Cesko.wiki Cozy Bear
Author
Albert FloresCozy Bear (známá také jako Office Monkeys, CozyCar, The Dukes, CozyDuke) a ve zpravodajské komunitě označovaná APT 29 (Advanced persistent threat) je ruská hackerská skupina, která je pravděpodobně napojena na ruskou rozvědku. Nizozemská Generální zpravodajská a bezpečnostní služba (AIVD) vyvodila ze záznamů bezpečnostních kamer, že je skupina řízena ruskou zahraniční zpravodajskou službou (SVR). Společnost CrowdStrike již dříve naznačila, že skupina může být napojena buď na Federální bezpečnostní službu (FSB) nebo SVR. Skupina dostala několik přezdívek od různých kybernetických firem. Například Office Monkeys, CozyCar, The Dukes (podle společnosti Volexity), a CozyDuke (podle společnosti F-Secure).
Připisované útoky
Důkazy naznačují, že mezi cíle skupiny Cozy Bear patří komerční subjekty a vládní organizace v Německu, Uzbekistánu, Jižní Koreji a USA, včetně amerického ministerstva zahraničí a Bílého domu (2014).
Útoky na americké vládní organizace (2014)
V březnu 2014 bylo zjištěno, že v síti soukromého výzkumného ústavu sídlícího ve +more'>Washingtonu, byl přítomný malware Cozyduke (Trojan. Cozer). Skupina Cozy Bear pak zahájila podvodnou e-mailovou kampaň, která se snažila přilákat oběti, aby klikli na flash video, které obsahovalo další škodlivé soubory. V červenci téhož roku skupina infikovala americké vládní sítě a instruovala systémy infikované Cozydukem, aby také nainstalovaly malware Miniduke.
V létě 2014 infiltrovali digitální agenti holandské Generální zpravodajské a bezpečnostní služby (AIVD) skupinu Cozy Bear. Zjistili, že se tito ruští hackeři zaměřovali na Americkou demokratickou stranu, ministerstvo zahraničí a Bílý dům. +more Jejich důkazy napomohly rozhodnutí FBI zahájit vyšetřování ovlivňování prezidentských voleb v roce 2016.
Odstavení e-mailového systému Pentagonu (2015)
V srpnu roku 2015 byla skupina Cozy Bear zapojena do phishingového kybernetického útoku proti e-mailovému systému Pentagonu. Systém pro zasílání neutajovaných informací s názvem "Joint Staff" musel být po útoku zcela odstaven, a to po dobu vyšetřování celého incidentu.
Útok na vedení Demokratické strany USA (2016)
V červnu 2016 byla hackerská skupina Sofacy Bear spolu se skupinou Fancy Bear zapojena do kybernetického útoku na Demokratický národní výbor. Obě skupiny byly současně přítomny na serverech oběti. +more Zdá se však, že jedna hackerská skupina neví o činnosti té druhé, protože každá z nich, nezávisle na sobě, ukradla stejná hesla a duplikovala i další činnosti. Vědecký tým společnosti CrowdStrike zjistil, že zatímco skupina Cozy Bear byla v síti Demokratické strany už více než rok, Fancy Bear tam byla jen pár týdnů. Zdá se že Cozy Bear provozuje jiná zpravodajská agentura, která se věnuje tradiční dlouhodobé špionáži a využívá sofistikovanější techniky než Fancy Bear.
Útoky na americké nevládní organizace (2016)
Po amerických prezidentských volbách v roce 2016 byla skupina Cozy Bear zapojena do série koordinovaných a dobře plánovaných phishingových útoků proti americkým think tankům a nevládním organizacím.
Phishingový útok na norské instituce (2017)
3. února 2017 Norská policejní bezpečnostní služba (PST) oznámila, že proběhl phishingový útok na e-maily devíti osob z ministerstva obrany, ministerstva zahraničních věcí, labouristické strany, Norského úřadu pro ochranu před radioaktivitou, nejmenovanou vysokou školu a na vedoucího oddělení PST Arne Christiana Haugstøyla. +more Úkony byly připsány skupině Cozy Bear. Předsedkyně norské vlády Erna Solbergová označila činy za "vážný útok na naše demokratické instituce". Útoky byly údajně provedeny v lednu roku 2017.
Útoky na nizozemská ministerstva (2017)
V únoru 2017 odhalila Nizozemská Generální zpravodajská a bezpečnostní služba (AIVD), že se skupiny Fancy Bear a Cozy Bear během předchozích šesti měsíců pokusily proniknout do systémů nizozemských ministerstev, včetně Ministerstva pro všeobecné záležitosti. Rob Bertholee, šéf AIVD, řekl v televizním pořadu EenVandaag, že hackeři byli z Ruska a snažili se získat přístup k tajným vládním dokumentům.
Nizozemský ministr vnitra Ronald Plasterk v rozpravě v parlamentu oznámil, že volební hlasy v Parlamentních volbách v březnu roku 2017 budou sčítány ručně.
Pokus o odcizení výsledků vědeckého výzkumu vakcín proti koronaviru
V červenci 2020 oznámil Paul Chichester, ředitel operací britského National Cyber Security Centre (NCSC), že skupina Cozy Bear podnikla hackerský útok s cílem odcizit výsledky vědeckého výzkumu vakcín proti koronaviru v USA, Kanadě a Velké Británii. Britský ministr zahraničí Dominic Raab označil takové chování ruské rozvědky za naprosto nepřijatelné. +more Varování před ruskými aktivitami přišlo dva měsíce poté, co FBI obvinila z podobných snah Čínu.
Útok na Celostátní výbor Republikánské strany (2021)
Šéf štábu Celonárodního výboru Republikánské strany v červenci 2021 uvedl, že byl informován dodavatelem IT služeb, kalifornskou společností Synnex, o průniku do systémů. Tým Republikánské strany ve spolupráci se společností Microsoft podnikl kontrolu, při které nebyly zjištěny žádné úniky dat. +more O incidentu bylo informováno ministerstvo vnitřní bezpečnosti a FBI. Podle dvou nejmenovaných zdrojů, obeznámených s celou záležitostí, měla mít útok na svědomí skupina Cozy Bear.
Technické detaily útoků
Schéma popisující jak skupina Cozy Bear napadá počítačové systémy. +more Společnost Kaspersky Lab zjistila, že první vzorky malwaru MiniDuke jsou z roku 2008. Původní verze malwaru byla napsána v assembleru. Společnost Symantec se domnívá, že skupina Cozy Bear nejméně od roku 2010 kompromituje diplomatické organizace a vlády. Zdá se, že skupina má různé projekty s rozdílnými skupinami uživatelů. Její projekt "Nemesis Gemina" je zaměřený na vojenský, vládní, energetický, diplomatický a telekomunikační sektor.
Malware CozyDuke skupiny Cozy Bear využívá backdoor a trojského koně. Malware odesílá vybraná data na C&C server. +more Útočníci mohou malware upravit na míru cílovému prostředí. Backdoorová komponenta malwaru je v průběhu času aktualizována, je upravována kryptografie, funkce trojského koně a funkce znesnadňující detekci. Rychlost s jakou Cozy Bear vyvíjí a rozšiřuje své softwarové nástroje, připomíná práci skupiny Fancy Bear, která také používá nástroje CHOPSTICK a CORESHELL.
Malware CozyDuke se strukturou a funkcemi podobá komponentám použitým v malwarech Miniduke, Cosmicduke a OnionDuke. Modul druhého stupně malwaru CozyDuke (Show. +moredll) je zřejmě postavený na stejné platformě, jako OnionDuke, což naznačuje, že autoři pracují společně nebo se jedná o stejné osoby. Veškerý malware jako je CosmicDuke, CozyDuke a MiniDuke je souhrnně označován jako Duke. Každá skupina malwarů sleduje své vlastní cíle a používá nástroje, které pravděpodobně vytvořily a aktualizovaly rusky mluvící osoby. Po odhalení malwaru MiniDuke v roce 2013 byl aktualizován pomocí jazyků C / C ++ a byl zabalen novým obfuscatorem.
Skupina CozyBear je podezřelá z toho, že stojí za nástrojem pro vzdálený přístup "HAMMERTOSS", který využívá běžně navštěvované weby jako Twitter a GitHub k zasílání příkazů napadeným strojům.
Malware SeaDuke je vysoce konfigurovatelný, nízkoprofilový trojský kůň používaný pouze pro vybranou skupinu vysoce důležitých cílů. Typicky je SeaDuke instalován na systémech, které již byly napadeny mnohem rozšířenějším zařízením CozyDuke.