Cozy Bear

Материал из Википедии — свободной энциклопедии
(перенаправлено с «The Dukes»)
Перейти к навигации Перейти к поиску

APT29, Cozy Bear, The Dukes и другие названия — группировка кибершпионажа типа APT.

По данным главного технического директора компании по кибербезопасности CrowdStrike Дмитрия Альперовича, группировка действует по меньшей мере с 2008 года с территории Российской Федерации. Он «с низкой долей уверенности» заявил о связи Cozy Bear с ФСБ[1]. Другой специалист по кибербезопасности, глава отдела по анализу кибершпионажа компании iSight Джон Хультквист, не подтвердил связь группировки с правительством России[1].

Деятельность[править | править код]

Cozy Bear основное внимание уделяет добыче информации, необходимой для принятия решений по внешней политике и обороне. Преимущественно жертвами группировки становятся правительства западных стран и связанные с ними организации: министерства, агентства, аналитические центры, исполнители государственных заказов. Также их жертвами становились правительства стран-членов СНГ, Азии, Африки, Ближнего востока; организации, связанные с чеченскими сепаратистами, а также русскоязычные торговцы наркотиками[2]. По данным нидерландской Общей службы разведки и безопасности (англ.), за данной группировкой стоит Служба внешней разведки Российской Федерации[3].

Группировка имеет в своем арсенале широкий выбор инструментов — вредоносного программного обеспечения. В середине 2010-х можно наблюдать осуществления группировкой массированных операций адресного фишинга против сотен (иногда тысяч) корреспондентов из различных правительственных и связанных с ними организаций[2].

Типичная атака состоит из грубого (заметного для специалистов по информационной безопасности) проникновения в информационную систему, стремительного сбора и похищения информации. Если оказывается, что жертва представляет особый интерес, то группировка переходит к использованию менее заметных инструментов для обеспечения продолжительного доступа к пораженной информационной системе[2].

В дополнение к массированным атакам, группировка осуществляет операции меньшего масштаба, более точечные и с использованием другого набора инструментов. Жертвы этих узконаправленных операций на момент атак находились в поле зрения российского правительства по вопросам международных отношений и обороны[2].

Группировка очень чувствительна к обнародованию сведений о ней и обычно вносит изменения в тактику и инструментарий во избежание быть обнаруженными. Однако, несмотря на огласку группировка не прекращает операции[2].

В крайних случаях группировка может совершать операции даже с прежними инструментами после их огласки в специализированных публикациях и СМИ. Тем самым, группировка демонстрирует свою уверенность в отсутствии любого наказания за совершенные преступления[2].

См. также[править | править код]

Примечания[править | править код]

Литература[править | править код]