Fancy Bear

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Fancy Bearангл. — «Модный медведь»[1] или «Причудливый медведь»[2]) (также Fancy Bears, APT28, Sofacy, Pawn storm, Sednit и Strontium[3]) — хакерская группа. Действует с 2004 года[4]. Известна кибернетическими атаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов[5]. Американские специалисты по кибербезопасности связывают группу с российскими спецслужбами[6].

В 2018 году в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455[7][8]. В 2020 году Генпрокуратура ФРГ выдала ордер на арест Дмитрия Бадина, подозреваемого в совершении кибератаки на Бундестаг в 2015 году как участника Fancy Bear и сотрудника ГРУ[9][a]. Евросоюз и Великобритания ввели против 85-го Главного центра специальных служб ГРУ (ГРУ 26165, Fancy Bear) и Дмитрия Бадина санкции за кибератаки на Бундестаг (2015) и ОЗХО (2018)[10].

Оценки служб безопасности[править | править код]

Прозвище хакерской группе дал специалист по кибербезопасности Дмитрий Альперович из американской антивирусной компании CrowdStrike из-за использования группой «двух или более связанных инструментов/тактик для атаки на конкретную цель, схожих с шахматной стратегией»[11], известную как пешечный штурм. Он же дал прозвище другой хакерской группе — Cozy Bear, которую также связал с российскими спецслужбами[12].

Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа «Advanced Persistent Threat 28», члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash[13]. Документ со ссылкой на оперативные данные называет основой группы «государственного спонсора в Москве». В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса[14]. Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как «государственный шпионаж»[15], целями нападений которой также являются «СМИ или влиятельные лица»[16][17].

По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России взлому подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Партия народной свободы» и другие оппозиционеры, а также иностранные учёные, посещавшие российские вузы[4]. В ходе атак Sednit использовали фишинговые атаки, письма с вирусами, вредоносные сайты и ранее неизвестные уязвимости в программах, используя большое количество созданных ими же инструментов. Аналогично FireEye, специалисты ESET отметили, что активность хакеров приходится на время с 9:00 до 17:00 по времени UTC+3 (совпадает с московским).

Приписываемые кибератаки[править | править код]

Германия[править | править код]

Федеральная служба защиты конституции Германии обвиняет Россию в кибератаках на правительственные учреждения Германии[5]. 13 мая 2016 года глава службы Ханс-Георг Маасен заявил, что именно Sofacy стояла за атаками на информационную систему Бундестага в 2015 году и за нападениями на Христианско-демократический союз Германии, лидером которого является канцлер Германии Ангела Меркель[18]. Целью атак был сбор конфиденциальной информации. Как сообщил Маасен, группа пыталась проникнуть в информационные системы Германии более десяти лет и всё это время германская контрразведка вела за ней наблюдение[5]. Кроме правительственных учреждений, целью кибератак становились электростанции и другие важные объекты промышленности и инфраструктуры[5].

В мае 2020 года Генеральная прокуратура Германии выдала ордер на арест россиянина Дмитрия Бадина как участника группы Fancy Bear и служащего ГРУ, подозреваемого в организации атаки на Бундестаг в 2015 году. 13 мая 2020 года канцлер Меркель заявила о наличии доказательств причастности России к кибератаке на Бундестаг в 2015 году. Меркель заявила, что эта атака была частью стратегии гибридной войны, к которой также относятся искажение фактов и дезориентация[19][20][9].

22 октября 2020 года Совет ЕС ввёл санкции против 85 Главного центра специальных служб ГРУ (Fancy Bear), офицера ГРУ Дмитрия Бадина и руководителя ГУ Генштаба Игоря Костюкова — за кибератаки, совершенные против парламента Германии в 2015 году и Организации по запрещению химического оружия в 2018 году[21].

Франция[править | править код]

8 апреля 2015 года жертвой кибератаки стал французский телеканал TV5 Monde; вещание канала было прервано на три часа[22]. По первоначальной версии, за атакой стояла хакерская группа CyberCaliphate, связанная с террористической организацией «Исламское государство». Однако впоследствии французские следователи высказали подозрение о том, что за атакой могла стоять группа Sofacy[23]. Премьер-министр Франции Мануэль Вальс назвал нападение «неприемлемым покушением на свободу информации»[24].

США и НАТО[править | править код]

В августе 2015 года Sofacy совершила спуфинг-атаку на информационные системы Белого дома и НАТО. Хакеры использовали метод «фишинга» с ложным URL-адресом electronicfrontierfoundation.org[25][26].

Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear.[27]

Международные организации[править | править код]

WADA

Fancy Bear обвиняется во взломе сайта Всемирного антидопингового агентства в августе 2016 года. Взлом был совершён после того, как эта международная организация опубликовала отчёт, обвиняющий Россию в создании поддерживаемой государством системы применения допинга спортсменами[28].

В 2016 году Fancy Bear получили доступ к данным электронной системы ADAMS Всемирного антидопингового агентства и опубликовали на своём сайте часть материалов. В агентстве подтвердили подлинность материалов.

13 сентября на сайте хакерской группы был размещён первый список спортсменов с положительными допинг-пробами[29][30][31][32]. Всего было опубликовано пять списков[33] и переписка сотрудника Антидопингового агентства США о том, что в 2015 году более 200 спортсменов из США в терапевтических целях получили разрешение на использование запрещённых препаратов, считающихся допингом[34].

В январе 2018 года опубликовали переписку сотрудников Международного олимпийского комитета и WADA[35].

Windows[править | править код]

В начале ноября 2016 года компания Microsoft объявила о взломе новейшей версии ОС Windows. По мнению специалистов по кибербезопасности, взлом был совершён хакерской группой Strontium (Fancy Bear)[3].

См. также[править | править код]

Примечания[править | править код]

Комментарии[править | править код]

  1. По мнению западных спецслужб, в сети действует также бригада Cozy Bear, входящая в структуру ФСБ России[2]

Сноски[править | править код]

  1. Кто такие Fancy Bears?. Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  2. 1 2 Три западные спецслужбы обвинили «кремлевских хакеров» в попытке украсть вакцину от Covid-19 Архивная копия от 17 июля 2020 на Wayback Machine, BBC, 17.07.2020
  3. 1 2 «Why Windows hack is being blamed on Russia-linked group» Архивная копия от 4 ноября 2016 на Wayback Machine, BBC , 3.11.2016
  4. 1 2 Эксперты рассказали об атаках Fancy Bear на «Шалтай-Болтай» Архивная копия от 21 октября 2016 на Wayback Machine «Meduza», 20.10.2016
  5. 1 2 3 4 «Russia 'was behind German parliament hack'». Дата обращения: 14 мая 2016. Архивировано 15 мая 2016 года.
  6. Познакомьтесь с Cozy Bear и Fancy Bear — российскими группами, стоящими за взломом сети Национального комитета Демократической партии. Дата обращения: 16 января 2018. Архивировано 16 января 2018 года.
  7. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Wired.com. Дата обращения: 4 октября 2018. Архивировано 30 декабря 2021 года.
  8. Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США), Meduza (13 июля 2018). Архивировано 17 ноября 2018 года. Дата обращения 17 ноября 2017.
  9. 1 2 Auswärtiges Amt. Auswärtiges Amt zum Hackerangriff auf den Deutschen Bundestag (нем.). Auswärtiges Amt. Дата обращения: 28 мая 2020. Архивировано 29 мая 2020 года.
  10. ЕС ввел санкции против начальника ГРУ и Fancy Bear — подразделения военной разведки России. Из-за кибератаки на бундестаг и Ангелу Меркель. meduza.io (22.10.20). Дата обращения: 22 октября 2020. Архивировано 26 марта 2022 года.
  11. Operation Pawn Storm: Using Decoys to Evade Detection. Trend Micro (2014). Дата обращения: 11 октября 2016. Архивировано 13 сентября 2016 года.
  12. Российских хакеров обвинили во взломе сетей штаба Демократической партии. Дата обращения: 16 января 2018. Архивировано 3 октября 2017 года.
  13. Russian cyber attackers used two unknown flaws: security company, Reuters (18 апреля 2015). Архивировано 11 октября 2015 года. Дата обращения 28 сентября 2017.
  14. APT28 — State Sponsored Russian Hacker Group, The Hacker News (30 октября 2014). Архивировано 22 сентября 2020 года. Дата обращения 30 июня 2020.
  15. Meet APT28, Russian-backed malware for gathering intelligence from governments, militaries: Report, Tech Times (30 октября 2014). Архивировано 14 августа 2016 года. Дата обращения 11 октября 2016.
  16. APT28: A Window into Russia's Cyber Espionage Operations?. FireEye (27 октября 2014). Дата обращения: 11 октября 2016. Архивировано 11 сентября 2016 года.
  17. France: Russian hackers posed as ISIS to hack a French TV broadcaster, Business Insider (11 июня 2015). Архивировано 16 августа 2016 года. Дата обращения 11 октября 2016.
  18. Russian Hackers Suspected In Cyberattack On German Parliament, London South East, Alliance News (19 июня 2015). Архивировано 7 марта 2016 года. Дата обращения 15 мая 2016.
  19. Меркель не исключила санкций из-за атак «российских хакеров» на бундестаг. РБК. Дата обращения: 13 мая 2020. Архивировано 20 мая 2020 года.
  20. Deutsche Welle (www.dw.com). Посол РФ вызван в МИД Германии из-за кибератак на бундестаг | DW | 28.05.2020. DW.COM. Дата обращения: 28 мая 2020. Архивировано 14 июня 2020 года.
  21. ЕС ввел санкции против начальника ГРУ и Fancy Bear — подразделения военной разведки России. Из-за кибератаки на бундестаг и Ангелу Меркель (рус.) (22 октября 2020). Архивировано 26 марта 2022 года. Дата обращения 22 октября 2020.
  22. Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack, Daily Telegraph (9 апреля 2015). Архивировано 9 апреля 2015 года. Дата обращения 10 апреля 2015.
  23. France probes Russian lead in TV5Monde hacking: sources, Reuters (10 июня 2015). Архивировано 10 октября 2015 года. Дата обращения 9 июля 2015.
  24. French media groups to hold emergency meeting after Isis cyber-attack, The Guardian (9 апреля 2015). Архивировано 10 апреля 2015 года. Дата обращения 10 апреля 2015.
  25. Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House, Boing Boing (28 августа 2015). Архивировано 22 марта 2019 года. Дата обращения 30 июня 2020.
  26. Quintin, Cooper New Spear Phishing Campaign Pretends to be EFF. EFF (27 августа 2015). Дата обращения: 15 мая 2016. Архивировано 7 августа 2019 года.
  27. Елизавета Фохт. Ответственность за взлом сетей Демократической партии взял хакер-одиночка. РБК (16 июня 2016). Дата обращения: 25 июля 0116. Архивировано 16 июня 2016 года.
  28. Hyacinth Mascarenhas. Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say. International Business Times (23 августа 2016). Дата обращения: 25 августа 2016. Архивировано 21 апреля 2021 года.
  29. Боксёр из РФ Миша Алоян сдал положительный допинг-тест в Рио — Хакеры. Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  30. Хакеры выложили новые документы о принимающих допинг спортсменах, в том числе о боксёре Алояне. Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  31. WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз. Дата обращения: 18 сентября 2016. Архивировано 13 сентября 2016 года.
  32. Байлз заявила, что ей нечего стыдиться из-за применения лекарств от СДВГ. Дата обращения: 18 сентября 2016. Архивировано 14 сентября 2016 года.
  33. Fancy Bears выложили пятую часть документов WADA. Дата обращения: 24 сентября 2016. Архивировано 24 сентября 2016 года.
  34. Хакеры узнали о 200 американских спортсменах с разрешением на приём допинга. Дата обращения: 8 октября 2016. Архивировано 9 октября 2016 года.
  35. Макларен оказался орудием против России. Дата обращения: 10 января 2018. Архивировано 31 октября 2020 года.

Ссылки[править | править код]