Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Уютный медведь
Формированиеc. 2008 [1]
ТипПостоянная угроза повышенной сложности
ЦельКибершпионаж , кибервойна
Область, край Россия
МетодыСпирфишинг , вредоносное ПО
Официальный язык русский
Головная организациялибо ФСБ, либо СВР [2] [3]
ПринадлежностиНеобычный медведь
Ранее называлсяAPT29, Office Monkeys, CozyCar, Dukes, CozyDuke, Grizzly Steppe (в сочетании с Fancy Bear )

Cozy Bear , классифицируемый федеральным правительством США как постоянная угроза повышенной опасности APT29 , - это российская хакерская группа, которая, как считается, связана с одним или несколькими спецслужбами России . Служба общей разведки и безопасности Нидерландов (AIVD) на основании видеозаписей с камеры наблюдения пришла к выводу, что ее возглавляет Служба внешней разведки России (SVR). [4] Компания по кибербезопасности CrowdStrike также ранее предполагала, что она может быть связана либо с Федеральной службой безопасности (ФСБ) России, либо с СВР. [2]Группа получила другие прозвища от других фирм, занимающихся кибербезопасностью, включая Office Monkeys , CozyCar , [5] The Dukes (от Volexity) и CozyDuke [6] [7] (от F-Secure ). 20 декабря 2020 года стало известно, что CozyBear несет ответственность за кибератаку на суверенные национальные данные США, предположительно по указанию правительства России. [ необходима цитата ]

Методы и технические возможности [ править ]

Диаграмма, показывающая, как Cozy Bear и Fancy Bear используют вредоносное ПО для проникновения в цель

«Лаборатория Касперского» определила, что самые ранние образцы вредоносного ПО MiniDuke, отнесенные к группе, относятся к 2008 году. [1] Исходный код был написан на языке ассемблера . [8] Symantec считает, что Cozy Bear скомпрометировал дипломатические организации и правительства по крайней мере с 2010 года. [9]

Вредоносная программа CozyDuke использует бэкдор и дроппер . Вредоносная программа передает данные на сервер управления и контроля . Злоумышленники могут адаптировать вредоносное ПО к среде. [1] Компоненты бэкдора вредоносного ПО Cozy Bear со временем обновляются с модификациями криптографии , троянских функций и средств защиты от обнаружения. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, который также использует инструменты CHOPSTICK и CORESHELL. [10]

Набор вредоносных программ CozyDuke Cozy Bear структурно и функционально аналогичен компонентам второго уровня, используемым в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второй стадии вредоносного ПО CozyDuke, Show.dll, похоже, был построен на той же платформе, что и OnionDuke, что предполагает, что авторы работают вместе или являются одними и теми же людьми. [10] Кампании и используемые ими наборы вредоносных программ называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. [9] CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией кибершпионажа OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоговорящими. [1]После появления MiniDuke в 2013 году обновления вредоносной программы были написаны на C / C ++, и она была упакована новым обфускатором . [8]

Cozy Bear подозревается в создании инструмента удаленного доступа HAMMERTOSS, который использует часто посещаемые веб-сайты, такие как Twitter и GitHub, для передачи командных данных . [11]

Seaduke является высоко настраиваемым, низкопрофильным троян используется только для небольшого набора целевых объектов с высокой добавленной стоимостью. Обычно Seaduke устанавливается на системы, уже зараженные гораздо более распространенным CozyDuke. [9]

Атаки [ править ]

У Cosy Bear разные проекты с разными группами пользователей. В центре внимания проекта Nemesis Gemina - военный, государственный, энергетический, дипломатический и телекоммуникационный секторы. [8] Данные свидетельствуют о том, что в 2014 году целью Cozy Bear были коммерческие предприятия и государственные организации Германии, Узбекистана, Южной Кореи и США, включая Государственный департамент США и Белый дом [10].

Офисные обезьяны (2014) [ править ]

В марте 2014 года в одной из сетей частного исследовательского института в Вашингтоне, округ Колумбия, был обнаружен Cozyduke (Trojan.Cozer). Затем Cozy Bear начал рассылку по электронной почте, пытаясь соблазнить жертв щелкнуть по флеш-видео с офисными обезьянами, которое также будет включать вредоносные исполняемые файлы. [9] [1] К июлю группа взломала правительственные сети и приказала зараженным Cozyduke системам установить Miniduke в скомпрометированной сети. [9]

Летом 2014 года в Cosy Bear проникли цифровые агенты Службы общей разведки и безопасности Нидерландов . Они обнаружили, что эти российские хакеры нацелены на Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР о возбуждении расследования. [4]

Пентагон (август 2015 г.) [ править ]

В августе 2015 года Cozy Bear был связан с целевой фишинговой кибератакой на систему электронной почты Пентагона, в результате которой в ходе расследования была отключена вся несекретная система электронной почты Генерального штаба и доступ в Интернет. [12] [13]

Национальный комитет Демократической партии (2016) [ править ]

В июне 2016 года, Cozy Медведь был замешан вместе с хакерской группой Fancy Медведь в демократических кибератаках Национального комитета . [2] Хотя обе группы присутствовали на серверах Национального комитета Демократической партии в одно и то же время, они, похоже, не знали друг друга, каждая независимо воруя одни и те же пароли и иным образом дублируя свои усилия. [14] Группа криминалистов CrowdStrike определила, что, хотя Cozy Bear был в сети DNC более года, Fancy Bear пробыл там всего несколько недель. [15]Более изощренное торговое мастерство Cozy Bear и интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа происходит из отдельного российского разведывательного агентства. [14]

Аналитические центры и неправительственные организации США (2016 г.) [ править ]

После президентских выборов в США в 2016 году Cozy Bear был связан с серией скоординированных и хорошо спланированных целевых фишинговых кампаний против базирующихся в США аналитических центров и неправительственных организаций (НПО). [16]

Правительство Норвегии (2017) [ править ]

3 февраля 2017 года Служба безопасности норвежской полиции (PST) сообщила, что были предприняты попытки взлома учетных записей электронной почты девяти человек в Министерстве обороны , Министерстве иностранных дел и Лейбористской партии . Эти действия были приписаны Кози Беар, в число целей которой входили Норвежское управление по радиационной защите , начальник отдела PST Арне Кристиан Хаугстойл и неназванный коллега. Премьер-министр Эрна Сольберг назвала эти действия «серьезной атакой на наши демократические институты». [17] Как сообщается, нападения были совершены в январе 2017 года. [18]

Голландские министерства (2017) [ править ]

В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взлома голландских министерств, в том числе Министерства общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, заявил на EenVandaag, что хакеры были русскими и пытались получить доступ к секретным правительственным документам. [19]

На брифинге в парламенте министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. [20]

Операция "Призрак" [ править ]

Подозрения о прекращении работы Cozy Bear были развеяны в 2019 году после обнаружения трех новых семейств вредоносных программ, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил работу, а скорее разработал новые инструменты, которые было труднее обнаружить. Взлом целевых объектов с использованием этих недавно обнаруженных пакетов в совокупности именуется Operation Ghost. [21]

Данные о вакцине COVID-19 (2020 г.) [ править ]

В июле 2020 года Агентство национальной безопасности , NCSC и CSE обвинили Cozy Bear в попытке украсть данные о вакцинах и методах лечения COVID-19 , разрабатываемых в Великобритании, США и Канаде. [22] [23] [24] [25]

SUNBURST Malware Supply Chain Attack (2020) [ править ]

Основная статья: Утечка данных федерального правительства США в 2020 году

8 декабря 2020 года американская компания FireEye , занимающаяся кибербезопасностью, сообщила, что набор их собственных инструментов для исследования кибербезопасности был украден, возможно, «страной с высочайшими наступательными возможностями». [26] [27] 13 декабря 2020 года FireEye объявила, что расследование обстоятельств этой кражи интеллектуальной собственности выявило «глобальную кампанию вторжения ... [использующую] атаку цепочки поставок, использующую обновления программного обеспечения SolarWinds Orion для распространения вредоносных программ. мы называем SUNBURST .... Эта кампания, возможно, началась уже весной 2020 года и ... является работой высококвалифицированного актера, [использующего] значительную операционную безопасность ". [28] [ рекламный источник? ]

Вскоре после этого SolarWinds подтвердила, что несколько версий продуктов их платформы Orion были скомпрометированы, вероятно, иностранным государством. [29] Воздействие атаки побудило Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) издать редкую директиву о чрезвычайных ситуациях. [30] [31] Около 18 000 клиентов SolarWinds подверглись воздействию SUNBURST, включая несколько федеральных агентств США . [32] Источники в Washington Post назвали Кози Медведя группой, ответственной за нападение. [33]

Согласно Microsoft [34], хакеры затем украли сертификаты подписи, которые позволяли им выдавать себя за любого из существующих пользователей и учетных записей цели через язык разметки утверждения безопасности . Язык на основе XML, обычно сокращенно называемый SAML, позволяет поставщикам удостоверений обмениваться данными аутентификации и авторизации с поставщиками услуг. [35]

См. Также [ править ]

  • Вмешательство России в выборы в США в 2016 г.
  • Заговор с целью взломать Америку

Ссылки [ править ]

  1. ^ a b c d e "Отношение MiniDuke 'CozyDuke' нацелено на Белый дом" . Threat Intelligence Times . 27 апреля 2015. Архивировано из оригинала 11 июня 2018 . Проверено 15 декабря 2016 .
  2. ^ a b c Альперович, Дмитрий. «Медведи посреди: вторжение в Национальный комитет Демократической партии» . Блог CrowdStrike . Проверено 27 сентября 2016 года .
  3. ^ «МЕЖДУНАРОДНАЯ БЕЗОПАСНОСТЬ И ЭСТОНИЯ» (PDF) . www.valisluureamet.ee . 2018 . Проверено 15 декабря 2020 .
  4. ^ Б Huib Modderkolk (25 января 2018). «Голландские агентства предоставляют важную информацию о вмешательстве России в выборы в США» . de Volkskrant .
  5. ^ "Кто такой УЮТНЫЙ МЕДВЕДЬ?" . CrowdStrike . 19 сентября 2016.
  6. ^ «Исследование F-Secure связывает CozyDuke с высококлассным шпионажем» (пресс-релиз) . 30 апреля 2015 . Проверено 6 января 2017 года .
  7. ^ «Кибератаки, связанные со сбором российской разведки» (пресс-релиз) . F-Secure. 17 сентября 2015 . Проверено 6 января 2017 года .
  8. ^ a b c Группа глобальных исследований и анализа «Лаборатории Касперского» (3 июля 2014 г.). «Минидук вернулся: Немезида Близнецы и студия Botgen» . Securelist .
  9. ^ a b c d e " " Forkmeiamfamous ": Seaduke, последнее оружие в арсенале герцога" . Symantec Security Response . 13 июля 2015 г.
  10. ^ a b c Баумгартнер, Курт; Райу, Костин (21 апреля 2015 г.). "APT CozyDuke" . Securelist.
  11. ^ «ХАММЕРТОСС: Скрытые тактики определяют российскую группу киберугроз» . FireEye . 9 июля 2015 . Дата обращения 7 августа 2015 .
  12. Кубе, Кортни (7 августа 2015 г.). «Россия взламывает компьютеры Пентагона: NBC, со ссылкой на источники» . Дата обращения 7 августа 2015 .
  13. Старр, Барбара (7 августа 2015 г.). «Официально: Россия подозревается во вторжении на почтовый сервер Объединенного комитета начальников штабов» . Дата обращения 7 августа 2015 .
  14. ^ a b "Медведь на медведя" . Экономист . 22 сентября 2016 . Проверено 14 декабря +2016 .
  15. Уорд, Вики (24 октября 2016 г.). «Человек, возглавляющий борьбу Америки с русскими хакерами - худший кошмар Путина» . Esquire .
  16. ^ "PowerDuke: Широко распространенные кампании фишинга после выборов, нацеленные на аналитические центры и НПО" . Volexity . 9 ноября 2016 г.
  17. ^ Stanglin Даг (3 февраля 2017). «Норвегия: российские хакеры ударили по шпионскому агентству, обороне, лейбористской партии» . USA Today .
  18. ^ "Norge Utsatt for et omfattende hackerangrep" . NRK . 3 февраля 2017 года.
  19. ^ Modderkolk, Huib (4 февраля 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse Ministeries" . De Volkskrant (на голландском).
  20. ^ Cluskey, Питер (3 февраля 2017). «Голландцы выбирают ручной подсчет после сообщений о взломах русских» . The Irish Times .
  21. ^ «Операция Призрак: Герцоги не вернулись - они никогда не уходили» . ESET Research . 17 октября 2019 года.
  22. ^ «АНБ объединяется с NCSC, CSE, DHS CISA, чтобы разоблачить российские спецслужбы, нацеленные на COVID» . Центральная служба безопасности Агентства национальной безопасности . Проверено 25 июля 2020 .
  23. ^ «Заявление CSE об активности угроз, направленных на разработку вакцины против COVID-19 - четверг, 16 июля 2020 г.» . cse-cst.gc.ca . Организация безопасности связи. 14 июля 2020 . Дата обращения 16 июля 2020 .
  24. Джеймс, Уильям (16 июля 2020 г.). «Россия пытается взломать и украсть данные о вакцине против COVID-19, - заявляет Великобритания» . Рейтер Великобритания . Дата обращения 16 июля 2020 .
  25. ^ «Великобритания и союзники разоблачают атаки России на разработку вакцины против коронавируса» . Национальный центр кибербезопасности. 16 июля 2020 . Дата обращения 16 июля 2020 .
  26. ^ Сэнгер, Дэвид Э .; Перлрот, Николь (8 декабря 2020 г.). «FireEye, ведущая компания в области кибербезопасности, заявляет, что ее взломало национальное государство» . Нью-Йорк Таймс .
  27. ^ агентства, сотрудники Guardian и (9 декабря 2020 г.). «Американская компания по кибербезопасности FireEye заявляет, что ее взломало иностранное правительство» . Хранитель .
  28. ^ «Очень уклончивый злоумышленник использует цепочку поставок SolarWinds для компрометации нескольких глобальных жертв с помощью бэкдора SUNBURST» . FireEye .
  29. ^ "Рекомендации по безопасности | SolarWinds" . www.solarwinds.com .
  30. ^ "cyber.dhs.gov - Emergency Directive 21-01" . cyber.dhs.gov .
  31. ^ "cyber.dhs.gov - Директивы по кибербезопасности" . cyber.dhs.gov .
  32. ^ Чимпану, Каталин. «Документы Комиссии по ценным бумагам и биржам: SolarWinds сообщает, что недавний взлом затронул 18 000 клиентов» . ZDNet .
  33. ^ Накашима, Эллен; Тимберг, Крейг. «Российские правительственные хакеры стоят за широкой шпионской кампанией, которая скомпрометировала агентства США, в том числе министерство финансов и коммерцию» . Вашингтон Пост . ISSN 0190-8286 . Проверено 14 декабря 2020 . 
  34. ^ [1]
  35. ^ Гудин, Дэн; Тимберг. «~ 18 000 организаций загрузили бэкдор, созданный хакерами Cozy Bear» . Ars Technica . Проверено 15 декабря 2020 .