москва

Мечките са типични символи на Русия, така че не е чудно, че експертите посочиха двете най-опасни руски хакерски групи - Fancy Bear и Cozy Bear. По време на своята дейност и двете звена кредитират няколко операции, но тяхната съвместна атака срещу президентските избори в САЩ през 2016 г. се помни най-вече.

APT28, Sofacy Group или по-известна Fancy Bear е руска хакерска група, известна като напреднала постоянна заплаха, която разработва инструментите си най-малко от 2007 г. Основните й продукти включват изтеглянето SOURFACE/CORESHELL и бекдорите EVILTOSS и CHOPSTICK, които постоянно се развиват и се използва от първите атаки. Доскоро тези атаки имаха едно общо нещо - критиците и противниците на руското правителство станаха целта.

Сред първите жертви на тези хакери бяха журналисти и блогъри от цял ​​свят, които се занимаваха с въпроси на руската външна политика - особено с конфликта в Украйна, катастрофата на самолет на Malaysia Airlines, фабрика за интернет "тролове" или разпространението на дезинформация. Ясно е, че от гледна точка на Кремъл това бяха чувствителни теми, които влошиха имиджа му.

Следователно около 2014 г. хакерите започнаха систематично да атакуват имейл акаунти на журналисти от водещите световни (The Times, Washington Post, CNN), както и местни медии (Novaya Gazeta, Vedomosti), където търсеха компрометиращи материали, за да ги дискредитират и сплашат.

В случая с репортера на телевизия Dožď Павел Лобков, нападателите публикуваха личния му разговор от Facebook само няколко дни след като той публично призна за ХИВ инфекция. В същото време някои съобщения имаха силен сексуален оттенък.

Фалшиви операции с флаг

Когато „Ислямска държава“ беше на върха на своята сила през 2015 г., успоредно с нея, по-често започнаха да се появяват съобщения за кибератаки от така наречения Киберхалифат. Най-известните атаки, за които се твърди, че групата е свързана с ИДИЛ, са заплахи за съпругите на някои американски войници и нападение срещу френската телевизия TV5Monde. "Ислямска държава" наистина контролира "сдружаването" на хакерски групи. Но той се нарича Обединен кибер халифат и само подобно име го свързва с руското алтер его.

В първия случай нападението на тази група, която се представяше за ислямистки терористи, засегна поне пет души, които също оповестиха своя опит. В резултат аферата попадна в ръцете на разследващи от Асошиейтед прес, които установиха връзката между имейл адресите, използвани в тези атаки, и тези, използвани в други атаки от групата APT28. По време на разследването се съобщава за допълнителни опити за кражба на имейл акаунти. Мотивацията на нападателите обаче може да се обсъжда само. Само две неща свързват жертвите - те са женени за войници и работата им е свързана за кратко с военните (писане на блогове, участие в асоциации). Така че атаката вероятно беше само за да отвлече вниманието от нещо по-голямо.

Ненатрапчивото влизане на CyberCaliphat на сцената няколко месеца по-късно замени атаката, която наруши излъчването и почти унищожи една от най-големите телевизии във Франция. От 23 януари 2015 г., когато е настъпило първоначалното проникване, нападателите са картографирали мрежата и системите на TV5Monde, за да приспособят деструктивен злонамерен софтуер, който да елиминира свързания с интернет хардуер, необходим за излъчване (напр. Системи за кодиране на излъчено предаване).

Събитието започна една вечер през април, когато 12 канала внезапно спряха излъчването си. За броени минути зловредният софтуер се разпространи и на други устройства, в резултат на което станцията се провали през цялата нощ. За щастие на телевизията, по това време в централата все още имаше техници. Един от тях успя да идентифицира компютъра, от който беше контролирана атаката и който впоследствие се изключи от интернет. Първият канал беше възстановен около пет часа на следващата сутрин. „Само няколко часа ни разделиха от самия край на станцията“, каза изпълнителният директор Ив Биго. През първата година телевизията трябваше да похарчи пет милиона евро за покриване на щети и около три милиона всяка година за подобряване на безопасността.

Русия стана подозрителна, след като фирмата за киберсигурност FireEye доказа, че използваната инфраструктура е същата като тази, използвана от Fancy Bear. Сайтът CyberCaliphat, на който нападателите публикуваха данни от атаката, имаше същия IP адрес и работеше на същите сървъри като руските хакери. Въпреки че не причината за нападението беше най-вероятно политическо споразумение между Париж и Москва, между които имаше напрегната ситуация по това време.

Франция разкритикува Русия за анексирането на Крим, което в крайна сметка доведе до спиране на доставките на два бойни кораба, построили френски корабостроителници за руския флот. Кремъл очевидно организира отмъщение, което той се опита да скрие под знамето на Ислямска държава. В началото на 2015 г. терористите от тази група нападнаха редакцията на друга медия (списание Charlie Hebdo), в която убиха 12 души. Опитът обаче да създаде впечатление за поредица от терористични атаки се провали.

Шпионаж и намеса в изборите

В допълнение към сплашването на журналисти и тестването на способностите му под чуждо име, Fancy Bear има и поредица от повече или по-малко успешни атаки срещу политици, политически партии и правителства. Поне от 2014 г., когато на Русия беше отправена вълна от критики за анексирането на Крим, нейната цел станаха членове на НАТО и/или ЕС или страните от постсъветското пространство. Германия изглежда има най-голям опит с руските хакери. Само през последните четири години той е видял четири атаки, носещи отличителните белези на APT28.

През 2015 г. нападателите се насочиха към компютрите на Бундестага, на които искаха да инсталират шпионски софтуер и задни врати. Според директора на тайната служба на BfV (Федерална служба за защита на конституцията) е открадната информация за критичната инфраструктура на държавата. Година по-късно те правят опит за подобна фишинг атака срещу управляващия CDU, но не успяват. Същият резултат от хакерите изчакаха в опит да компрометират сървърите на мозъчните тръстове Konrad-Adenauer-Stiftung (попада под CDU) и Friedrich-Ebert-Stiftung (SPD) през април 2017 г. Докато първата атака изглежда изолирана, останалите две срещу политическите партии и техните мозъчни тръстове вероятно са планирали да повлияят на изборите за федерално събрание през септември 2017 г.

Този модел може да се види и в примерите на Франция, Холандия и САЩ, които също са се сблъсквали с подобни инциденти преди изборите.

Примерът от САЩ е на върха на въображаемата стълбица в това отношение. В началото на 2016 г. тандемът Fancy Bear и Cozy Bear атакува сървърите на Демократическата партия и имейл акаунтите на своите членове, извлича ценни данни и по-късно прехвърля WikiLeaks и медиите за публикуване чрез фалшивия псевдоним Guccifer 2.0. Само на Джон Подест, съветникът на Хилари Клинтън, бяха изпратени около 50 000 имейла от нападателите. И до днес някои експерти и политици твърдят, че тази атака стои зад победата на Доналд Тръмп.

В интернет изтекоха още имейли за кандидата за президент Еманюел Макрон и неговата партия En Marche! само два дни преди втория тур на изборите. Редактираното им съдържание беше да изтеглят гласовете на Мари Льо Пен. Това обаче не се случи и Макрон спечели с 10 милиона гласа.

В Холандия, за разлика от това, след атака срещу Министерството на общите въпроси през февруари 2017 г., правителството реши, че всички гласове ще бъдат преброени ръчно за възможна манипулация на електронната система за гласуване. Тези и други атаки срещу Унгария, Полша, Украйна и Грузия са част от дългосрочната операция „Буря с пешка“, която се фокусира върху политическите цели.

Извършителите са осъдени за повтарящи се IP адреси от използваните сървъри за управление, използването на същия безплатен имейл и уеб хостове за изпращане на фишинг имейли, които или са скрили зловреден софтуер на Sourface (известен също като Sofacy), или връзка към фалшив уебсайт от които те получиха данни за вход.

Техники, инструменти и приписване

Има три специфични инструмента за хакерите на Fancy Bear - Sourface (и по-новата му версия Coreshell), Chopstick и Eviltoss. Първият име е така нареченият изтегляне, който след изтегляне и инсталиране в системата установява връзка със сървъра на нападателя, от който той изисква допълнителен злонамерен софтуер. Екипът е или заден ход на Eviltoss, или Chopstick. Eviltoss ви позволява достъп до системни файлове и регистри, запис на натискания на клавиши (подобно на кейлогър) или стартиране на злонамерен код. Chopstick, от друга страна, съдържа няколко модула, благодарение на които може да събира информация за операционната система, защитната стена или настройките на уеб браузъра, но също така да препраща документи към компютъра на нападателя или да записва неговите дейности под формата на екранни снимки.

Злонамереният софтуер достига до компютъра на жертвата поради невнимание на фишинг имейли, които или го скриват в прикачен файл, или го връзват към заразен сайт. Този фишинг е една от характеристиките на групата. За разлика от нейните колеги от китайския APT1, руските имейли не се характеризират с качествен английски. Това, което превъзхожда обаче, е съставянето на документи и доклади, които отразяват текущото развитие на политиката, придавайки на имейла достоверност и сериозност.

Освен това те се изпращат от адреси, които поразително приличат на тези, използвани от международни организации, правителства или медии. Примери за това са домейните "qov.hu.com" (унгарското правителство използва "gov.hu") или "login-osce.org" (ОССЕ използва "osce.org").

Силата на тази мечка обаче се крие и в използването на уязвимости с нулев ден, които той сам търси. Понякога вместо заразен документ е достатъчно да се обърнете към фалшива страница, на която уязвимостта на Adobe Flash или Java ще свърши работа.

Произходът на хакерите е споменат в доклад на охранителната компания FireEye, според който инструментите са съставени в руско-езикова среда за разработка и само по време на нормалното работно време в Москва. Те също бяха осъдени от самите цели, които имаха едно общо нещо - те критикуваха руското правителство за неговата външна, както и вътрешна политика. Нападението срещу Демократическата партия обаче стана фатално за някои от тях. През лятото на 2018 г. дванадесет членове на службата за военно разузнаване на ГРУ, която твърди, че покрива групата, бяха осъдени за свързване на имейли по време на президентските избори.

Групата обаче е свързана и със забавна история. Името Fancy Bear произлиза от псевдонимите, които Дмитрий Алперович, анализатор на киберсигурността, приписва на държави. Руснаците бяха мечки, китайците - панди, а иранците - котенца. Групата получи прилагателното си име, след като думата „Sofacy" беше открита в Sourface. Това напомня на Alperovitch за песента „Fancy" от певеца Iggy Azaley и се ражда Fancy Bear.

Модна мечка днес

Групи, които не се страхуват да се представят за терористи, да се намесват в избори или да сплашват медиите, все още не са се отървали от света. Напротив, той дори промени тактиката през последните години и днес в неговия списък откриваме разнообразен набор от цели. Тя се е насочила към Световната антидопингова агенция, Вселенския патриарх Вартоломей I или германското министерство на вътрешните работи и отбраната. Всеки, който застане на пътя на Кремъл, може да стане жертва на тази мечка. Руската кибер заплаха се превърна в плашило в международната политика и държавите са наясно с това. Ето защо Обединеното кралство наскоро обяви създаването на нов кибер командос за борба с него.