ведмеді

Ведмеді - типові символи Росії, тому не дивно, що експерти назвали дві найнебезпечніші російські хакерські групи - Fancy Bear та Cozy Bear. Протягом своєї діяльності обидва підрозділи зарахували кілька операцій, але здебільшого запам’ятався їх спільний напад на вибори президента США у 2016 році.

APT28, Sofacy Group або більш відомий Fancy Bear - це російська хакерська група, відома як розвинена стійка загроза, яка розробляє свої інструменти щонайменше з 2007 року. Серед її основних продуктів - завантажувач SOURFACE/CORESHELL та бекдори EVILTOSS і CHOPSTICK, які постійно розвиваються. і використовується з перших атак. До недавнього часу ці напади мали одне спільне - мішенню стали критики та опоненти російського уряду.

Серед перших жертв цих хакерів були журналісти та блогери з усього світу, які займалися російською зовнішньополітичною тематикою - особливо конфліктом в Україні, катастрофою літака Malaysia Airlines, фабрикою Інтернет-тролів або поширенням дезінформації. Зрозуміло, що з точки зору Кремля, це були делікатні теми, що погіршили його імідж.

Тому приблизно в 2014 році хакери почали систематично атакувати акаунти електронної пошти на журналістів провідних світових (The Times, Washington Post, CNN), а також місцевих ЗМІ (Нова газета, Відомості), де вони шукали компромат для дискредитації та залякування.

У справі репортера телеканалу Dožď Павла Лобкова зловмисники опублікували його приватну розмову з Facebook лише через кілька днів після того, як він публічно зізнався у ВІЛ-інфекції. У той же час деякі повідомлення мали сильний сексуальний підтекст.

Операції з підробленими прапорами

Коли в 2015 році Ісламська держава була на піку, паралельно з цим почали частіше з’являтися повідомлення про кібератаки з боку так званого Кібер халіфату. Найвідомішими нападами, які група нібито пов'язувала з ІДІЛ, були погрози дружинам деяких американських солдатів та напад на французьке телебачення TV5Monde. "Ісламська держава" справді контролює "об'єднання" хакерських груп. Але його називають Об'єднаним кібер халіфатом, і лише подібна назва пов'язує його з російським alter ego.

У першому випадку напад на цю групу, яка видавала себе за ісламістських терористів, торкнувся щонайменше п’ятьох людей, які також оприлюднили свій досвід. Як результат, справа потрапила до рук слідчих Associated Press, які знайшли зв’язок між електронними адресами, що використовуються в цих атаках, та адресами, що використовуються в інших атаках групи APT28. Під час розслідування повідомлялося про подальші спроби викрадення облікових записів електронної пошти. Однак про мотивацію нападників можна лише дискутувати. Лише дві речі пов’язували жертв - вони були одружені з солдатами, і їхня робота на короткий час була пов’язана з військовими (писали блоги, брали участь в асоціаціях). Тож напад мабуть був просто для того, щоб відволіктися від чогось більшого.

Ненав’язливий вихід CyberCaliphat на сцену через кілька місяців замінив атаку, яка порушила трансляцію і майже знищила одне з найбільших телебачення у Франції. Починаючи з 23 січня 2015 року, коли сталося первинне вторгнення, зловмисники картографували мережу та системи TV5Monde, щоб адаптувати руйнівне шкідливе програмне забезпечення, яке усуне підключене до Інтернету обладнання, необхідне для мовлення (наприклад, системи кодування трансляції трансляції).

Захід розпочався одного квітневого вечора, коли 12 каналів раптово припинили мовлення. За лічені хвилини зловмисне програмне забезпечення поширилося на інші пристрої, через що станція виходила з ладу протягом ночі. На щастя для телебачення, на той час у штабі ще були техніки. Одному з них вдалося ідентифікувати комп'ютер, з якого контролювали атаку і який згодом відключився від Інтернету. Перший канал був відновлений близько п’ятої години наступного ранку. "Лише кілька годин відділили нас від самого кінця станції", - сказав генеральний директор Ів Біго. Телебачення за перший рік мало витратити п’ять мільйонів євро на покриття збитків та близько трьох мільйонів щороку на підвищення безпеки.

Росія стала підозрілою після того, як фірма з кібербезпеки FireEye довела, що використовувана інфраструктура така ж, як і у Fancy Bear. Сайт CyberCaliphat, де зловмисники публікували дані атаки, мав ту саму IP-адресу і працював на тих же серверах, що і російські хакери. Хоча це не було причиною нападу, швидше за все, це була політична угода між Парижем і Москвою, між якими в той час була напружена ситуація.

Франція критикувала Росію за анексію Криму, що в підсумку призвело до зупинки постачання двох військових кораблів, які побудували французькі верфі для російського флоту. Кремль, очевидно, здійснив помсту, яку прагнув приховати під прапором Ісламської держави. На початку 2015 року терористи цієї групи напали на редакцію іншого засобу масової інформації (журнал "Шарлі Ебдо"), в результаті якого вбили 12 людей. Однак спроба створити враження про серію терактів зазнала невдачі.

Шпигунство та втручання у вибори

Окрім залякування журналістів та перевірки своїх здібностей під іноземним ім’ям, Fancy Bear також мав низку більш-менш успішних нападів на політиків, політичні партії та уряди. Принаймні з 2014 року, коли на адресу Росії пролунала хвиля критики за анексію Криму, її членами стали члени НАТО та/або ЄС, або країни пострадянського простору. Здається, Німеччина має найбільший досвід роботи з російськими хакерами. Тільки за останні чотири роки він зазнав чотирьох атак, які мали ознаки APT28.

У 2015 році зловмисники націлилися на комп’ютери Бундестагу, на які вони хотіли встановити шпигунське програмне забезпечення та бекдори. За словами директора спецслужби BfV (Федерального управління захисту конституції), інформацію про критичну інфраструктуру держави було вкрадено. Через рік вони здійснили подібну фішинг-атаку на правлячу партію ХДС, але не змогли. Той самий результат хакери чекали, намагаючись скомпрометувати сервери аналітичних центрів Konrad-Adenauer-Stiftung (підпадає під CDU) і Friedrich-Ebert-Stiftung (SPD) у квітні 2017 року. Хоча перша атака, схоже, є ізольованою, два решти проти політичних партій та їх аналітичних центрів, ймовірно, планували вплинути на вибори до федеральних зборів у вересні 2017 року.

Цю закономірність можна побачити також на прикладах Франції, Нідерландів та США, які також стикалися з подібними інцидентами перед виборами.

Приклад США знаходиться в цьому плані на вершині уявної сходи. На початку 2016 року тандем Fancy Bear та Cozy Bear атакував сервери Демократичної партії та облікові записи електронної пошти своїх членів, видобуваючи цінні дані, а згодом переміщуючи WikiLeaks та засоби масової інформації для публікації через фальшивий псевдонім Guccifer 2.0. Лише Джону Подесту, раднику Гілларі Клінтон, зловмисники надіслали близько 50 000 електронних листів. Донині деякі експерти та політики стверджують, що ця атака стояла за перемогою Дональда Трампа.

Інші електронні листи потрапили в Інтернет для кандидата в президенти Еммануеля Макрона та його партії Ен Марке! буквально за два дні до другого туру виборів. Їх відредагований зміст полягав у виборі голосів Марі Ле Пен. Однак цього не сталося, і Макрон переміг із 10 мільйонами голосів.

Натомість у Нідерландах, після нападу на Міністерство загальних справ у лютому 2017 року, уряд вирішив, що всі голоси будуть підраховуватися вручну для можливих маніпуляцій з електронною системою голосування. Ці та інші напади на Угорщину, Польщу, Україну та Грузію є частиною довготривалої операції "Пішак", яка зосереджується на політичних цілях.

Зловмисники були засуджені за повторювані IP-адреси з використовуваних серверів управління, використання тієї ж безкоштовної електронної пошти та веб-хостів для надсилання фішинг-листів, які або приховували зловмисне програмне забезпечення Sourface (також відоме як Sofacy), або посилання на підроблений веб-сайт звідки вони отримали дані для входу.

Техніка, інструменти та атрибуція

Існують три конкретні інструменти для хакерів Fancy Bear - Sourface (та його нова версія Coreshell), Chopstick та Eviltoss. Перший названий - так званий завантажувач, який після завантаження та встановлення в системі встановлює зв’язок із сервером зловмисника, з якого він вимагає додаткового шкідливого програмного забезпечення. Команда - це задні двері Eviltoss або паличка для їжі. Eviltoss дозволяє отримати доступ до системних файлів та реєстрів, записувати натискання клавіш (подібно до кейлоггера) або запускати шкідливий код. Chopstick, навпаки, містить кілька модулів, завдяки яким він може збирати інформацію про операційну систему, брандмауер або налаштування веб-браузера, а також пересилати документи на комп'ютер зловмисника або фіксувати його діяльність у вигляді знімків екрану.

Шкідливе програмне забезпечення потрапляє на комп’ютер жертви через неуважність фішинг-листів, які або приховують його у вкладеному файлі, або посилають на нього на зараженому сайті. Цей фішинг є однією з характеристик групи. На відміну від її колег з китайського APT1, російські електронні листи не характеризуються якісною англійською мовою. Однак, що перевершує, - це створення документів та звітів, що відображають поточні політичні зміни, надаючи електронній пошті достовірність та серйозність.

Крім того, вони надсилаються з адрес, які разюче нагадують адреси, що використовуються міжнародними організаціями, урядами чи засобами масової інформації. Прикладами можуть бути домени "qov.hu.com" (угорський уряд використовує "gov.hu") або "login-osce.org" (ОБСЄ використовує "osce.org").

Однак сила цього ведмедя також полягає у використанні вразливостей нульового дня, які він шукає сам. Іноді замість зараженого документа досить посилатися на підроблену сторінку, на якій вразливість Adobe Flash або Java зробить це за неї.

Про походження хакерів згадувалося у звіті охоронної компанії FireEye, згідно з яким інструменти складалися в російськомовному середовищі розробки та лише під час звичайного робочого часу в Москві. Їх також засудили самі цілі, які мали одне спільне - вони критикували російський уряд як за зовнішню, так і за внутрішню політику. Однак напад на Демократичну партію став фатальним для деяких з них. Влітку 2018 року дванадцять співробітників служби військової розвідки ГРУ, яка нібито охоплює цю групу, були засуджені за підключення електронних листів під час президентських виборів.

Однак з групою також пов’язана кумедна історія. Назва Fancy Bear походить від псевдонімів, які Дмитро Альперович, аналітик з кібербезпеки, приписував країнам. Росіяни були ведмедями, китайці - пандами, а іранці - кошенятами. Колектив отримав свій прикметник після того, як у "Sourface" було виявлено слово "Sofacy", що нагадало Альперовичу пісню співака Іггі Азалі "Fancy" і народився Fancy Bear.

Незвичайний Ведмідь сьогодні

Групи, які не бояться видавати себе за терористів, втручатися у вибори чи залякувати ЗМІ, ще не позбулися світу. Навпаки, вона навіть змінила тактику за останні роки, і сьогодні ми знаходимо різноманітний спектр цілей у її списку. Вона націлилася на Всесвітнє антидопінгове агентство, Вселенського патріарха Варфоломія I або Міністерство внутрішніх справ і оборони Німеччини. Той, хто стоїть на шляху Кремля, може стати жертвою цього ведмедя. Кіберзагроза Росії стала опудалом у міжнародній політиці, і держави це усвідомлюють. Тому Великобританія нещодавно оголосила про створення нового кібер-коммандосу для боротьби з ним.