Fancy Bear

(перенаправлено с «APT28»)

Fancy Bearангл. — «Модный медведь»[1] или «Причудливый медведь»[2]) (также Fancy Bears, APT28, Sofacy, Pawn storm, Sednit и Strontium[3]) — хакерская группа. Действует с 2004 года[4]. Известна кибернетическими атаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов[5]. Американские специалисты по кибербезопасности связывают группу с российскими спецслужбами[6].

В 2018 году в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455[7][8]. В 2020 году Генпрокуратура ФРГ выдала ордер на арест Дмитрия Бадина, подозреваемого в совершении кибератаки на Бундестаг в 2015 году как участника Fancy Bear и сотрудника ГРУ[9][a]. Евросоюз и Великобритания ввели против 85-го Главного центра специальных служб ГРУ (ГРУ 26165, Fancy Bear) и Дмитрия Бадина санкции за кибератаки на Бундестаг (2015) и ОЗХО (2018)[10].

Оценки служб безопасностиПравить

Прозвище хакерской группе дал специалист по кибербезопасности Дмитрий Альперович из американской антивирусной компании CrowdStrike из-за использования группой «двух или более связанных инструментов/тактик для атаки на конкретную цель, схожих с шахматной стратегией»[11], известную как пешечный штурм. Он же дал прозвище другой хакерской группе — Cozy Bear, которую также связал с российскими спецслужбами[12].

Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа «Advanced Persistent Threat 28», члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash[13]. Документ со ссылкой на оперативные данные называет основой группы «государственного спонсора в Москве». В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса[14]. Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как «государственный шпионаж»[15], целями нападений которой также являются «СМИ или влиятельные лица»[16][17].

По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России взлому подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Партия народной свободы» и другие оппозиционеры, а также иностранные учёные, посещавшие российские вузы[4] В ходе атак Sednit использовали фишинговые атаки, письма с вирусами, вредоносные сайты и ранее неизвестные уязвимости в программах, используя большое количество созданных ими же инструментов. Аналогично FireEye, специалисты ESET отметили, что активность хакеров приходится на время с 9:00 до 17:00 по времени UTC+3 (совпадает с московским).

Приписываемые кибератакиПравить

ГерманияПравить

Федеральная служба защиты конституции Германии обвиняет Россию в кибератаках на правительственные учреждения Германии[5]. 13 мая 2016 года глава службы Ханс-Георг Маасен заявил, что именно Sofacy стояла за атаками на информационную систему Бундестага в 2015 году и за нападениями на Христианско-демократический союз Германии, лидером которого является канцлер Германии Ангела Меркель[18]. Целью атак был сбор конфиденциальной информации. Как сообщил Маасен, группа пыталась проникнуть в информационные системы Германии более десяти лет и всё это время германская контрразведка вела за ней наблюдение[5]. Кроме правительственных учреждений, целью кибератак становились электростанции и другие важные объекты промышленности и инфраструктуры[5].

В мае 2020 года Генеральная прокуратура Германии выдала ордер на арест россиянина Дмитрия Бадина как участника группы Fancy Bear и служащего ГРУ, подозреваемого в организации атаки на Бундестаг в 2015 году. 13 мая 2020 года канцлер Меркель заявила о наличии доказательств причастности России к кибератаке на Бундестаг в 2015 году. Меркель заявила, что эта атака была частью стратегии гибридной войны, к которой также относятся искажение фактов и дезориентация[19][20][9].

22 октября 2020 года Совет ЕС ввёл санкции против 85 Главного центра специальных служб ГРУ (Fancy Bear), офицера ГРУ Дмитрия Бадина и руководителя ГУ Генштаба Игоря Костюкова — за кибератаки, совершенные против парламента Германии в 2015 году и Организации по запрещению химического оружия в 2018 году[21].

ФранцияПравить

8 апреля 2015 года жертвой кибератаки стал французский телеканал TV5 Monde; вещание канала было прервано на три часа[22]. По первоначальной версии за атакой стояла хакерская группа CyberCaliphate, связанная с террористической организацией «Исламское государство». Однако впоследствии французские следователи высказали подозрение о том, что за атакой могла стоять группа Sofacy[23]. Премьер-министр Франции Мануэль Вальс назвал нападение «неприемлемым покушением на свободу информации»[24].

США и НАТОПравить

В августе 2015 года Sofacy совершила спуфинг-атаку на информационные системы Белого дома и НАТО. Хакеры использовали метод «фишинга» с ложным URL-адресом electronicfrontierfoundation.org[25][26].

Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear.[27]

Международные организацииПравить

WADA

Fancy Bear обвиняется во взломе сайта Всемирного антидопингового агентства в августе 2016 года. Взлом был совершён после того, как эта международная организация опубликовала отчёт, обвиняющий Россию в создании поддерживаемой государством системы применения допинга спортсменами[28].

В 2016 году Fancy Bear получили доступ к данным электронной системы ADAMS Всемирного антидопингового агентства и опубликовали на своём сайте часть материалов. В агентстве подтвердили подлинность материалов.

13 сентября на сайте хакерской группы был размещён первый список спортсменов с положительными допинг-пробами[29][30][31][32]. Всего было опубликовано пять списков[33] и переписка сотрудника Антидопингового агентства США о том, что в 2015 году более 200 спортсменов из США в терапевтических целях получили разрешение на использование запрещённых препаратов, считающихся допингом[34].

В январе 2018 года опубликовали переписку сотрудников Международного олимпийского комитета и WADA[35].

WindowsПравить

В начале ноября 2016 года компания Microsoft объявила о взломе новейшей версии ОС Windows. По мнению специалистов по кибербезопасности, взлом был совершён хакерской группой Strontium (Fancy Bear)[3].

См. такжеПравить

ПримечанияПравить

Примечания
  1. По мнению западных спецслужб, в сети действует также бригада Cozy Bear, входящая в структуру ФСБ России[2]
Сноски
  1. Кто такие Fancy Bears?
  2. 1 2 Три западные спецслужбы обвинили «кремлевских хакеров» в попытке украсть вакцину от Covid-19, BBC, 17.07.2020
  3. 1 2 «Why Windows hack is being blamed on Russia-linked group», BBC , 3.11.2016
  4. 1 2 Эксперты рассказали об атаках Fancy Bear на «Шалтай-Болтай» «Meduza», 20.10.2016
  5. 1 2 3 4 «Russia 'was behind German parliament hack'»
  6. Познакомьтесь с Cozy Bear и Fancy Bear — российскими группами, стоящими за взломом сети Национального комитета Демократической партии
  7. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Wired.com. Дата обращения: 4 октября 2018.
  8. Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США), Meduza (13 июля 2018). Дата обращения 17 ноября 2017.
  9. 1 2 Auswärtiges Amt. Auswärtiges Amt zum Hackerangriff auf den Deutschen Bundestag (нем.). Auswärtiges Amt. Дата обращения: 28 мая 2020.
  10. ЕС ввел санкции против начальника ГРУ и Fancy Bear — подразделения военной разведки России. Из-за кибератаки на бундестаг и Ангелу Меркель. meduza.io (22.10.20). Дата обращения: 22 октября 2020.
  11. Operation Pawn Storm: Using Decoys to Evade Detection. Trend Micro (2014).
  12. Российских хакеров обвинили во взломе сетей штаба Демократической партии
  13. Russian cyber attackers used two unknown flaws: security company, Reuters (18 апреля 2015).
  14. APT28 — State Sponsored Russian Hacker Group, The Hacker News (30 октября 2014).
  15. Meet APT28, Russian-backed malware for gathering intelligence from governments, militaries: Report, Tech Times (30 октября 2014).
  16. APT28: A Window into Russia's Cyber Espionage Operations?. FireEye (27 октября 2014).
  17. France: Russian hackers posed as ISIS to hack a French TV broadcaster, Business Insider (11 июня 2015).
  18. Russian Hackers Suspected In Cyberattack On German Parliament, London South East, Alliance News (19 июня 2015).
  19. Меркель не исключила санкций из-за атак «российских хакеров» на бундестаг. РБК. Дата обращения: 13 мая 2020.
  20. Deutsche Welle (www.dw.com). Посол РФ вызван в МИД Германии из-за кибератак на бундестаг | DW | 28.05.2020. DW.COM. Дата обращения: 28 мая 2020.
  21. ЕС ввел санкции против начальника ГРУ и Fancy Bear — подразделения военной разведки России. Из-за кибератаки на бундестаг и Ангелу Меркель (рус.) (22 октября 2020). Дата обращения 22 октября 2020.
  22. Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack, Daily Telegraph (9 апреля 2015). Дата обращения 10 апреля 2015.
  23. France probes Russian lead in TV5Monde hacking: sources, Reuters (10 июня 2015). Дата обращения 9 июля 2015.
  24. French media groups to hold emergency meeting after Isis cyber-attack, The Guardian (9 апреля 2015). Дата обращения 10 апреля 2015.
  25. Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House, Boing Boing (28 августа 2015).
  26. New Spear Phishing Campaign Pretends to be EFF. EFF (27 августа 2015).
  27. Елизавета Фохт. Ответственность за взлом сетей Демократической партии взял хакер-одиночка. РБК (16 июня 2016). Дата обращения: 25 июля 0116.
  28. Hyacinth Mascarenhas. Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say. International Business Times (23 августа 2016). Дата обращения: 25 августа 2016.
  29. Боксёр из РФ Миша Алоян сдал положительный допинг-тест в Рио — Хакеры
  30. Хакеры выложили новые документы о принимающих допинг спортсменах, в том числе о боксёре Алояне
  31. WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз
  32. Байлз заявила, что ей нечего стыдиться из-за применения лекарств от СДВГ
  33. Fancy Bears выложили пятую часть документов WADA
  34. Хакеры узнали о 200 американских спортсменах с разрешением на приём допинга
  35. Макларен оказался орудием против России

СсылкиПравить