Jump to content

Необычный медведь

Необычный медведь
Формирование в. 2004–2007 гг. [2]
Тип Расширенная постоянная угроза
Цель Кибершпионаж , кибервойна
Область
Россия
Методы Нулевые дни , целевой фишинг , вредоносное ПО
Официальный язык
Русский
Головная организация
ГРУ [1] [2] [3]
Принадлежности Уютный Медведь
Ранее назывался
  • АПТ28
  • Пешка Шторм
  • Группа Софаси
  • Седнит
  • СТРОНЦИЙ
  • Царская команда
  • Группа угроз-4127
  • Гризли Степ (в сочетании с Уютным Медведем )

Fancy Bear , также известный как APT28 (от Mandiant ), Pawn Storm , Sofacy Group (от Kaspersky ), Sednit , Tsar Team (от FireEye ) и STRONTIUM или Forest Blizzard (от Microsoft ), [2] [4] — российская кибершпионская группа. Фирма по кибербезопасности CrowdStrike со средней степенью уверенности заявила, что она связана с российской военной разведкой ГРУ . [5] [6] Великобритании Министерство иностранных дел и по делам Содружества [7] а также охранные фирмы SecureWorks , [8] УгрозаСоединение , [9] и Мандиант , [10] также заявили, что группу спонсирует российское правительство. США В 2018 году в обвинительном заключении Специального прокурора Fancy Bear был назван подразделением ГРУ 26165 . [3] [2] Имеется в виду единый номер воинской части полков Российской армии. Штаб-квартира Fancy Bear и все воинское подразделение, которое, как сообщается, специализируется на финансируемых государством кибератаках и расшифровке взломанных данных, [11] 24 июля 2023 года были атакованы украинскими беспилотниками, в результате взрыва обрушилась крыша соседнего здания. [12] [13]

Fancy Bear классифицируется FireEye как продвинутая постоянная угроза . [10] Помимо прочего, он использует нулевого дня эксплойты , целевой фишинг и вредоносное ПО для компрометации целей. Группа продвигает политические интересы российского правительства и известна взломом электронной почты Национального комитета Демократической партии с целью повлиять на исход президентских выборов в США в 2016 году.

Название «Fancy Bear» происходит от названия системы кодирования, которую исследователь безопасности Дмитрий Альперович использует для идентификации хакеров. [14]

Методы Fancy Bear, действующие, вероятно, с середины 2000-х годов, соответствуют возможностям государственных субъектов. Группа нацелена на правительственные, военные и организации безопасности, особенно на государства Закавказья и НАТО . Считается, что Fancy Bear несет ответственность за кибератаки на немецкий парламент , норвежский парламент , французский телеканал TV5Monde , Белый дом , НАТО, Национальный комитет Демократической партии , Организацию по безопасности и сотрудничеству в Европе и кампанию Кандидат в президенты Франции Эммануэль Макрон . [15]

Отчеты об обнаружении и безопасности [ править ]

компания Trend Micro обозначила виновников вредоносного ПО Sofacy как Operation Pawn Storm . 22 октября 2014 года [16] Название произошло из-за того, что группа использовала «два или более взаимосвязанных инструмента/тактики для атаки на конкретную цель, аналогичную шахматной стратегии». [17] известный как пешка шторм .

Фирма сетевой безопасности FireEye опубликовала подробный отчет о Fancy Bear в октябре 2014 года. В отчете группа обозначена как «Advanced Persistent Threat 28» (APT28) и описано, как хакерская группа использовала нулевого дня эксплойты для операционной системы Microsoft Windows и Adobe Flash. . [18] В отчете обнаружены оперативные данные, указывающие на то, что источником является «правительственный спонсор, базирующийся в Москве». Доказательства, собранные FireEye, позволили предположить, что вредоносное ПО Fancy Bear компилировалось в основном в русскоязычной среде сборки и происходило в основном в рабочие часы, соответствующие часовому поясу Москвы . [19] Директор по разведке угроз FireEye Лаура Галанте назвала деятельность группировки «государственным шпионажем». [20] и сказал, что в число целей также входят «СМИ или влиятельные лица». [21] [22]

Название «Fancy Bear» происходит от системы кодирования, которую Дмитрия Альперовича компания CrowdStrike использует для хакерских групп. «Медведь» указывает на то, что хакеры из России. «Fancy» относится к «Sofacy», слову в вредоносной программе, которое напомнило обнаружившему его аналитику Игги Азалии песню « Fancy ». [1]

Атаки [ править ]

Целями Fancy Bear были правительства и вооруженные силы Восточной Европы, Грузия и Кавказ , Украина, [23] организации, связанные с безопасностью, такие как НАТО , а также американские оборонные подрядчики Academi (ранее известные как Blackwater и Xe Services), Science Applications International Corporation (SAIC), [24] Боинг, Локхид Мартин и Рэйтеон. [23] Fancy Bear также нападала на граждан Российской Федерации, которые являются политическими врагами Кремля, в том числе на бывшего нефтяного магната Михаила Ходорковского и Марию Алехину из группы Pussy Riot . [23] SecureWorks, фирма по кибербезопасности со штаб-квартирой в США, пришла к выводу, что с марта 2015 по май 2016 года в целевой список «Необычного медведя» входили не только Национальный комитет Демократической партии США и Национальный комитет Республиканской партии, [25] но десятки тысяч врагов Путина и Кремля в США, Украине, России, Грузии и Сирии. Однако лишь горстка республиканцев подверглась нападкам. [26] Анализ AP 4700 учетных записей электронной почты, подвергшихся атаке Fancy Bear, пришел к выводу, что ни одна страна, кроме России, не будет заинтересована во взломе такого количества очень разных целей, которые, похоже, не имеют ничего общего, кроме того, что они представляют интерес для российского правительства. [23]

Fancy Bear также, похоже, пытается влиять на политические события, чтобы друзья или союзники российского правительства пришли к власти.

В 2011–2012 годах вредоносным ПО первой стадии Fancy Bear был имплант Sofacy или SOURFACE. В 2013 году Fancy Bear добавила больше инструментов и бэкдоров, в том числе CHOPSTICK, CORESHELL, JHUHUGIT и ADVSTORESHELL. [27]

Нападения на журналистов [ править ]

С середины 2014 года до осени 2017 года Fancy Bear преследовала многочисленных журналистов в США, Украине, России, Молдове, странах Балтии и других странах, которые писали статьи о Владимире Путине и Кремле. По данным Associated Press и SecureWorks, эта группа журналистов является третьей по величине группой, на которую нацелена Fancy Bear, после дипломатического персонала и демократов США. В целевой список Fancy Bear входят Адриан Чен , армянская журналистка Мария Титициан, Элиот Хиггинс из Bellingcat , Эллен Барри и по меньшей мере 50 других репортеров New York Times , по меньшей мере 50 иностранных корреспондентов, базирующихся в Москве, которые работали на независимые новостные агентства, Джош Рогин , Обозреватель Washington Post , Шейн Харрис , автор Daily Beast , который в 2015 году освещал вопросы разведки, Майкл Вайс , аналитик по безопасности CNN, Джейми Кирчик из Института Брукингса , 30 объектов СМИ в Украине, многие из которых были в «Kyiv Post» , репортеры, освещавшие российские события поддерживаемая война на востоке Украины , а также в России, где большинство журналистов, подвергшихся атакам хакеров, работали на независимые новости (например, «Новая газета» или «Ведомости» ), такие как Екатерина Винокурова из Znak.com и ведущие российские журналисты Тина Канделаки , Ксения Собчак и российский телеведущий Павел Лобков , все они работали на телеканале «Дождь» . [28]

Немецкие атаки (с 2014 ) г.

Считается, что Fancy Bear несет ответственность за шестимесячную кибератаку на немецкий парламент , начавшуюся в декабре 2014 года. [29] 5 мая 2020 года федеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина в связи с нападениями. [30] Атака полностью парализовала ИТ-инфраструктуру Бундестага в мае 2015 года. Чтобы разрешить ситуацию, весь парламент пришлось отключить на несколько дней. По оценкам ИТ-экспертов, в ходе атаки из парламента было скачано 16 гигабайт данных. [31]

Группа также подозревается в причастности к фишинговой атаке в августе 2016 года на членов Бундестага и нескольких политических партий, таких как Linken лидер фракции Сара Вагенкнехт , Союз Юнге и ХДС Саара целевой . [32] [33] [34] [35] Власти опасались, что хакеры могут собрать конфиденциальную информацию, чтобы впоследствии манипулировать общественностью накануне выборов, таких как следующие федеральные выборы в Германии, которые должны были состояться в сентябре 2017 года. [32]

женам военных США (10 февраля 2015 Угрозы расправы ) г.

10 февраля 2015 года пять жен американских военнослужащих получили угрозы убийством от хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она является филиалом Исламского государства. [36] [37] [38] [39] Позже выяснилось, что это была атака под ложным флагом со стороны Fancy Bear, когда выяснилось, что адреса электронной почты жертв находились в списке целей фишинга Fancy Bear. [37] Известно также, что российские тролли в социальных сетях раздувают шумиху и распространяют слухи об угрозе потенциальных террористических атак Исламского государства на территорию США, чтобы посеять страх и политическую напряженность. [37]

французского телевидения (апрель 2015 Взлом ) г.

8 апреля 2015 года французская телекомпания TV5Monde стала жертвой кибератаки со стороны хакерской группы, называющей себя «КиберХалифат» и утверждающей, что она связана с террористической организацией «Исламское государство Ирака и Леванта » (ИГИЛ). Позднее французские следователи отвергли версию о том, что за кибератакой стояли воинствующие исламисты, вместо этого заподозрив причастность Fancy Bear. [40]

Хакеры взломали внутренние системы сети, возможно, благодаря паролям, открыто переданным TV5. [41] отмена вещания 12 каналов компании более чем на три часа. [42] Служба была восстановлена ​​лишь частично рано утром следующего дня, а нормальное вещание было прервано поздно вечером 9 апреля. [42] Различные компьютеризированные внутренние административные и вспомогательные системы, включая электронную почту, также по-прежнему были отключены или недоступны по другим причинам из-за атаки. [43] [42] Хакеры также взломали TV5Monde в Facebook и Twitter страницы , чтобы разместить личную информацию родственников французских солдат, участвовавших в действиях против ИГИЛ, а также сообщения с критикой президента Франсуа Олланда , утверждая, что теракты в январе 2015 года были «подарком» за его «непростительную ошибку». «участия в конфликтах, которые «[не служат] никакой цели». [44] [42]

Генеральный директор TV5Monde Ив Биго позже заявил, что атака почти уничтожила компанию; если бы восстановление вещания заняло больше времени, каналы спутникового распространения, скорее всего, расторгли бы свои контракты. Атака была задумана как разрушительная как для оборудования, так и для самой компании, а не для пропаганды или шпионажа, как это было в случае большинства других кибератак. Атака была тщательно спланирована; первое известное проникновение в сеть произошло 23 января 2015 года. [45] Затем злоумышленники провели разведку TV5Monde, чтобы понять, как он транслирует свои сигналы, и создали специальное вредоносное программное обеспечение для повреждения и уничтожения подключенного к Интернету оборудования, которое контролировало работу телеканала, например, систем кодирования. Они использовали семь разных точек входа, не все из которых были частью TV5Monde или даже во Франции: одна из них была компанией, базирующейся в Нидерландах, которая поставляла камеры с дистанционным управлением, используемые в студиях TV5. [45] В период с 16 февраля по 25 марта злоумышленники собрали данные на внутренних платформах TV5, включая IT Internal Wiki , и проверили, что учетные данные для входа все еще действительны. [45] В ходе атаки хакеры выполнили серию команд, извлеченных из журналов TACACS, чтобы стереть прошивку коммутаторов и маршрутизаторов . [45]

Хотя атака якобы была совершена ИГ, французское киберагентство посоветовало Биго сказать только, что сообщения якобы исходят от ИГ. Позже ему сообщили, что были найдены доказательства того, что нападавшими была группа российских хакеров APT 28. Причин нападения на TV5Monde обнаружено не было, а источник приказа о нападении и его финансирование неизвестны. Было высказано предположение, что это, вероятно, была попытка протестировать формы кибероружия. Стоимость оценивалась в 5 миллионов евро (5,6 миллиона долларов; 4,5 миллиона фунтов стерлингов) в первый год, после чего следовали ежегодные затраты на новую защиту в размере более 3 миллионов евро (3,4 миллиона долларов США; 2,7 миллиона фунтов стерлингов). Метод работы компании пришлось изменить, включая аутентификацию электронной почты, проверку флэш-накопителей перед вставкой и т. д., что значительно снизило эффективность новостной компании, которая должна перемещать информацию. [46]

Отчет root9B (май 2015 г.) [ править ]

В мае 2015 года охранная фирма root9B опубликовала отчет о Fancy Bear, в котором объявила об обнаружении целенаправленной фишинговой атаки, направленной на финансовые учреждения. В отчете перечислены международные банковские учреждения, ставшие объектом нападения, в том числе Объединенный банк Африки , Банк Америки , TD Bank и Банк ОАЭ. По данным root9B, подготовка к атакам началась в июне 2014 года, и использованное вредоносное ПО «носило особые сигнатуры, которые исторически были уникальными только для одной организации — Sofacy». [47] Журналист по вопросам безопасности Брайан Кребс усомнился в достоверности утверждений root9B, заявив, что атаки на самом деле были осуществлены нигерийскими фишерами. [48] В июне 2015 года уважаемый исследователь безопасности Клаудио Гуарниери опубликовал отчет, основанный на его собственном расследовании параллельного эксплойта, приписываемого SOFACY, против немецкого Бундестага. [49] и отметил, что root9B сообщил, что «тот же IP-адрес использовался в качестве сервера управления и контроля при атаке на Бундестаг (176.31.112.10)», и далее сказал, что, основываясь на его исследовании атаки на Бундестаг, «по крайней мере некоторые» Индикаторы, содержащиеся в отчете root9B, оказались точными, включая сравнение хеша образца вредоносного ПО от обоих инцидентов. root9B позже опубликовал технический отчет, в котором сравнивается проведенный Клаудио анализ SOFACY, приписывающий вредоносное ПО их собственному образцу, что повышает достоверность их первоначального отчета. [50]

Пародия EFF, Белый дом и атака НАТО (август г. 2015 )

В августе 2015 года Fancy Bear использовала эксплойт нулевого дня в Java , подделав Electronic Frontier Foundation и организовав атаки на Белый дом и НАТО . Хакеры использовали целевую фишинговую атаку, направляя электронные письма на ложный URL-адрес Electronicfrontierfoundation.org. [51] [52]

Всемирное антидопинговое агентство (август 2016 г.) [ править ]

В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных под видом официальных сообщений ВАДА с запросом данных для входа. После проверки двух доменов, предоставленных ВАДА, было обнаружено, что информация о регистрации и хостинге веб-сайтов соответствует данным российской хакерской группы Fancy Bear. [53] [54] По данным ВАДА, часть опубликованных хакерами данных оказалась сфальсифицированной. [55]

Из-за фактов широкого распространения допинга со стороны российских спортсменов ВАДА рекомендовало отстранить российских спортсменов от участия в Олимпийских и Паралимпийских играх 2016 года в Рио. Аналитики заявили, что, по их мнению, взлом был отчасти актом возмездия против разоблачившей российской спортсменки Юлии Степановой , чья личная информация была раскрыта в результате взлома. [56] В августе 2016 года ВАДА сообщило, что их системы были взломаны, объяснив, что хакеры из Fancy Bear использовали учетную запись, созданную Международным олимпийским комитетом (МОК), для получения доступа к базе данных своей системы антидопингового администрирования и управления (ADAMS). [57] Затем хакеры использовали веб-сайтfancybear.net, чтобы раскрыть то, что, по их словам, было файлами олимпийских тестов на допинг нескольких спортсменов, получивших освобождение от терапевтического использования, в том числе гимнастки Симоны Байлз , теннисисток Винус и Серены Уильямс и баскетболистки Елены Делле Донн . [58] Хакеры сосредоточились на спортсменах, которым ВАДА по разным причинам предоставило освобождение. Последующие утечки включали спортсменов из многих других стран. [57]

и Совет по безопасности Нидерландов Bellingcat

Элиот Хиггинс и другие журналисты, связанные с Bellingcat , группой, расследующей сбитие рейса 17 Malaysia Airlines над Украиной, подверглись многочисленным целевым фишинговым электронным письмам. Сообщения представляли собой поддельные уведомления безопасности Gmail с сокращенными URL-адресами Bit.ly и TinyCC. По данным ThreatConnect , некоторые фишинговые письма были отправлены с серверов, которые Fancy Bear использовала в предыдущих атаках в других местах. Bellingcat известна тем, что продемонстрировала, что Россия виновна в сбитии MH17, и российские СМИ часто высмеивают ее. [59] [60]

Группа нацелилась на Совет безопасности Нидерландов , орган, проводящий официальное расследование катастрофы, до и после публикации окончательного отчета совета. Они установили поддельные серверы SFTP и VPN, чтобы имитировать собственные серверы совета директоров, вероятно, с целью целевого фишинга имен пользователей и паролей. [61] Представитель DSB заявил, что атаки не увенчались успехом. [62]

Национальный комитет Демократической партии ( 2016 г. )

компания Fancy Bear провела целевую фишинговую атаку на адреса электронной почты, связанные с Национальным комитетом Демократической партии . В первом квартале 2016 года [63] [64] 10 марта начали приходить фишинговые электронные письма, которые в основном были направлены на старые адреса электронной почты сотрудников предвыборного штаба Демократической партии 2008 года. Одна из этих учетных записей могла содержать обновленные списки контактов. На следующий день фишинговые атаки распространились на частные адреса электронной почты высокопоставленных чиновников Демократической партии. Адреса Hillaryclinton.com были атакованы, но для доступа требовалась двухфакторная аутентификация. Атака была перенаправлена ​​на учетные записи Gmail 19 марта. В тот же день была взломана учетная запись Gmail Подесты, в ходе которой было украдено 50 000 электронных писем. В апреле фишинговые атаки усилились. [64] хотя хакеры, похоже, внезапно стали бездействовать в течение дня 15 апреля, который в России был праздником в честь военных служб радиоэлектронной борьбы. [65] Вредоносное ПО, использованное в атаке, отправило украденные данные на те же серверы, которые использовались группировкой для атаки на парламент Германии в 2015 году . [1]

14 июня CrowdStrike опубликовала отчет, в котором рассказывается о взломе DNC и называет виновниками Fancy Bear. Затем появился онлайн-персонаж Guccifer 2.0 , взявший на себя единоличную ответственность за нарушение. [66]

еще одна изощренная хакерская группа, приписываемая Российской Федерации, под прозвищем Cosy Bear В то же время на серверах Национального комитета Демократической партии присутствовала . Однако обе группы, похоже, не знали друг о друге, поскольку каждая независимо украла одни и те же пароли и иным образом дублировала свои усилия. Cozy Bear, похоже, представляет собой другое агентство, более заинтересованное в традиционном долгосрочном шпионаже. [65] Судебно-медицинская группа CrowdStrike установила, что хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear пробыл там всего несколько недель. [1]

Украинская артиллерия [ править ]

Зараженную версию приложения для управления гаубицей Д-30 предположительно передали украинской артиллерии

По данным CrowdStrike , в 2014–2016 годах группировка использовала вредоносное ПО для Android для нападения на ракетные войска и артиллерию украинской армии . Они распространяли зараженную версию для Android приложения , первоначальной целью которого был контроль данных о целеуказании артиллерийской установки «Гаубица Д-30» . Приложение, которым пользовались украинские офицеры, было загружено шпионским ПО X-Agent и размещено на военных форумах. Первоначально CrowdStrike утверждала, что более 80% украинских гаубиц Д-30 были уничтожены во время войны, что является самым высоким процентом потерь среди всех артиллерийских орудий в армии (процент, о котором ранее никогда не сообщалось и который будет означать потерю почти всего арсенала). крупнейшего артиллерийского орудия ВСУ [67] ). [68] По данным украинской армии, цифры CrowdStrike были неверными, потери в артиллерийском вооружении «были намного ниже заявленных» и что эти потери «не имеют ничего общего с заявленной причиной». [69] CrowdStrike с тех пор пересмотрел этот отчет после того, как Международный институт стратегических исследований (IISS) дезавуировал его первоначальный отчет, заявив, что взломы вредоносного ПО привели к потерям в 15–20%, а не в первоначальном показателе в 80%. [70]

Windows нулевого дня (октябрь 2016 г.) [ править ]

31 октября 2016 года Google группа анализа угроз обнаружила уязвимость нулевого дня в большинстве версий Microsoft Windows , которая является объектом активных атак вредоносного ПО. 1 ноября 2016 года исполнительный вице-президент Microsoft группы Windows и устройств Терри Майерсон разместил в блоге Microsoft Threat Research & Response Blog, признавая наличие уязвимости и объясняя, что в «малой объемной целевой фишинговой кампании», нацеленной на конкретных пользователей, использовались «два уязвимости нулевого дня в Adobe Flash и ядре Windows нижнего уровня». Microsoft указала на Fancy Bear как на субъекта угрозы, назвав группу своим собственным кодовым названием STRONTIUM . [71]

Министерства Нидерландов (февраль 2017 г.) [ править ]

В феврале 2017 года Служба общей разведки и безопасности (AIVD) Нидерландов сообщила , что Fancy Bear и Cozy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, заявил на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. [72]

На брифинге в парламенте министр внутренних дел и отношений с Королевством Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. [73]

Взлом ИААФ (февраль 2017 г.) [ править ]

Представители Международной ассоциации легкоатлетических федераций (IAAF) в апреле 2017 года заявили, что ее серверы были взломаны группировкой Fancy Bear. Атака была обнаружена фирмой по кибербезопасности Context Information Security, которая установила, что 21 февраля имел место несанкционированный удаленный доступ к серверам ИААФ. ИААФ заявила, что хакеры получили доступ к приложениям по разрешению на терапевтическое использование , необходимым для использования лекарств, запрещенных ВАДА. [74] [75]

в Германии и Франции (2016–2017 гг . Выборы )

Исследователи из Trend Micro в 2017 году опубликовали отчет, в котором излагаются попытки Fancy Bear воздействовать на группы, связанные с избирательными кампаниями Эммануэля Макрона и Ангелы Меркель . Согласно отчету, они атаковали кампанию Макрона с помощью фишинга и попыток установить вредоносное ПО на свой сайт. Французское правительственное агентство кибербезопасности ANSSI подтвердило, что эти атаки имели место, но не смогло подтвердить ответственность APT28. [76] Предвыборная кампания Марин Ле Пен , судя по всему, не стала объектом внимания со стороны APT28, что, возможно, указывает на предпочтение России к ее кампании. Ранее Путин рекламировал выгоды для России в случае избрания Марин Ле Пен. [77]

В докладе говорится, что затем они напали на немецкий Фонд Конрада Аденауэра и Фонд Фридриха Эберта Ангелы Меркель , группы, которые связаны с Христианско-демократическим союзом и оппозиционной Социал-демократической партией соответственно. В конце 2016 года Fancy Bear установила поддельные почтовые серверы для рассылки фишинговых писем со ссылками на вредоносное ПО. [78]

Международный олимпийский комитет ( 2018 ) г.

10 января 2018 года онлайн-персонаж «Fancy Bears Hack Team» слил в сеть то, что, по всей видимости, было украдено. Электронные письма Международного олимпийского комитета (МОК) и Олимпийского комитета США , датированные концом 2016 — началом 2017 года, были опубликованы в явной мести за запрет МОК. российских спортсменов с зимних Олимпийских игр 2018 года в качестве санкции за систематическую допинговую программу России . Атака напоминает более ранние утечки информации от Всемирного антидопингового агентства (ВАДА). Неизвестно, являются ли электронные письма полностью подлинными, поскольку Fancy Bear уже неоднократно добавляла украденные электронные письма дезинформации. Способ атаки также неизвестен, но, вероятно, это был фишинг. [79] [80]

Эксперты по кибербезопасности также заявили, что атаки, судя по всему, также были нацелены на профессиональную компанию по розливу спортивных допинг-тестов, известную как Berlinger Group. [81]

спортивная Шведская конфедерация

Шведская спортивная конфедерация сообщила, что Fancy Bear несет ответственность за атаку на ее компьютеры, нацеленную на записи допинг-тестов спортсменов. [82]

группы США ( Консервативные ) 2018

Компания-разработчик программного обеспечения Microsoft сообщила в августе 2018 года, что группа пыталась украсть данные у политических организаций, таких как Международный республиканский институт и аналитические центры Института Гудзона . Атаки были предотвращены, когда сотрудники службы безопасности Microsoft получили контроль над шестью сетевыми доменами . [83] В своем заявлении Microsoft сообщила, что «в настоящее время у нас нет доказательств того, что эти домены использовались в каких-либо успешных атаках до того, как DCU передал контроль над ними, а также у нас нет доказательств, указывающих на личность конечных целей любой запланированной атаки с участием этих доменов». [84]

Вселенский Патриархат и другое духовенство (август г. ) 2018

Согласно сообщению Associated Press за август 2018 года , Fancy Bear в течение многих лет преследовала электронную переписку должностных лиц Константинопольского патриархата во главе с патриархом Варфоломеем I. Вселенским [85] Публикация появилась в период обострения напряженности между Вселенским Патриархатом, старшей из всех Восточных Православных Церквей , и Русской Православной Церковью (Московский Патриархат) по вопросу полной церковной независимости ( автокефалии ) Православной Церкви в Украине. , которого добивается украинское правительство. Издание цитирует экспертов, заявляющих, что предоставление автокефалии Церкви в Украине подорвет власть и престиж Московского Патриархата и подорвет его претензии на транснациональную юрисдикцию. [85] Кибератаки также были направлены против православных христиан в других странах, а также против мусульман, евреев и католиков в США, «Уммы», зонтичной группы украинских мусульман, папского нунция в Киеве и Иосифа Зисельса, который руководит Украинской ассоциацией еврейских организаций и общин. [85]

Обвинения в 2018 году [ править ]

ФБР запросило плакат с изображением офицеров, обвиненных в причастности к Fancy Bear

США было распечатано обвинительное заключение В октябре 2018 года федеральным большим жюри в отношении семи россиян, офицеров ГРУ, в отношении нападений. В обвинительном заключении говорится, что с декабря 2014 года по крайней мере до мая 2018 года офицеры ГРУ вступили в сговор с целью проведения «постоянных и изощренных компьютерных вторжений, затрагивающих граждан США, юридические лица, международные организации и их соответствующих сотрудников, расположенных по всему миру, исходя из их стратегического интереса к российское правительство». [86] [87] Министерство юстиции США заявило, что заговор, среди прочего, преследовал цель «опубликовать украденную информацию в рамках кампании влияния и дезинформации, призванной подорвать, отомстить и иным образом лишить легитимности» усилия Всемирного антидопингового агентства , Международная антидопинговая организация, опубликовавшая доклад Макларена — доклад, в котором разоблачается широкомасштабное применение допинга российскими спортсменами, спонсируемое российским правительством . [86] Обвиняемым были предъявлены обвинения в компьютерном взломе , электронном мошенничестве , краже личных данных при отягчающих обстоятельствах и отмывании денег . [86]

аналитических центров в 2019 году Атаки

В феврале 2019 года Microsoft объявила, что обнаружила целевые фишинговые атаки со стороны APT28, направленные на сотрудников Немецкого фонда Маршалла , Института Аспена в Германии и Немецкого совета по международным отношениям . [88] [89] Хакеры из этой группы предположительно рассылали фишинговые электронные письма на 104 адреса электронной почты по всей Европе, пытаясь получить доступ к учетным данным работодателя и заразить сайты вредоносным ПО. [90] [91]

чешское учреждение Стратегическое 2019 года

В 2020 году Чешское национальное агентство кибер- и информационной безопасности [ cs ] сообщило об инциденте кибершпионажа в неназванном стратегическом учреждении, возможно, Министерстве иностранных дел . [92] скорее всего, осуществлено Fancy Bear. [93]

парламент в 2020 на норвежский году Атака

В августе 2020 года норвежский стортинг сообщил о «серьезной кибератаке» на свою систему электронной почты. Норвегии В сентябре 2020 года министр иностранных дел Ине Мари Эриксен Сёрейде обвинила Россию в нападении. Служба безопасности норвежской полиции в декабре 2020 года пришла к выводу, что «анализ показывает, что вполне вероятно, что операция была проведена киберпреступником, которого в открытых источниках называют APT28 и Fancy Bear», и что «конфиденциальный контент был извлечен из некоторых затронутые учетные записи электронной почты.». [94]

Характеристики и методы [ править ]

компанией Grizzly Steppe (Fancy Bear и Cozy Bear ). Диаграмма, показывающая процесс использования целевого фишинга

Fancy Bear использует передовые методы, соответствующие возможностям государственных субъектов. [95] Они используют целевые фишинговые электронные письма, вредоносные веб-сайты, замаскированные под источники новостей, и нулевого дня уязвимости . Одна исследовательская группа по кибербезопасности отметила, что в 2015 году они использовали шесть различных эксплойтов нулевого дня — технический подвиг, который потребует от большого количества программистов поиска ранее неизвестных уязвимостей в новейшем коммерческом программном обеспечении. Это считается признаком того, что Fancy Bear — это государственная программа, а не банда или хакер-одиночка. [96] [97]

Одной из предпочтительных целей Fancy Bear являются веб-службы электронной почты. Типичный компромисс будет заключаться в том, что пользователи электронной почты в Интернете получают электронное письмо с срочной просьбой сменить свои пароли, чтобы избежать взлома. В электронном письме будет ссылка на поддельный веб-сайт, который имитирует реальный интерфейс веб-почты. Пользователи попытаются войти в систему, а их учетные данные будут украдены. URL-адрес часто скрывается под сокращенной bit.ly. ссылкой [98] чтобы обойти спам-фильтры . Fancy Bear рассылает эти фишинговые письма преимущественно по понедельникам и пятницам. Они также рассылают электронные письма, предположительно содержащие ссылки на новости, но вместо этого ссылаются на сайты, где размещаются вредоносные программы, которые устанавливают наборы инструментов на компьютер цели. [96] Fancy Bear также регистрирует домены, похожие на законные веб-сайты, а затем создает подделку сайта, чтобы украсть учетные данные своих жертв. [66] Известно, что Fancy Bear ретранслирует свой командный трафик через прокси-сети жертв, которых он ранее скомпрометировал. [99]

Программное обеспечение, которое использовал Fancy Bear, включает ADVSTORESHELL, CHOPSTICK, JHUHUGIT и XTunnel. Fancy Bear использует ряд имплантатов, включая Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy и дропперы DownRange. [66] Основываясь на времени компиляции, FireEye пришла к выводу, что Fancy Bear постоянно обновляет свое вредоносное ПО с 2007 года. [99] Чтобы предотвратить обнаружение, Fancy Bear возвращается в окружающую среду, чтобы переключить свои имплантаты, изменить каналы управления и контроля и модифицировать свои постоянные методы. [95] Группа угроз применяет методы контранализа, чтобы запутать свой код . Они добавляют ненужные данные к закодированным строкам, что затрудняет декодирование без алгоритма удаления ненужных данных. [99] Fancy Bear принимает меры для предотвращения криминалистического анализа своих взломов, сбрасывая временные метки файлов и периодически очищая журналы событий. [66]

Согласно обвинительному заключению специального прокурора США, X-Agent «разрабатывался, настраивался и контролировался» капитаном-лейтенантом ГРУ Николаем Юрьевичем Козачеком. [2]

Известно, что Fancy Bear адаптирует имплантаты для целевых сред, например, перенастраивая их для использования локальных серверов электронной почты. [99] В августе 2015 года «Лаборатория Касперского» обнаружила и заблокировала версию имплантата ADVSTORESHELL, которая использовалась для атак на оборонных подрядчиков. Через полтора часа после блока актеры Fancy Bear собрали и представили новый бэкдор для имплантата. [27]

Образование [ править ]

Подразделение 26165 участвовало в разработке учебных программ в нескольких московских школах, в том числе в школе 1101. [100]

Связанные персонажи [ править ]

Fancy Bear иногда создает онлайн-персонажей, чтобы посеять дезинформацию, отвести вину и создать правдоподобное отрицание своей деятельности. [101]

Гуччифер 2.0 [ править ]

Интернет-персонаж, который впервые появился и взял на себя ответственность за взломы DNC в тот же день, когда появилась история о том, что за это несет ответственность Fancy Bear. [102] Guccifer 2.0 утверждает, что является румынским хакером, но в интервью журналу Motherboard им задавали вопросы на румынском языке , и они, похоже, не могли говорить на этом языке. [103] Некоторые документы, которые они опубликовали, кажутся подделками, составленными из материалов предыдущих хакерских атак и общедоступной информации, а затем приправленными дезинформацией. [103]

Хакерская команда Fancy Bears [ править ]

На веб-сайте, созданном для утечки документов, полученных в результате атак ВАДА и ИААФ, был опубликован краткий манифест от 13 сентября 2016 года, в котором утверждалось, что сайт принадлежит «хакерской команде Fancy Bears», которая, по словам представителей компании, является «международной хакерской командой». которые «выступают за честную игру и чистый спорт». [104] Сайт взял на себя ответственность за взлом ВАДА и пообещал предоставить «сенсационные доказательства того, что известные спортсмены принимают допинговые вещества», начиная с олимпийской сборной США, которая, по его словам, «опозорила свое имя запятнанными победами». [104] ВАДА заявило, что некоторые из документов, опубликованных под этим именем, были подделками, и что данные были изменены. [105] [104]

Аноним Польша [ править ]

Аккаунт в Твиттере под названием «Анонимная Польша» (@anpoland) взял на себя ответственность за атаку на Всемирное антидопинговое агентство. [106] и опубликовал данные, украденные из Спортивного арбитражного суда , второстепенной цели. [107] [108] ThreatConnect поддерживает точку зрения, что Anonymous Польша является марионеткой Fancy Bear, отмечая изменение исторического акцента на внутренней политике. На снимке экрана, загруженном Anonymous Польша, показана учетная запись с настройками польского языка, но история их браузера показала, что они выполняли поиск в Google.ru (Россия) и Google.com (США), но не в Google.pl (Польша). . [107]

См. также [ править ]

Примечания [ править ]

1. ^ По данным компании FireEye, занимающейся кибербезопасностью, Fancy Bear использует набор инструментов, который часто обновляется с 2007 или, возможно, даже с 2004 года. [96] Trend Micro заявила, что может проследить деятельность Pawn Storm с 2004 года. [109]
2. ^ Алексей Сергеевич Моренец (Моренец Алексей Сергеевич), Евгений Михайлович Серебряков, Иван Сергеевич Ермаков (Ермаков Иван Сергеевич), Артем Андреевич Малышев (Малышев Артём Андреевич), Дмитрий Сергеевич Бадин (Дмитрий Сергеевич Солегович Олехаевич г-н Михайлович Сотников), Алексей Валерьевич Минин ( Алексей Валерьевич Минин). [87]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б с д Уорд, Вики (24 октября 2016 г.). «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина» . Esquire.com . Архивировано из оригинала 26 января 2018 года . Проверено 13 декабря 2016 г.
  2. Перейти обратно: Перейти обратно: а б с д Поулсон, Кевин (21 июля 2018 г.). «Мюллер наконец-то разгадал загадку российских хакеров «Fancy Bear»» . Ежедневный зверь . Архивировано из оригинала 23 июля 2018 года . Проверено 21 июля 2018 г.
  3. Перейти обратно: Перейти обратно: а б «Обвинение 12 российским хакерам может стать самым большим шагом Мюллера» . Проводной . Архивировано из оригинала 13 июля 2018 года . Проверено 4 октября 2018 г.
  4. ^ Димитрис Грицалис, Марианти Теохариду, Джордж Стергиопулос (10 января 2019 г.). Безопасность и устойчивость критической инфраструктуры: теории, методы, инструменты ... Springer, 2019. ISBN  9783030000240 .
  5. ^ «МЕЖДУНАРОДНАЯ БЕЗОПАСНОСТЬ И ЭСТОНИЯ» (PDF) . Valisluureamet.ee . 2018. Архивировано из оригинала (PDF) 26 октября 2020 года . Проверено 4 октября 2018 г.
  6. ^ «Познакомьтесь с Fancy Bear и Cozy Bear, российскими группировками, обвиненными во взломе Национального комитета Демократической партии» . Христианский научный монитор . 15 июня 2016 года. Архивировано из оригинала 8 апреля 2022 года . Проверено 4 октября 2018 г.
  7. ^ Винтур, Патрик (3 октября 2018 г.). «Великобритания обвиняет Кремль в заказе серии «безрассудных» кибератак» . Хранитель . Архивировано из оригинала 9 июля 2022 года . Проверено 4 октября 2018 г.
  8. ^ Группа угроз 4127 нацелена на президентскую кампанию Хиллари Клинтон . Secureworks.com (Отчет). 16 июня 2016 года. Архивировано из оригинала 20 июля 2016 года . Проверено 22 декабря 2016 г. и собирает разведданные от имени российского правительства.
  9. ^ «Российские кибероперации на стероидах» . Threatconnect.com . 19 августа 2016 года. Архивировано из оригинала 23 декабря 2016 года . Проверено 22 декабря 2016 г. Русская тактика FANCY BEAR
  10. Перейти обратно: Перейти обратно: а б «APT28: Окно в российские операции по кибершпионажу?» . Fireeye.com . 27 октября 2016 г. Архивировано из оригинала 11 сентября 2016 г. . Проверено 1 сентября 2015 г. По нашим оценкам, APT28, скорее всего, спонсируется правительством России.
  11. ^ «Расследование российских воинских частей, занимающихся психологическими операциями (ПСО) и хакерскими атаками — Мольфар» . molfar.com . Проверено 24 июля 2023 г.
  12. ^ «Россия обвиняет Украину в атаках дронов на Москву – DW – 24.07.2023» . dw.com . Проверено 24 июля 2023 г.
  13. ^ Робин, Себастьян (25 июля 2023 г.). «Украинские дроны атаковали российских шпионов в Москве — и «этого будет больше» » . ca.news.yahoo.com . Проверено 4 мая 2024 г.
  14. ^ «Человек, возглавляющий борьбу Америки с российскими хакерами, — худший кошмар Путина» . Esquire.com . 2016-10-24. Архивировано из оригинала 26 января 2018 г. Проверено 7 мая 2017 г.
  15. ^ Херн, Алекс (8 мая 2017 г.). «Хакеры Макрона связаны с связанной с Россией группой, стоящей за атакой на США» . Хранитель . Архивировано из оригинала 13 апреля 2018 года . Проверено 16 марта 2018 г.
  16. ^ Гоголински, Джим (22 октября 2014 г.). «Операция Pawn Storm: Красные в SEDNIT» . Тренд Микро. Архивировано из оригинала 8 сентября 2015 года . Проверено 1 сентября 2015 г.
  17. ^ «Операция Pawn Storm: использование приманок для уклонения от обнаружения» (PDF) . Тренд Микро. 2014. Архивировано (PDF) из оригинала 13 сентября 2016 г. Проверено 1 сентября 2015 г.
  18. ^ Менн, Джозеф (18 апреля 2015 г.). «Российские киберзлоумышленники использовали две неизвестные бреши: охранная компания» . Рейтер . Архивировано из оригинала 29 июня 2021 года . Проверено 5 июля 2021 г.
  19. ^ Кумар, Мохит (30 октября 2014 г.). «APT28 — спонсируемая государством российская хакерская группа» . Хакерские новости . Архивировано из оригинала 22 октября 2015 года . Проверено 1 сентября 2015 г.
  20. ^ Мамиит, Аарон (30 октября 2014 г.). «Знакомьтесь, APT28, поддерживаемая Россией вредоносная программа для сбора разведывательной информации от правительств и военных: отчет» . Тех Таймс . Архивировано из оригинала 14 августа 2016 года . Проверено 1 сентября 2015 г.
  21. ^ «APT28: Окно в российские операции по кибершпионажу?» . FireEye.com . 27 октября 2014 года. Архивировано из оригинала 11 сентября 2016 года . Проверено 1 сентября 2015 г.
  22. ^ Вайсман, Кейл Гатри (11 июня 2015 г.). «Франция: Российские хакеры выдавали себя за ИГИЛ, чтобы взломать французскую телекомпанию» . Бизнес-инсайдер . Архивировано из оригинала 16 августа 2016 года . Проверено 1 сентября 2015 г.
  23. Перейти обратно: Перейти обратно: а б с д Саттер, Рафаэль; Донн, Джефф; Майерс, Джастин (2 ноября 2017 г.). «Цифровой хит-лист показывает, что российские хакерские атаки вышли далеко за рамки выборов в США» . Чикаго Трибьюн . АП. Архивировано из оригинала 9 ноября 2017 года . Проверено 10 ноября 2017 г. .
  24. ^ Ядрон, Дэнни (28 октября 2014 г.). «След хакерства ведет в Россию, говорят эксперты» . Уолл Стрит Джорнал . Архивировано из оригинала 19 мая 2017 года . Проверено 7 марта 2017 г.
  25. ^ «Коми из ФБР: Россия также взломала республиканцев | CNN Politics» . CNN . 10 января 2017 г.
  26. ^ САТТЕР, РАФАЭЛЬ; ДОНН, ДЖЕФФ (1 ноября 2017 г.). «Российские хакеры преследовали противников Путина, а не только американских демократов» . Новости США и мировой отчет . Ассошиэйтед Пресс . Архивировано из оригинала 12 декабря 2017 года . Проверено 2 ноября 2017 г.
  27. Перейти обратно: Перейти обратно: а б Группа глобальных исследований и анализа «Лаборатории Касперского» (4 декабря 2015 г.). «Sofacy APT достигает поставленных целей с помощью обновленного набора инструментов Securelist» . Список безопасности . Архивировано из оригинала 27 мая 2017 года . Проверено 13 декабря 2016 г.
  28. ^ «Российские хакеры охотились на журналистов в течение многих лет» . Звезда-Рекламодатель . Гонолулу. Ассошиэйтед Пресс. 22 декабря 2017. Архивировано из оригинала 23 декабря 2017 года . Проверено 23 декабря 2017 г.
  29. ^ «Российские хакеры подозреваются в кибератаке на парламент Германии» . Юго-восток Лондона . Новости Альянса. 19 июня 2015 года. Архивировано из оригинала 7 марта 2016 года . Проверено 1 сентября 2015 г.
  30. ^ «Германия выдала ордер на арест российского подозреваемого во взломе парламента: газета» . Нью-Йорк Таймс . Рейтер. 5 мая 2020 года. Архивировано из оригинала 5 мая 2020 года . Проверено 5 мая 2020 г.
  31. ^ Беннхольд, Катрин (13 мая 2020 г.). «Меркель «возмущена» российским хакерством, но изо всех сил пытается отреагировать» . Нью-Йорк Таймс . Архивировано из оригинала 14 мая 2020 года . Проверено 14 мая 2020 г.
  32. Перейти обратно: Перейти обратно: а б "Хакеры скрываются, - рассказали парламентарии" . Немецкая волна. Архивировано из оригинала 21 апреля 2021 года . Проверено 21 сентября 2016 г.
  33. ^ «Хакерская атака на немецкие вечеринки» . Зюддойче Цайтунг . Архивировано из оригинала 21 апреля 2021 года . Проверено 21 сентября 2016 г.
  34. ^ Холланд, Мартин (20 сентября 2016 г.). «Предположительно попытка хакерской атаки на Бундестаг и партии» . Хейзе. Архивировано из оригинала 1 апреля 2019 года . Проверено 21 сентября 2016 г.
  35. ^ «У нас есть отпечатки пальцев» . Франкфуртер Альгемайне . Архивировано из оригинала 22 марта 2019 года . Проверено 21 сентября 2016 г.
  36. ^ «Российские хакеры, выдававшие себя за боевиков ИГИЛ, угрожали женам военных» . Talkingpointsmemo.com . 8 мая 2018 г. Архивировано из оригинала 12 июля 2018 г. . Проверено 4 октября 2018 г.
  37. Перейти обратно: Перейти обратно: а б с «Российские хакеры выдавали себя за ИГ, чтобы угрожать женам военных» . Чикаго Трибьюн . Архивировано из оригинала 12 июня 2018 года . Проверено 7 июня 2018 г.
  38. ^ Браун, Дженнингс (8 мая 2018 г.). «Отчет: российские хакеры выдавали себя за ИГИЛ, чтобы атаковать жен американских военных» . gizmodo.com . Архивировано из оригинала 12 июня 2018 года . Проверено 4 октября 2018 г.
  39. ^ «Российские хакеры выдавали себя за ИГ, чтобы угрожать женам военных» . Apnews.com . 8 мая 2018 г. Архивировано из оригинала 17 августа 2018 г. . Проверено 4 октября 2018 г.
  40. ^ «Франция расследует причастность России к взлому TV5Monde: источники» . Рейтер . 10 июня 2015 года. Архивировано из оригинала 19 января 2016 года . Проверено 9 июля 2015 г.
  41. ^ Взломанная французская сеть раскрыла свои пароли во время телеинтервью. Архивировано 22 июля 2017 г. на Wayback Machine - arstechnica.
  42. Перейти обратно: Перейти обратно: а б с д «Хакеры ИГИЛ захватили контроль над французской сетью TV5Monde в ходе «беспрецедентной» атаки» . «Дейли телеграф» . 9 апреля 2015 года. Архивировано из оригинала 9 апреля 2015 года . Проверено 10 апреля 2015 г.
  43. ^ «Французские медиа-группы проведут экстренное совещание после кибератаки ИГИЛ» . Хранитель . 9 апреля 2015 года. Архивировано из оригинала 10 апреля 2015 года . Проверено 10 апреля 2015 г.
  44. ^ «Французская телекомпания TV5Monde «взломана киберхалифатом в ходе беспрецедентной атаки», которая раскрыла личные данные французских солдат» . Независимый . 9 апреля 2015 года. Архивировано из оригинала 25 сентября 2015 года . Проверено 9 апреля 2015 г.
  45. Перейти обратно: Перейти обратно: а б с д Суиш, Мэтт (10 июня 2017 г.). «Уроки взлома TV5Monde 2015» . Комаэ Технологии. Архивировано из оригинала 13 июня 2017 года.
  46. ^ Гордон Корера (10 октября 2016 г.). «Как французский телеканал TV5 почти уничтожили «российские хакеры» » . Новости Би-би-си . Архивировано из оригинала 25 июня 2018 года . Проверено 21 июля 2018 г.
  47. ^ Уокер, Даниэль (13 мая 2015 г.). «APT28 организовала атаки на глобальный банковский сектор, считает фирма» . Журнал СК . Архивировано из оригинала 2 марта 2018 года . Проверено 1 сентября 2015 г.
  48. ^ «Охранная фирма дает новое определение APT: угроза африканского фишинга» . Кребс о безопасности. 20 мая 2015. Архивировано из оригинала 18 июля 2015 года . Проверено 1 сентября 2015 г.
  49. ^ «Цифровая атака на парламент Германии: отчет о расследовании взлома инфраструктуры левой партии в Бундестаге» . netzpolitik.org . 19 июня 2015 года. Архивировано из оригинала 22 марта 2018 года . Проверено 16 марта 2018 г.
  50. ^ «Для продуктов Orkos Dfd ничего не найдено» (PDF) . www.root9b.com . Архивировано (PDF) из оригинала 1 марта 2018 года . Проверено 4 октября 2018 г.
  51. ^ Доктороу, Кори (28 августа 2015 г.). «Цепкие фишеры, подозреваемые в связях с российским правительством, подделывают поддельный домен EFF и атакуют Белый дом» . Боинг-Боинг . Архивировано из оригинала 22 марта 2019 года . Проверено 1 сентября 2015 г.
  52. ^ Квинтин, Купер (27 августа 2015 г.). «Новая кампания целевого фишинга выдает себя за EFF» . Eff.org . Архивировано из оригинала 7 августа 2019 года . Проверено 1 сентября 2015 г.
  53. ^ Гиацинт Маскареньяс (23 августа 2016 г.). «Российские хакеры Fancy Bear, вероятно, взломали олимпийское агентство по тестированию на допинг и Национальный комитет Демократической партии, говорят эксперты» . Интернэшнл Бизнес Таймс . Архивировано из оригинала 21 апреля 2021 года . Проверено 13 сентября 2016 г.
  54. ^ «Что мы знаем о хакерской команде Fancy Bears» . Новости Би-би-си . Архивировано из оригинала 22 марта 2019 года . Проверено 17 сентября 2016 г.
  55. ^ Галлахер, Шон (6 октября 2016 г.). «Исследователи находят фейковые данные в олимпийской антидопинговой программе Guccifer 2.0, которую Клинтон сбрасывает» . Арс Техника . Архивировано из оригинала 14 июля 2017 года . Проверено 26 октября 2016 г.
  56. ^ Тильман, Сэм (22 августа 2016 г.). «Те же российские хакеры, вероятно, взломали олимпийское агентство по тестированию на допинг и Национальный комитет Демократической партии» . Хранитель . Архивировано из оригинала 15 декабря 2016 года . Проверено 11 декабря 2016 г.
  57. Перейти обратно: Перейти обратно: а б Мейер, Джош (14 сентября 2016 г.). «Российские хакеры публикуют предполагаемые медицинские данные Симоны Байлз и Серены Уильямс» . Новости Эн-Би-Си . Архивировано из оригинала 7 мая 2020 года . Проверено 17 апреля 2020 г.
  58. ^ «Американские спортсмены уличены в допинге» . Fancybear.net . 13 сентября 2016 года. Архивировано из оригинала 24 декабря 2017 года . Проверено 2 ноября 2016 г.
  59. ^ Накашима, Эллен (28 сентября 2016 г.). «Российские хакеры преследовали журналистов, расследующих авиакатастрофу Malaysia Airlines» . Вашингтон Пост . Архивировано из оригинала 23 апреля 2019 года . Проверено 26 октября 2016 г.
  60. ^ ThreatConnect (28 сентября 2016 г.). «ThreatConnect проверяет действия, направленные против Bellingcat, ключевого участника расследования MH17» . УгрозаСоединение . Архивировано из оригинала 21 апреля 2021 года . Проверено 26 октября 2016 г.
  61. ^ Фейке Хакебор (22 октября 2015 г.). «Шторм пешек нацелен на группу по расследованию MH17» . Тренд Микро . Архивировано из оригинала 10 ноября 2016 года . Проверено 4 ноября 2016 г.
  62. ^ «Россия «пыталась взломать систему расследования MH17» » . АФП. 23 октября 2015 г. Архивировано из оригинала 21 августа 2018 г. Проверено 4 ноября 2016 г.
  63. ^ Сэнгер, Дэвид Э.; Корасанити, Ник (14 июня 2016 г.). «DNC заявляет, что российские хакеры проникли в его файлы, включая досье на Дональда Трампа» . Нью-Йорк Таймс . Архивировано из оригинала 25 июля 2019 года . Проверено 26 октября 2016 г.
  64. Перейти обратно: Перейти обратно: а б Саттер, Рафаэль; Донн, Джефф; Дэй, Чад (4 ноября 2017 г.). «Внутренняя история: как русские взломали электронную почту демократов» . АП Новости . Архивировано из оригинала 6 ноября 2017 года . Проверено 10 ноября 2017 г. .
  65. Перейти обратно: Перейти обратно: а б «Медведь на медведе» . Экономист . 22 сентября 2016 г. Архивировано из оригинала 20 мая 2017 г. Проверено 14 декабря 2016 г.
  66. Перейти обратно: Перейти обратно: а б с д Альперович, Дмитрий (15 июня 2016 г.). «Медведи посреди: Вторжение в Национальный комитет Демократической партии»» . Crowdstrike.com . Архивировано из оригинала 24 мая 2019 года . Проверено 13 декабря 2016 г.
  67. ^ «Украинские военные отрицают хакерскую атаку России» . Yahoo! Новости . 6 января 2017 года. Архивировано из оригинала 7 января 2017 года . Проверено 6 января 2017 г.
  68. ^ Мейерс, Адам (22 декабря 2016 г.). «Опасность близка: необычное медвежье выслеживание подразделений украинской полевой артиллерии» . Crowdstrike.com . Архивировано из оригинала 1 января 2017 года . Проверено 22 декабря 2016 г.
  69. ^ «Министерство обороны опровергает сообщения о предполагаемых артиллерийских потерях из-за взлома программного обеспечения российскими хакерами» . Интерфакс-Украина . 6 января 2017 года. Архивировано из оригинала 7 января 2017 года . Проверено 6 января 2017 г.
  70. ^ Кузьменко Алексей; Кобус, Пит. «Киберфирма переписывает часть спорного отчета о российском хакерстве» . Voanews.com . Архивировано из оригинала 22 декабря 2021 года . Проверено 26 марта 2017 г.
  71. ^ Галлахер, Шон (1 ноября 2016 г.). «Windows нулевого дня использовала та же группа, что стояла за взломом DNC» . Арс Техника . Архивировано из оригинала 2 ноября 2016 года . Проверено 2 ноября 2016 г. .
  72. ^ Моддерколк, Хуиб (4 февраля 2017 г.). «Русским не удалось взломать чиновников голландских министерств» . Де Фолькскрант (на голландском языке). Архивировано из оригинала 4 февраля 2017 года . Проверено 4 февраля 2017 г.
  73. ^ Класки, Питер (3 февраля 2017 г.). «Голландцы выбрали ручной подсчет после сообщений о российском хакерстве» . Ирландские Таймс . Архивировано из оригинала 19 сентября 2020 года . Проверено 20 февраля 2020 г.
  74. ^ Роджерс, Джеймс (3 апреля 2017 г.). «Международная легкоатлетическая организация IAAF, подвергшаяся хакерской атаке, предупреждает, что данные спортсменов могут быть скомпрометированы» . Фокс Ньюс . Архивировано из оригинала 17 мая 2017 года . Проверено 14 мая 2017 г.
  75. ^ «ИААФ заявляет, что ее взломали, получили доступ к медицинской информации спортсмена» . Голос Америки. Ассошиэйтед Пресс. 3 апреля 2017 года. Архивировано из оригинала 17 мая 2017 года . Проверено 14 мая 2017 г.
  76. ^ Эрик Ошар (24 апреля 2017 г.). «Кампания Макрона стала объектом кибератак со стороны шпионской группы» . Reuters.com . Архивировано из оригинала 26 апреля 2017 года . Проверено 27 апреля 2017 г.
  77. ^ Седдон, Макс; Стотхард, Майкл (4 мая 2017 г.). «Путин ждет возврата инвестиций в Ле Пен» . Файнэншл Таймс . Архивировано из оригинала 5 мая 2017 года.
  78. ^ «Связанные с Россией хакеры атакуют немецкие политические фонды» . Хандельсблатт. 26 апреля 2017 года. Архивировано из оригинала 12 августа 2018 года . Проверено 26 апреля 2017 г.
  79. ^ Мацакис, Луиза (10 января 2018 г.). «Краткий обзор взлома: российские хакеры опубликовали очевидные электронные письма МОК после запрета Олимпийских игр» . Проводной . Архивировано из оригинала 13 января 2018 года . Проверено 12 января 2018 г.
  80. ^ Ребекка Р. Руис, Ребекка Русские хакеры публикуют украденные электронные письма в новой попытке подорвать деятельность следователей по допингу. Архивировано 13 января 2018 г. в Wayback Machine , The New York Times (10 января 2018 г.).
  81. ^ Ник Гриффин, Performanta, [1] Архивировано 6 февраля 2018 г. в Wayback Machine (26 января 2018 г.).
  82. ^ Джонсон, Саймон; Сванберг, Олоф (15 мая 2018 г.). Поллард, Никлас; Лоусон, Хью (ред.). «Шведская спортивная организация заявила, что антидопинговое подразделение подверглось хакерской атаке» . Рейтер . Архивировано из оригинала 25 мая 2018 года . Проверено 24 мая 2018 г.
  83. ^ «Microsoft «препятствует российскому политическому хакерству» » . Новости Би-би-си . 21 августа 2018 г. Архивировано из оригинала 21 августа 2018 г. Проверено 21 августа 2018 г.
  84. ^ Смит, Брэд (21 августа 2018 г.). «Мы предпринимаем новые шаги против растущих угроз демократии» . Майкрософт . Архивировано из оригинала 21 августа 2018 года . Проверено 22 августа 2018 г.
  85. Перейти обратно: Перейти обратно: а б с Рафаэль Саттер (27 августа 2018 г.). «Российские кибершпионы потратили годы на православное духовенство» . Блумберг. Ассошиэйтед Пресс. Архивировано из оригинала 29 августа 2018 г. Проверено 28 августа 2018 г.
  86. Перейти обратно: Перейти обратно: а б с «США обвиняют российских офицеров ГРУ в международных хакерских атаках и связанных с ними операциях по оказанию влияния и дезинформации» (пресс-релиз). Министерство юстиции США. Архивировано из оригинала 04 октября 2018 г. Проверено 28 ноября 2018 г.
  87. Перейти обратно: Перейти обратно: а б Брэди, Скотт В. «Обвинительное заключение 7 офицерам ГРУ_октябрь 2018 г.» (PDF) . Окружной суд США Западного округа Пенсильвании . Архивировано (PDF) из оригинала 8 июня 2020 г. Проверено 8 июля 2018 г.
  88. ^ Двоскин, Элизабет; Тимберг, Крейг (19 февраля 2019 г.). «Microsoft заявляет, что обнаружила еще одну российскую операцию, нацеленную на известные аналитические центры» . Вашингтон Пост . Архивировано из оригинала 22 февраля 2019 года . Проверено 22 февраля 2019 г. Атаки «целевого фишинга», в ходе которых хакеры рассылают фальшивые электронные письма с целью заставить людей посетить веб-сайты, которые выглядят аутентичными, но на самом деле позволяют им проникнуть в корпоративные компьютерные системы своих жертв, были связаны с хакерской группой APT28, подразделением Российская военная разведка, вмешивавшаяся в выборы в США в 2016 году. Группа нацелилась на более чем 100 европейских сотрудников Немецкого фонда Маршалла, Института Аспена в Германии и Немецкого совета по международным отношениям — влиятельных групп, занимающихся вопросами трансатлантической политики.
  89. ^ Берт, Том (20 февраля 2019 г.). «Новые шаги по защите Европы от продолжающихся киберугроз» . Майкрософт . Архивировано из оригинала 20 февраля 2019 года . Проверено 22 февраля 2019 г. Атаки на эти организации, которые мы раскрываем с их разрешения, были направлены на 104 аккаунта, принадлежащих сотрудникам организаций, расположенных в Бельгии, Франции, Германии, Польше, Румынии и Сербии. MSTIC продолжает расследовать источники этих атак, но мы уверены, что многие из них исходили от группы, которую мы называем Strontium. Атаки произошли в период с сентября по декабрь 2018 года. Когда мы обнаружили, что они стали целью, мы быстро уведомили каждую из этих организаций, чтобы они могли принять меры для защиты своих систем, а также приняли ряд технических мер для защиты клиентов от этих атак.
  90. ^ Такер, Патрик (20 февраля 2019 г.). «Российские атаки затронули электронную почту американо-европейских аналитических центров, - заявляет Microsoft» . Защита Один . Архивировано из оригинала 07 апреля 2019 г. Проверено 7 апреля 2019 г.
  91. ^ «Microsoft заявляет, что российские хакеры атаковали европейские аналитические центры» . Блумберг . 20 февраля 2019 г. Архивировано из оригинала 07 апреля 2019 г. Проверено 7 апреля 2019 г.
  92. ^ «Кибератака на чешскую дипломатию была организована иностранным государством, - подтвердил Сенату NÚKIB» . iDNES.cz . 13 августа 2019 г. Архивировано из оригинала 06.11.2020 . Проверено 15 сентября 2020 г.
  93. ^ Отчет о состоянии кибербезопасности в Чехии за 2019 год (PDF) . НУКИБ. 2020. Архивировано (PDF) из оригинала 17 сентября 2020 г. Проверено 15 сентября 2020 г.
  94. ^ «Норвегия заявляет, что российские группировки «вероятно» стоят за кибератакой на парламент» . 8 декабря 2020 года. Архивировано из оригинала 16 декабря 2020 года . Проверено 15 декабря 2020 г.
  95. Перейти обратно: Перейти обратно: а б Робинсон, Тери (14 июня 2016 г.). «Российские хакеры получили доступ к файлам Трампа в результате взлома Национального комитета Демократической партии» . Журнал SC США . Архивировано из оригинала 20 декабря 2016 года . Проверено 13 декабря 2016 г.
  96. Перейти обратно: Перейти обратно: а б с Тильман, Сэм; Акерман, Спенсер (29 июля 2016 г.). "Cozy Bear и Fancy Bear: взломали ли россияне Демократическую партию, и если да, то почему?" . Хранитель . ISSN   0261-3077 . Архивировано из оригинала 15 декабря 2016 г. Проверено 12 декабря 2016 г.
  97. ^ Клюли, Грэм (20 октября 2016 г.). «Новое исследование ESET рассматривает Sednit под микроскопом» . WeLiveSecurity . Архивировано из оригинала 25 октября 2016 года . Проверено 26 октября 2016 г.
  98. ^ Френкель, Шира (15 октября 2016 г.). «Знакомьтесь, Fancy Bear, российская группа, взломавшая выборы в США» . БаззФид . Архивировано из оригинала 15 июня 2018 года . Проверено 2 ноября 2016 г.
  99. Перейти обратно: Перейти обратно: а б с д «APT28: окно в российские операции по кибершпионажу?» (PDF) . Fireeye.com . 2014. Архивировано из оригинала (PDF) 10 января 2017 г. Проверено 13 декабря 2016 г.
  100. ^ Трояновский, Антон ; Накашима, Эллен ; Харрис, Шейн (28 декабря 2018 г.). «Как российская военная разведка стала тайной силой в дуэлях Путина с Западом» . Вашингтон Пост . Архивировано из оригинала 29 декабря 2018 года.
  101. ^ «Хактивисты против фейкетивистов: замаскированные модные медведи» . Threatconnect.com . 13 декабря 2016 года. Архивировано из оригинала 20 декабря 2016 года . Проверено 15 декабря 2016 г.
  102. ^ Кеблер, Джейсон (15 июня 2016 г.). « Guccifer 2.0» берет на себя ответственность за взлом DNC и публикует документы, подтверждающие это» . Материнская плата . Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
  103. Перейти обратно: Перейти обратно: а б Франчески-Биккьерай, Лоренцо (4 октября 2016 г.). « Guccifer 2.0» врет нам о предполагаемом взломе Фонда Клинтон» . Материнская плата . Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
  104. Перейти обратно: Перейти обратно: а б с Бартлетт, Эван (26 марта 2018 г.). «Fancy Bears: Кто эта сомнительная хакерская группа, разоблачающая допинг, сокрытие информации и коррупцию в спорте?» . Независимый. Архивировано из оригинала 25 мая 2018 года . Проверено 24 мая 2018 г.
  105. ^ Би-би-си (5 октября 2016 г.). «Данные о допинге Fancy Bears« могли быть изменены », - говорит ВАДА» . Би-би-си. Архивировано из оригинала 4 ноября 2016 года . Проверено 3 ноября 2016 г.
  106. ^ Нэнси, Малькольм (2016). Заговор с целью взлома Америки: как путинские кибершпионы и WikiLeaks пытались украсть выборы 2016 года . Издательство Скайхорс. ISBN  978-1-5107-2333-7 .
  107. Перейти обратно: Перейти обратно: а б Чимпану, Каталин (23 августа 2016 г.). «Россия стоит за хакерами Всемирного антидопингового агентства и международных спортивных площадок» . Софтпедия . Архивировано из оригинала 21 декабря 2016 года . Проверено 15 декабря 2016 г.
  108. ^ «Сайт Всемирного антидопингового агентства взломан; в сеть утекли тысячи аккаунтов» . Взломать . 12 августа 2016 года. Архивировано из оригинала 20 декабря 2016 года . Проверено 15 декабря 2016 г.
  109. ^ Фейке Хакеборд (2017). Два года пешечного штурма — исследование все более актуальной угрозы (PDF) (отчет). Тренд Микро. Архивировано (PDF) из оригинала 5 июля 2017 г. Проверено 27 апреля 2017 г.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 9dcec974411d4013fea76c9fab38ac69__1714772880
URL1:https://arc.ask3.ru/arc/aa/9d/69/9dcec974411d4013fea76c9fab38ac69.html
Заголовок, (Title) документа по адресу, URL1:
Fancy Bear - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)