АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Fancy Bear

Fancy Bearангл. — «Модный медведь»[1] или «Причудливый медведь») (также Fancy Bears, APT28, Sofacy, Pawn storm, Sednit и Strontium) — хакерская группа. Действует с 2004 года. Известна кибернетическими атаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов. Американские специалисты по кибербезопасности связывают группу с российскими спецслужбами[2].

В 2018 году в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455[3]. В 2020 году Генпрокуратура ФРГ выдала ордер на арест Дмитрия Бадина, подозреваемого в совершении кибератаки на Бундестаг в 2015 году как участника Fancy Bear и сотрудника ГРУ[4][a]. Евросоюз и Великобритания ввели против 85-го Главного центра специальных служб ГРУ (ГРУ 26165, Fancy Bear) и Дмитрия Бадина санкции за кибератаки на Бундестаг (2015) и ОЗХО (2018).

Оценки служб безопасности

Прозвище хакерской группе дал специалист по кибербезопасности Дмитрий Альперович из американской антивирусной компании CrowdStrike из-за использования группой «двух или более связанных инструментов/тактик для атаки на конкретную цель, схожих с шахматной стратегией»[5], известную как пешечный штурм. Он же дал прозвище другой хакерской группе — Cozy Bear, которую также связал с российскими спецслужбами[6].

Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа «Advanced Persistent Threat 28», члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash[7]. Документ со ссылкой на оперативные данные называет основой группы «государственного спонсора в Москве». В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса[8]. Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как «государственный шпионаж»[9], целями нападений которой также являются «СМИ или влиятельные лица»[10][11].

По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России взлому подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Партия народной свободы» и другие оппозиционеры, а также иностранные учёные, посещавшие российские ВУЗы<. В ходе атак Sednit использовали фишинговые атаки, письма с вирусами, вредоносные сайты и ранее неизвестные уязвимости в программах, используя большое количество созданных ими же инструментов. Аналогично FireEye, специалисты ESET отметили, что активность хакеров приходится на время с 9:00 до 17:00 по времени UTC+3 (совпадает с московским).

Приписываемые кибератаки

Германия

Федеральная служба защиты конституции Германии обвиняет Россию в кибератаках на правительственные учреждения Германии. 13 мая 2016 года глава службы Ханс-Георг Маасен заявил, что именно Sofacy стояла за атаками на информационную систему Бундестага в 2015 году и за нападениями на Христианско-демократический союз Германии, лидером которого является канцлер Германии Ангела Меркель[12]. Целью атак был сбор конфиденциальной информации. Как сообщил Маасен, группа пыталась проникнуть в информационные системы Германии более десяти лет и всё это время германская контрразведка вела за ней наблюдение. Кроме правительственных учреждений, целью кибератак становились электростанции и другие важные объекты промышленности и инфраструктуры.

В мае 2020 года Генеральная прокуратура Германии выдала ордер на арест россиянина Дмитрия Бадина как участника группы Fancy Bear и служащего ГРУ, подозреваемого в организации атаки на Бундестаг в 2015 году. 13 мая 2020 года канцлер Меркель заявила о наличии доказательств причастности России к кибератаке на Бундестаг в 2015 году. Меркель заявила, что эта атака была частью стратегии гибридной войны, к которой также относятся искажение фактов и дезориентация[4][13].

22 октября 2020 года Совет ЕС ввёл санкции против 85 Главного центра специальных служб ГРУ (Fancy Bear), офицера ГРУ Дмитрия Бадина и руководителя ГУ Генштаба Игоря Костюкова — за кибератаки, совершенные против парламента Германии в 2015 году и Организации по запрещению химического оружия в 2018 году.

Франция

8 апреля 2015 года жертвой кибератаки стал французский телеканал TV5 Monde; вещание канала было прервано на три часа[14]. По первоначальной версии, за атакой стояла хакерская группа CyberCaliphate, связанная с террористической организацией «Исламское государство». Однако впоследствии французские следователи высказали подозрение о том, что за атакой могла стоять группа Sofacy[15]. Премьер-министр Франции Мануэль Вальс назвал нападение «неприемлемым покушением на свободу информации»[16].

США и НАТО

В августе 2015 года Sofacy совершила спуфинг-атаку на информационные системы Белого дома и НАТО. Хакеры использовали метод «фишинга» с ложным URL-адресом electronicfrontierfoundation.org[17][18].

Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear[19].

Международные организации

WADA

Fancy Bear обвиняется во взломе сайта Всемирного антидопингового агентства в августе 2016 года. Взлом был совершён после того, как эта международная организация опубликовала отчёт, обвиняющий Россию в создании поддерживаемой государством системы применения допинга спортсменами[20].

В 2016 году Fancy Bear получили доступ к данным электронной системы ADAMS Всемирного антидопингового агентства и опубликовали на своём сайте часть материалов. В агентстве подтвердили подлинность материалов.

13 сентября на сайте хакерской группы был размещён первый список спортсменов с положительными допинг-пробами[21][22][23][24]. Всего было опубликовано пять списков[25] и переписка сотрудника Антидопингового агентства США о том, что в 2015 году более 200 спортсменов из США в терапевтических целях получили разрешение на использование запрещённых препаратов, считающихся допингом.

В январе 2018 года опубликовали переписку сотрудников Международного олимпийского комитета и WADA[26].

Windows

В начале ноября 2016 года компания Microsoft объявила о взломе новейшей версии ОС Windows. По мнению специалистов по кибербезопасности, взлом был совершён хакерской группой Strontium (Fancy Bear).

См. также

Примечания

Комментарии

  1. По мнению западных спецслужб, в сети действует также бригада Cozy Bear, входящая в структуру ФСБ России

Сноски

  1. Кто такие Fancy Bears? Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  2. Познакомьтесь с Cozy Bear и Fancy Bear — российскими группами, стоящими за взломом сети Национального комитета Демократической партии. Дата обращения: 16 января 2018. Архивировано 16 января 2018 года.
  3. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Wired.com. Дата обращения: 4 октября 2018. Архивировано 30 декабря 2021 года.
  4. 1 2 Auswärtiges Amt. Auswärtiges Amt zum Hackerangriff auf den Deutschen Bundestag (нем.). Auswärtiges Amt. Дата обращения: 28 мая 2020. Архивировано 29 мая 2020 года.
  5. Operation Pawn Storm: Using Decoys to Evade Detection. Trend Micro (2014). Дата обращения: 11 октября 2016. Архивировано 13 сентября 2016 года.
  6. Российских хакеров обвинили во взломе сетей штаба Демократической партии. Дата обращения: 16 января 2018. Архивировано 3 октября 2017 года.
  7. Russian cyber attackers used two unknown flaws: security company, Reuters (18 апреля 2015). Архивировано 11 октября 2015 года. Дата обращения: 28 сентября 2017.
  8. APT28 — State Sponsored Russian Hacker Group, The Hacker News (30 октября 2014). Архивировано 22 сентября 2020 года. Дата обращения: 30 июня 2020.
  9. Meet APT28, Russian-backed malware for gathering intelligence from governments, militaries: Report, Tech Times (30 октября 2014). Архивировано 14 августа 2016 года. Дата обращения: 11 октября 2016.
  10. APT28: A Window into Russia's Cyber Espionage Operations? FireEye (27 октября 2014). Дата обращения: 11 октября 2016. Архивировано 11 сентября 2016 года.
  11. France: Russian hackers posed as ISIS to hack a French TV broadcaster, Business Insider (11 июня 2015). Архивировано 16 августа 2016 года. Дата обращения: 11 октября 2016.
  12. Russian Hackers Suspected In Cyberattack On German Parliament, London South East, Alliance News (19 июня 2015). Архивировано 7 марта 2016 года. Дата обращения: 15 мая 2016.
  13. Меркель не исключила санкций из-за атак «российских хакеров» на бундестаг. РБК. Дата обращения: 13 мая 2020. Архивировано 20 мая 2020 года.
  14. Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack, Daily Telegraph (9 апреля 2015). Архивировано 9 апреля 2015 года. Дата обращения: 10 апреля 2015.
  15. France probes Russian lead in TV5Monde hacking: sources, Reuters (10 июня 2015). Архивировано 10 октября 2015 года. Дата обращения: 9 июля 2015.
  16. French media groups to hold emergency meeting after Isis cyber-attack, The Guardian (9 апреля 2015). Архивировано 10 апреля 2015 года. Дата обращения: 10 апреля 2015.
  17. Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House, Boing Boing (28 августа 2015). Архивировано 22 марта 2019 года. Дата обращения: 30 июня 2020.
  18. Quintin, Cooper New Spear Phishing Campaign Pretends to be EFF. EFF (27 августа 2015). Дата обращения: 15 мая 2016. Архивировано 7 августа 2019 года.
  19. Елизавета Фохт. Ответственность за взлом сетей Демократической партии взял хакер-одиночка. РБК (16 июня 2016). Дата обращения: 25 июля 0116. Архивировано 16 июня 2016 года.
  20. Hyacinth Mascarenhas. Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say. International Business Times (23 августа 2016). Дата обращения: 25 августа 2016. Архивировано 21 апреля 2021 года.
  21. Боксёр из РФ Миша Алоян сдал положительный допинг-тест в Рио — Хакеры. Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  22. Хакеры выложили новые документы о принимающих допинг спортсменах, в том числе о боксёре Алояне. Дата обращения: 18 сентября 2016. Архивировано 18 сентября 2016 года.
  23. WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз. Дата обращения: 18 сентября 2016. Архивировано 13 сентября 2016 года.
  24. Байлз заявила, что ей нечего стыдиться из-за применения лекарств от СДВГ. Дата обращения: 18 сентября 2016. Архивировано 14 сентября 2016 года.
  25. Fancy Bears выложили пятую часть документов WADA. Дата обращения: 24 сентября 2016. Архивировано 24 сентября 2016 года.
  26. Макларен оказался орудием против России. Дата обращения: 10 января 2018. Архивировано 31 октября 2020 года.

Ссылки

Категории