Уютный Медведь

этой статьи Начальный раздел может быть слишком коротким, чтобы адекватно суммировать ключевые моменты . Пожалуйста, рассмотрите возможность расширения заголовка, чтобы обеспечить доступный обзор всех важных аспектов статьи. ( декабрь 2020 г. )

Cosy Bear , классифицированная федеральным правительством США как продвинутая постоянная угроза APT29 , представляет собой российскую хакерскую группу, предположительно связанную с одним или несколькими спецслужбами России . Нидерландов Служба общей разведки и безопасности (AIVD) на основе записей с камер наблюдения пришла к выводу, что ее возглавляет Служба внешней разведки России (СВР). ^{[ 5 ]} точку зрения, разделяемую Соединенными Штатами . ^{[ 4 ]} Фирма по кибербезопасности CrowdStrike также ранее предположила, что она может быть связана либо с Федеральной службой безопасности (ФСБ), либо с СВР. ^{[ 2 ]} давали группе различные прозвища. Другие фирмы по кибербезопасности, в том числе CozyCar , ^{[ 6 ]} УютныйДюк ^{[ 7 ] [ 8 ]} (от F-Secure ), Dark Halo , The Dukes (от Volexity), Midnight Blizzard ^{[ 9 ]} (от Microsoft ), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 и YTTRIUM .

20 декабря 2020 года стало известно, что Cozy Bear несет ответственность за кибератаку на суверенные национальные данные США, предположительно осуществленную по указанию правительства России. ^{[ 10 ]}

«Лаборатория Касперского» установила, что самые ранние образцы вредоносного ПО MiniDuke, приписываемого группе, датируются 2008 годом. ^{[ 1 ]} Исходный код был написан на языке ассемблера . ^{[ 11 ]} Symantec полагает, что Cozy Bear компрометирует дипломатические организации и правительства как минимум с 2010 года. ^{[ 12 ]}

Вредоносная программа CozyDuke использует бэкдор и дроппер . Вредоносная программа передает данные на сервер управления и контроля . Злоумышленники могут адаптировать вредоносное ПО к окружающей среде. ^{[ 1 ]} Компоненты бэкдора вредоносного ПО Cozy Bear со временем обновляются с модификациями криптографии , функциональности троянов и защиты от обнаружения. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, в котором также используются инструменты CHOPSTICK и CORESHELL. ^{[ 13 ]}

Набор вредоносных программ CozyDuke от Cozy Bear структурно и функционально аналогичен компонентам второго этапа, использовавшимся в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второй стадии вредоносного ПО CozyDuke, Show.dll, судя по всему, был построен на той же платформе, что и OnionDuke, что позволяет предположить, что авторы работают вместе или являются одними и теми же людьми. ^{[ 13 ]} Кампании и наборы вредоносных программ, которые они используют, называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. ^{[ 12 ]} CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией по кибершпионажу OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоязычными. ^{[ 1 ]} После разоблачения MiniDuke в 2013 году обновления вредоносного ПО были написаны на C / C++ и упакованы новым обфускатором . ^{[ 11 ]}

HAMMERTOSS Cozy Bear подозревается в создании инструмента удаленного доступа , который использует часто посещаемые веб-сайты, такие как Twitter и GitHub, для передачи командных данных . ^{[ 14 ]}

Seaduke — это низкопрофильный троян с широкими возможностями настройки, используемый только для небольшого набора важных целей. Обычно Seaduke устанавливается на системы, уже зараженные гораздо более широко распространенным CozyDuke. ^{[ 12 ]}

Похоже, у Cozy Bear разные проекты с разными группами пользователей. В центре внимания проекта «Nemesis Gemina» — военный, правительственный, энергетический, дипломатический и телекоммуникационный секторы. ^{[ 11 ]} Имеющиеся данные свидетельствуют о том, что в 2014 году целями Cosy Bear были коммерческие предприятия и правительственные организации в Германии, Узбекистане, Южной Корее и США, включая Государственный департамент США и Белый дом . ^{[ 13 ]}

В марте 2014 года в сети частного исследовательского института из Вашингтона (округ Колумбия) было обнаружено наличие CozyDuke (Trojan.Cozer). Затем Cozy Bear начал рассылку по электронной почте, пытаясь убедить жертв нажать на флэш-видео с офисными обезьянами, которое также содержало вредоносные исполняемые файлы. ^{[ 1 ] [ 12 ]} К июлю группа взломала правительственные сети и приказала системам, зараженным CozyDuke, установить Miniduke в скомпрометированную сеть. ^{[ 12 ]}

Летом 2014 года цифровые агенты Службы общей разведки и безопасности Нидерландов проникли в Cozy Bear. Они обнаружили, что эти российские хакеры атаковали Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР начать расследование. ^{[ 5 ] [ 15 ]}

В августе 2015 года Cozy Bear был связан с целенаправленной фишинговой кибератакой на Пентагона систему электронной почты , в результате которой на время расследования была отключена вся несекретная система электронной почты Объединенного штаба и доступ в Интернет. ^{[ 16 ] [ 17 ]}

В июне 2016 года Cozy Bear вместе с хакерской группой Fancy Bear на был замешан в кибератаках Национальный комитет Демократической партии . ^{[ 2 ]} Хотя обе группы одновременно присутствовали на серверах Национального комитета Демократической партии , каждая, похоже, не знала о другой, независимо крадя одни и те же пароли и иным образом дублируя усилия друг друга. ^{[ 18 ]} Судебно-медицинская группа CrowdStrike установила, что хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear пробыл там всего несколько недель. ^{[ 19 ]} Более изощренное профессиональное мастерство Cosy Bear и интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа возникла из отдельного российского разведывательного агентства. ^{[ 18 ]}

После президентских выборов в США в 2016 году Cozy Bear был связан с серией скоординированных и хорошо спланированных целевых фишинговых кампаний против базирующихся в США аналитических центров и неправительственных организаций (НПО). ^{[ 20 ]}

3 февраля 2017 года Служба безопасности норвежской полиции (PST) сообщила, что были предприняты попытки взлома учетных записей электронной почты девяти человек в Министерстве обороны , Министерстве иностранных дел и Лейбористской партии . Действия были приписаны Cozy Bear, в число целей которого входили Норвежское управление радиационной защиты , руководитель отдела PST Арне Кристиан Хаугстойл и неназванный коллега. Премьер-министр Эрна Сольберг назвала эти действия «серьезной атакой на наши демократические институты». ^{[ 21 ]} Сообщается, что нападения были совершены в январе 2017 года. ^{[ 22 ]}

В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, заявил на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. ^{[ 23 ]}

На брифинге в парламенте министр внутренних дел и отношений с королевством Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. ^{[ 24 ]}

Подозрения о прекращении деятельности Cozy Bear были развеяны в 2019 году после обнаружения трех новых семейств вредоносного ПО, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил свою деятельность, а разработал новые инструменты, которые труднее обнаружить. Взлом целей с использованием этих недавно обнаруженных пакетов в совокупности называется операцией «Призрак». ^{[ 25 ]}

обвинили Cozy Bear В июле 2020 года АНБ , NCSC и CSE в попытке украсть данные о вакцинах и методах лечения COVID-19 , разрабатываемых в Великобритании, США и Канаде. ^{[ 26 ] [ 27 ] [ 28 ] [ 29 ] [ 4 ]}

8 декабря 2020 года американская фирма FireEye , занимающаяся кибербезопасностью , сообщила, что коллекция ее собственных инструментов исследования кибербезопасности была украдена, возможно, «страной с высочайшими наступательными возможностями». ^{[ 30 ] [ 31 ]} 13 декабря 2020 года FireEye объявила, что расследование обстоятельств кражи интеллектуальной собственности выявило «глобальную кампанию по вторжению… [с использованием] атаки на цепочку поставок, использующей троянские обновления бизнес-программного обеспечения SolarWinds Orion с целью распространения вредоносного ПО, которое мы называем SUNBURST… .Эта кампания, возможно, началась уже весной 2020 года и... является работой высококвалифицированного участника, [использующего] значительную оперативную безопасность». ^{[ 32 ] [ рекламный источник? ]}

Вскоре после этого SolarWinds подтвердила, что несколько версий их продуктов на платформе Orion были скомпрометированы, вероятно, иностранным государством. ^{[ 33 ]} Последствия атаки побудили Агентство кибербезопасности и безопасности инфраструктуры США (CISA) издать редкую чрезвычайную директиву. ^{[ 34 ] [ 35 ]} Около 18 000 клиентов SolarWinds подверглись воздействию SUNBURST, включая несколько федеральных агентств США . ^{[ 36 ]} Источники Washington Post назвали Cozy Bear группой, ответственной за нападение. ^{[ 37 ] [ 4 ]}

По данным Microsoft, ^{[ 38 ]} Затем хакеры украли сертификаты подписи, которые позволили им выдать себя за любого из существующих пользователей и учетных записей цели с помощью языка разметки утверждений безопасности . Язык на основе XML, обычно обозначаемый сокращенно SAML, предоставляет поставщикам удостоверений возможность обмениваться данными аутентификации и авторизации с поставщиками услуг. ^{[ 39 ]}

В июле 2021 года Cozy Bear взломал системы Национального комитета Республиканской партии . ^{[ 40 ] [ 41 ]} Официальные лица заявили, что, по их мнению, атака была осуществлена ​​через Synnex . ^{[ 40 ]} Кибератака произошла на фоне более серьезных последствий, связанных с атакой с использованием программы-вымогателя , распространявшейся через скомпрометированное программное обеспечение Kaseya VSA . ^{[ 40 ]}

24 августа 2022 года Microsoft сообщила, что клиент был скомпрометирован атакой Cozy Bear, которая имела очень высокую устойчивость на сервере федеративных служб Active Directory , и назвала этот метод атаки «MagicWeb», атакой, которая «манипулирует сертификатами аутентификации пользователей, используемыми для аутентификации». . ^{[ 42 ]}

В январе 2024 года Microsoft сообщила, что недавно обнаружила и пресекла начавшуюся в ноябре прошлого года взлом учетных записей электронной почты своего высшего руководства и других сотрудников подразделений юридической и кибербезопасности с использованием «распыления паролей», формы атаки методом перебора . Этот взлом, проведенный Midnight Blizzard, судя по всему, был направлен на то, чтобы выяснить, что компания знала об операции взлома. ^{[ 43 ]}

28 июня 2024 года TeamViewer SE объявила о проникновении в ее корпоративную сеть. Компания приписала атаку ATP29/Cozy Bear. ^{[ 44 ]}

• Вмешательство России в выборы в США в 2016 г.
• Заговор с целью взлома Америки
• Утечка файлов Vulkan

• Российским госслужащим предъявлены обвинения в хакерских кампаниях