedet for å stjele legitimasjon fra ofrene. Fancy Bear har vært kjent for å videresende sin kommandotrafikk gjennom proxy -nettverk av ofre som den tidligere har kompromittert.

Programvare som Fancy Bear har brukt inkluderer ADVSTORESHELL, CHOPSTICK, JHUHUGIT og XTunnel. Fancy Bear bruker en rekke implantater, inkludert Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy og DownRange-droppere. Basert på kompileringstider konkluderte FireEye med at Fancy Bear konsekvent har oppdatert skadelig programvare siden 2007. For å avverge oppdagelse, returnerer Fancy Bear til miljøet for å bytte implantater, endrer kommando- og kontrollkanaler og endrer de vedvarende metodene. Trusselgruppen implementerer motanalyseteknikker for å skjule koden . De legger til søppeldata i kodede strenger, noe som gjør avkodingen vanskelig uten algoritmen for fjerning av søppel. Fancy Bear iverksetter tiltak for å forhindre rettsmedisinsk analyse av hackene, tilbakestille tidsstempler på filer og periodisk slette hendelsesloggene.

I følge en tiltale fra USAs spesialrådgiver, ble X-Agent "utviklet, tilpasset og overvåket" av GRU-løytnant kaptein Nikolay Yuryevich Kozachek.

Fancy Bear har vært kjent for å skreddersy implantater for målmiljøer, for eksempel å konfigurere dem på nytt for å bruke lokale e -postservere. I august 2015 oppdaget og blokkerte Kaspersky Lab en versjon av ADVSTORESHELL -implantatet som hadde blitt brukt til å målrette mot forsvarskontraktører. Halvannen time etter blokken hadde Fancy Bear -skuespillerne samlet og levert en ny bakdør for implantatet.

utdanning

Enhet 26165 var involvert i utformingen av læreplanen ved flere offentlige skoler i Moskva, inkludert skole 1101.

Relaterte personas

Fancy Bear lager noen ganger online personas for å så desinformasjon, avlede skylden og skape en sannsynlig benektelse for deres aktiviteter.

Guccifer 2.0

Hovedartikkel: Guccifer 2.0

En online persona som først dukket opp og påtok seg ansvaret for DNC -hackene samme dag som historien brøt om at Fancy Bear var ansvarlig. Guccifer 2.0 hevder å være en rumensk hacker, men da de ble intervjuet av Motherboard -magasinet, ble de stilt spørsmål på rumensk og syntes ikke å kunne snakke språket. Noen dokumenter de har gitt ut ser ut til å være forfalskninger broket sammen av materiale fra tidligere hack og offentlig tilgjengelig informasjon, deretter saltet med desinformasjon.

Fancy Bears 'Hack Team

Et nettsted som ble opprettet for å lekke dokumenter tatt i WADA- og IAAF -angrepene, ble fremmet med et kort manifest datert 13. september 2016, der det ble erklært at nettstedet eies av "Fancy Bears 'hack -team", som det sa er et "internasjonalt hack -team" som "står for fair play og ren sport". Nettstedet tok ansvar for å hacke WADA og lovet at det ville gi "oppsiktsvekkende bevis på at kjente idrettsutøvere tar dopingmidler", med begynnelse fra det amerikanske olympiske laget, som det sa "vanæret navnet sitt ved besmitte seire". WADA sa at noen av dokumentene som lekket under dette navnet var forfalskninger, og at dataene var blitt endret.

Anonymt Polen

En Twitter- konto ved navn "Anonym Polen" (@anpoland) påtok seg ansvaret for angrepet på World Anti-Doping Agency og ga ut data stjålet fra Court of Arbitration for Sport , et sekundært mål. ThreatConnect støtter oppfatningen om at Anonymous Poland er en sokkepuppet av Fancy Bear, og legger merke til endringen fra et historisk fokus på intern politikk. En skjermbildevideo lastet opp av Anonym Polen viser en konto med polske språkinnstillinger, men nettleserhistorikken deres viste at de hadde gjort søk i Google.ru (Russland) og Google.com (USA), men ikke i Google.pl (Polen) .

Se også

Merknader

1. ^ Ifølge cybersikkerhetsfirmaet FireEye bruker Fancy Bear en pakke med verktøy som har blitt oppdatert ofte siden 2007 eller kanskje til og med 2004. Trend Micro sa at de kan spore aktivitetene til Pawn Storm tilbake til 2004.
2. ^ Aleksei Sergeyevich Morenets (Моренец Алексей Сергеевич), Evgenii Mikhaylovich Serebriakov, Ivan Sergeyevich Yermakov (Ермаков Иван Сергеевич), Artem Andreyevich Malyshev (Малышев Артём Андреевич), Dmitriy Sergeyevich Badin (Бадин Дмитрий Сергеевич, Oleg Mikhaylovich Sotnikov (Олег Михайлович Сотников) , Alexey Valerevich Minin (Алексей Валерьевич Минин).

Referanser

Eksterne linker