vânătoarea

Urșii sunt simboluri tipice ale Rusiei, așa că nu este de mirare că experții au numit cele mai periculoase două grupuri de hacking rusești - Fancy Bear și Cozy Bear. În perioada activității lor, ambele unități au creditat mai multe operațiuni, dar atacul lor comun asupra alegerilor prezidențiale din SUA din 2016 a fost în mare parte amintit.

APT28, Sofacy Group sau mai bine cunoscut Fancy Bear este un grup de hackeri ruși cunoscut ca o amenințare persistentă avansată, care și-a dezvoltat instrumentele de cel puțin 2007. Produsele sale de top includ descărcătorul SOURFACE/CORESHELL și portierele EVILTOSS și CHOPSTICK, care sunt în continuă evoluție. și folosind încă de la primele atacuri. Până de curând, aceste atacuri aveau un lucru în comun - criticii și adversarii guvernului rus au devenit ținta.

Printre primele victime ale acestor hackeri s-au numărat jurnaliști și bloggeri din întreaga lume care s-au ocupat de probleme de politică externă rusești - în special conflictul din Ucraina, prăbușirea unui avion Malaysia Airlines, o fabrică de „troli” pe internet sau răspândirea dezinformării. Este clar că, din punctul de vedere al Kremlinului, acestea au fost subiecte sensibile care i-au înrăutățit imaginea.

Prin urmare, în jurul anului 2014, comercianții au început să atace în mod sistematic conturile de e-mail ale jurnaliștilor din lumea cea mai importantă (The Times, Washington Post, CNN), precum și din mass-media locală (Novaya Gazeta, Vedomosti), unde au căutat materiale compromițătoare pentru a le discredita și intimida.

În cazul reporterului de televiziune Dožď Pavel Lobkov, atacatorii și-au publicat conversația privată de pe Facebook la doar câteva zile după ce a mărturisit public infecția cu HIV. În același timp, unele rapoarte au avut un ton sexual puternic.

Operațiuni de pavilion false

Când Statul Islamic se afla la vârful forței sale în 2015, în paralel cu acesta, rapoartele despre atacurile cibernetice ale așa-numitului CyberCaliphate au început să apară mai frecvent. Cele mai notorii atacuri pe care grupul ar fi legat-o de ISIS au fost amenințările la adresa soțiilor unor soldați americani și un atac la televiziunea franceză TV5Monde. Statul Islamic supraveghează într-adevăr o „asociație” de grupuri de hackeri. Dar se numește califatul cibernetic unit și doar un nume similar îl asociază cu alter ego-ul rus.

În primul caz, atacul acestui grup, care s-a prefăcut a fi teroriști islamiști, a afectat cel puțin cinci persoane, care și-au făcut publicitate experiențele. Drept urmare, afacerea a ajuns în mâinile anchetatorilor de la Associated Press, care au găsit o legătură între adresele de e-mail folosite în aceste atacuri și cele utilizate în alte atacuri de către grupul APT28. În timpul anchetei au fost raportate alte încercări de a fura conturi de e-mail. Cu toate acestea, motivația atacatorilor poate fi doar dezbătută. Doar două lucruri au legat victimele - erau căsătoriți cu soldați și munca lor era pe scurt legată de armată (scrierea de bloguri, participarea la asociații). Așadar, atacul a fost probabil doar pentru a distrage atenția de la ceva mai mare.

Intrarea discretă a CyberCaliphat în scenă câteva luni mai târziu a înlocuit atacul, care a întrerupt transmisia și a distrus aproape unul dintre cele mai mari televizoare din Franța. Începând cu 23 ianuarie 2015, când a avut loc intrarea inițială, atacatorii au cartografiat rețeaua și sistemele TV5Monde pentru a adapta malware-ul distructiv care ar elimina hardware-ul conectat la Internet necesar pentru difuzare (de exemplu, sisteme de codificare a transmisiei de difuzare).

Evenimentul a început într-o seară din aprilie, când 12 canale au oprit brusc difuzarea. În câteva minute, malware-ul s-a răspândit pe alte dispozitive, provocând eșecul stației pe tot parcursul nopții. Din fericire pentru televiziune, în acel moment mai existau tehnicieni la sediu. Unul dintre ei a reușit să identifice computerul de la care a fost controlat atacul și care ulterior s-a deconectat de la Internet. Primul canal a fost restaurat în jurul orei cinci dimineața următoare. „Doar câteva ore ne-au separat de chiar capătul stației”, a spus CEO-ul Yves Bigot. Televiziunea a trebuit să cheltuiască cinci milioane de euro în primul an pentru a acoperi daunele și aproximativ trei milioane în fiecare an pentru a îmbunătăți siguranța.

Rusia a devenit suspectă după ce firma de securitate cibernetică FireEye a demonstrat că infrastructura utilizată era aceeași cu cea utilizată de Fancy Bear. Site-ul CyberCaliphat, pe care atacatorii au publicat date din atac, avea aceeași adresă IP și opera pe aceleași servere ca hackerii ruși. Deși nu a fost ceea ce a provocat atacul, cel mai probabil a fost un acord politic între Paris și Moscova, între care exista o situație tensionată la acea vreme.

Franța a criticat Rusia pentru anexarea Crimeii, ceea ce a dus în cele din urmă la oprirea aprovizionării a două nave de război care au construit șantiere navale franceze pentru flota rusă. Se pare că Kremlinul s-a răzbunat, pe care a căutat să îl ascundă sub steagul statului islamic. La începutul anului 2015, teroriștii acestui grup au atacat redacția unui alt mediu (revista Charlie Hebdo), în care au ucis 12 persoane. Cu toate acestea, încercarea de a crea impresia unei serii de atacuri teroriste a eșuat.

Spionajul și interferența electorală

Pe lângă intimidarea jurnaliștilor și testarea abilităților sale sub un nume străin, Fancy Bear a avut și o serie de atacuri mai mult sau mai puțin reușite asupra politicienilor, partidelor politice și guvernelor. Cel puțin din 2014, când a fost transmis un val de critici asupra Rusiei pentru anexarea Crimeei, membrii NATO și/sau ai UE sau ai țărilor din spațiul post-sovietic au devenit ținta sa. Germania pare să aibă cea mai mare experiență cu hackerii ruși. Numai în ultimii patru ani, a înregistrat patru atacuri care purtau semnele distinctive ale APT28.

În 2015, atacatorii au vizat computerele Bundestag, pe care doreau să instaleze programe spion și ușile din spate. Potrivit directorului serviciului secret al BfV (Oficiul Federal pentru Protecția Constituției), informații despre infrastructura critică a statului au fost furate. Un an mai târziu, au încercat un atac similar de phishing asupra CDU aflată la guvernare, dar nu au reușit. Același rezultat al hackerilor a așteptat în încercarea de a compromite serverele think-tank-urilor Konrad-Adenauer-Stiftung (intră sub incidența CDU) și Friedrich-Ebert-Stiftung (SPD) în aprilie 2017. În timp ce primul atac pare a fi izolat, restul de doi împotriva partidelor politice și a grupurilor lor de gândire au planificat probabil să influențeze alegerile pentru adunarea federală din septembrie 2017.

Acest model poate fi văzut și în exemplele Franței, Olandei și Statelor Unite, care s-au confruntat și cu incidente similare înainte de alegeri.

Exemplul SUA se află în partea de sus a scării imaginare în acest sens. La începutul anului 2016, tandemul Fancy Bear și Cozy Bear a atacat serverele Partidului Democrat și conturile de e-mail ale membrilor săi, extragând date valoroase și mutând ulterior WikiLeaks și mass-media pentru publicare prin porecla falsă Guccifer 2.0. Doar John Podest, consilierul lui Hillary Clinton, a primit aproximativ 50.000 de e-mailuri de către atacatori. Până în prezent, unii experți și politicieni susțin că acest atac a stat în spatele victoriei lui Donald Trump.

S-au scurs mai multe e-mailuri pe internet pentru candidatul la președinție Emmanuel Macron și partidul său, En Marche! cu doar două zile înainte de al doilea tur de scrutin. Conținutul lor editat a fost să atragă voturile Marie Le Pen. Totuși, acest lucru nu s-a întâmplat și Macron a câștigat cu 10 milioane de voturi.

În Olanda, în schimb, în ​​urma unui atac asupra Ministerului Afacerilor Generale din februarie 2017, guvernul a decis că toate voturile vor fi numărate manual pentru posibila manipulare a sistemului de vot electronic. Aceste și alte atacuri asupra Ungariei, Poloniei, Ucrainei și Georgiei fac parte din operațiunea pe termen lung, „Furtuna de pioni”, care se concentrează pe obiective politice.

Făptașii au fost condamnați pentru adrese IP repetitive de pe serverele de administrare utilizate, utilizarea aceluiași e-mail gratuit și a gazdelor web pentru a trimite e-mailuri de phishing, care fie ascundeau malware Sourface (cunoscut și sub numele de Sofacy), fie un link către un site web falsificat de la care au obținut detalii de autentificare.

Tehnici, instrumente și atribuire

Există trei instrumente specifice pentru hackerii Fancy Bear - Sourface (și versiunea sa mai nouă Coreshell), Chopstick și Eviltoss. Primul numit este așa-numitul program de descărcare, care, după descărcare și instalare pe sistem, stabilește o conexiune cu serverul atacatorului, de la care solicită programe malware suplimentare. Echipa este fie o ușă din spate Eviltoss, fie un Chopstick. Eviltoss vă permite să accesați fișiere și registre de sistem, să înregistrați apăsări de taste (similar unui keylogger) sau să rulați coduri rău intenționate. Chopstick, pe de altă parte, conține mai multe module, datorită cărora poate colecta informații despre sistemul de operare, firewall sau setările browserului web, dar poate transmite documente către computerul atacatorului sau poate înregistra activitățile acestuia sub formă de capturi de ecran.

Programul malware ajunge pe computerul victimei din cauza neatenției e-mailurilor de phishing, care fie îl ascund într-un atașament, fie îl conectează pe un site infectat. Acest phishing este una dintre caracteristicile grupului. Spre deosebire de colegii ei din APT1 din China, e-mailurile rusești nu se caracterizează printr-o engleză de calitate. Cu toate acestea, ceea ce excelează este construirea de documente și rapoarte care să reflecte evoluțiile actuale ale politicilor, oferind credibilității și seriozității e-mailurilor.

În plus, acestea sunt trimise de la adrese care sunt izbitor de asemănătoare cu cele utilizate de organizațiile internaționale, guverne sau mass-media. Exemple sunt domeniile „qov.hu.com” (guvernul maghiar folosește „gov.hu”) sau „login-osce.org” (OSCE folosește „osce.org”).

Cu toate acestea, forța acestui urs constă și în utilizarea vulnerabilităților de zi zero, pe care le caută el însuși. Uneori, în loc de un document infectat, este suficient să faceți referire la o pagină falsificată pe care o vulnerabilitate Adobe Flash sau Java va face treaba pentru aceasta.

Originea hackerilor a fost menționată într-un raport al companiei de securitate FireEye, potrivit căruia instrumentele au fost compilate în mediul de dezvoltare în limba rusă și numai în timpul programului normal de lucru la Moscova. De asemenea, au fost condamnați de obiectivele în sine, care aveau un lucru în comun - au criticat guvernul rus pentru politica sa externă, precum și pentru politica internă. Cu toate acestea, atacul asupra Partidului Democrat a devenit fatal pentru unii dintre ei. În vara anului 2018, doisprezece membri ai serviciului de informații militare GRU, care ar presupune că acoperă grupul, au fost condamnați pentru că au trimis e-mailuri în timpul alegerilor prezidențiale.

Cu toate acestea, grupul este asociat și cu o poveste amuzantă. Numele Fancy Bear este derivat din pseudonimele pe care Dmitri Alperovitch, un analist al securității cibernetice, le-a atribuit țărilor. Rușii erau urși, chinezii panda și iranienii pisoi. Trupa și-a luat adjectivul după ce în Sourface a fost descoperit cuvântul „Sofacy”, care i-a amintit lui Alperovitch de piesa „Fancy” a cântăreței Iggy Azaley și s-a născut Fancy Bear.

Fancy Bear astăzi

Grupurile cărora nu le este frică să suplinească teroriștii, să intervină în alegeri sau să intimideze mass-media nu au scăpat încă de lume. Dimpotrivă, a schimbat chiar tactica în ultimii ani și astăzi găsim o gamă variată de obiective pe lista sa. Ea a vizat Agenția Mondială Antidoping, Patriarhul Ecumenic Bartolomeu I sau Ministerul German de Interne și Apărare. Oricine stă în calea Kremlinului poate fi victima acestui urs. Amenințarea cibernetică a Rusiei a devenit o sperietoare în politica internațională, iar statele sunt conștiente de aceasta. Prin urmare, Regatul Unit a anunțat recent crearea unui nou comando cibernetic pentru a lupta împotriva acestuia.