Fancy Bear

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Fancy Bearангл. — «Модный мишка»[1]) (также Fancy Bears, APT28, Sofacy, Pawn storm, Sednit и Strontium[2]) — хакерская группа. Действует с 2004 года[3]. Известна кибернетическими атаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов[4]. Американские специалисты по кибербезопасности связывают группу с российскими спецслужбами[5]. В 2018 году в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455[6][7].

Оценки служб безопасности[править | править код]

Прозвище хакерской группе дал специалист по кибербезопасности Дмитрий Альперович из американской антивирусной компании CrowdStrike из-за использования группой «двух или более связанных инструментов/тактик для атаки на конкретную цель, схожих с шахматной стратегией»[8], известную как пешечный штурм. Он же дал прозвище другой хакерской группе — Cozy Bear, которую также связал с российскими спецслужбами[9].

Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа «Advanced Persistent Threat 28» (APT28), члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash[10]. Документ со ссылкой на оперативные данные называет основой группы «государственного спонсора в Москве». В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса[11]. При этом игнорируются 2 неоспоримых факта: 1) в России - 11 часовых поясов и атака в любое время суток может быть преподнесена как совершенная с российской территории; 2) кроме Москвы в указанный часовой пояс (UTC +3) также входят следующие страны и территории: Республика Абхазия, Белоруссия, Южная Осетия, Турция, Ирак, ТРСК, Кувейт, ПМР, Саудовская Аравия, Бахрейн, Катар, Судан, Эритрея, Йемен, Джибути, Эфиопия, Южный Судан, Сомали, Сомалиленд, Уганда, Кения, Танзания, Мадагаскар). Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как «государственный шпионаж»[12], целями нападений которой также являются «СМИ или влиятельные лица»[13][14].

По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России взлому подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Партия народной свободы» и другие оппозиционеры, а также иностранные учёные, посещавшие российские вузы[3] В ходе атак Sednit использовали фишинговые атаки, письма с вирусами, вредоносные сайты и ранее неизвестные уязвимости в программах, используя большое количество созданных ими же инструментов. Аналогично FireEye, специалисты ESET отметили, что активность хакеров приходится на время с 9:00 до 17:00 по времени UTC+3 (совпадает с московским).

Известные кибератаки[править | править код]

Германия[править | править код]

Федеральная служба защиты конституции Германии обвиняет Россию в кибератаках на правительственные учреждения Германии[4]. 13 мая 2016 года глава службы Ханс-Георг Маасен заявил, что именно Sofacy стояла за атаками на информационную систему Бундестага в 2015 году и за нападениями на Христианско-демократический союз Германии, лидером которого является канцлер Германии Ангела Меркель[15]. Целью атак был сбор конфиденциальной информации. Как сообщил Маасен, группа пыталась проникнуть в информационные системы Германии более десяти лет и всё это время германская контрразведка вела за ней наблюдение[4]. Кроме правительственных учреждений, целью кибератак становились электростанции и другие важные объекты промышленности и инфраструктуры[4].

Франция[править | править код]

8 апреля 2015 года жертвой кибератаки стал французский телеканал TV5 Monde; вещание канала было прервано на три часа[16]. По первоначальной версии за атакой стояла хакерская группа CyberCaliphate, связанная с террористической организацией «Исламское государство». Однако впоследствии французские следователи высказали подозрение о том, что за атакой могла стоять группа Sofacy[17]. Премьер-министр Франции Мануэль Вальс назвал нападение «неприемлемым покушением на свободу информации»[18].

США и НАТО[править | править код]

В августе 2015 года Sofacy совершила спуфинг-атаку на информационные системы Белого дома и НАТО. Хакеры использовали метод «фишинга» с ложным URL-адресом electronicfrontierfoundation.org[19][20].

Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear.[21]

Международные организации[править | править код]

WADA

Fancy Bear обвиняется во взломе сайта Всемирного антидопингового агентства в августе 2016 года. Взлом был совершён после того, как эта международная организация опубликовала отчёт, обвиняющий Россию в создании поддерживаемой государством системы применения допинга спортсменами[22].

В 2016 году Fancy Bear получили доступ к данным электронной системы ADAMS Всемирного антидопингового агентства и опубликовали на своём сайте часть материалов. В агентстве подтвердили подлинность материалов.

13 сентября на сайте хакерской группы был размещён первый список спортсменов с положительными допинг-пробами[23][24][25][26]. Всего было опубликовано пять списков[27] и переписка сотрудника Антидопингового агентства США о том, что в 2015 году более 200 спортсменов из США в терапевтических целях получили разрешение на использование запрещённых препаратов, считающихся допингом[28].

В январе 2018 года опубликовали переписку сотрудников Международного олимпийского комитета и WADA[29].

Кибератака на Национальный комитет Демократической партии США

К хакерам Fancy Bears причисляют в том числе и атаку в июне 2016 года на сеть демократов США.

Windows[править | править код]

В начале ноября 2016 года компания Microsoft объявила о взломе новейшей версии ОС Windows. По мнению специалистов по кибербезопасности, взлом был совершён хакерской группой Strontium (Fancy Bear)[2].

См. также[править | править код]

Примечания[править | править код]

  1. Кто такие Fancy Bears?
  2. 1 2 «Why Windows hack is being blamed on Russia-linked group», BBC , 3.11.2016
  3. 1 2 Эксперты рассказали об атаках Fancy Bear на «Шалтай-Болтай» «Meduza», 20.10.2016
  4. 1 2 3 4 «Russia 'was behind German parliament hack'»
  5. Познакомьтесь с Cozy Bear и Fancy Bear - российскими группами, стоящими за взломом сети Национального комитета Демократической партии
  6. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Wired.com. Проверено 4 октября 2018.
  7. Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США), Meduza (13 июля 2018). Проверено 17 ноября 2017.
  8. Operation Pawn Storm: Using Decoys to Evade Detection. Trend Micro (2014).
  9. Российских хакеров обвинили во взломе сетей штаба Демократической партии
  10. Russian cyber attackers used two unknown flaws: security company, Reuters (April 18, 2015).
  11. APT28 — State Sponsored Russian Hacker Group, The Hacker News (October 30, 2014).
  12. Meet APT28, Russian-backed malware for gathering intelligence from governments, militaries: Report, Tech Times (October 30, 2014).
  13. APT28: A Window into Russia's Cyber Espionage Operations?. FireEye (October 27, 2014).
  14. France: Russian hackers posed as ISIS to hack a French TV broadcaster, Business Insider (June 11, 2015).
  15. Russian Hackers Suspected In Cyberattack On German Parliament, London South East, Alliance News (June 19, 2015).
  16. Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack, Daily Telegraph (9 April 2015). Проверено 10 апреля 2015.
  17. France probes Russian lead in TV5Monde hacking: sources, Reuters (10 June 2015). Проверено 9 июля 2015.
  18. French media groups to hold emergency meeting after Isis cyber-attack, The Guardian (April 9, 2015). Проверено 10 апреля 2015.
  19. Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House, Boing Boing (August 28, 2015).
  20. New Spear Phishing Campaign Pretends to be EFF. EFF (August 27, 2015).
  21. Елизавета Фохт. Ответственность за взлом сетей Демократической партии взял хакер-одиночка. РБК (16 июня 2016). Проверено 25 июля 2006.
  22. Hyacinth Mascarenhas. Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say. International Business Times (August 23, 2016). Проверено 25 августа 2016.
  23. Боксёр из РФ Миша Алоян сдал положительный допинг-тест в Рио — Хакеры
  24. Хакеры выложили новые документы о принимающих допинг спортсменах, в том числе о боксёре Алояне
  25. WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз
  26. Байлз заявила, что ей нечего стыдиться из-за применения лекарств от СДВГ
  27. Fancy Bears выложили пятую часть документов WADA
  28. Хакеры узнали о 200 американских спортсменах с разрешением на приём допинга
  29. Макларен оказался орудием против России

Ссылки[править | править код]