Fancy Bear

Fancy Bear (známá také jako APT28, Pawn Storm, Sofacy Group, Sednit a STRONTIUM) je hackerská a špionážní skupina. Bezpečnostní firma CrowdStrike tvrdí, že je pravděpodobně spojena s ruskou vojenskou rozvědkou GRU. Britské ministerstvo zahraničí a bezpečnostní firmy SecureWorks, ThreatConnect, a Fireeye Mandiant uvádějí, že skupina Fancy Bear je financována ruskou vládou. V roce 2018 zvláštní vyšetřovatelé Spojených států pod vedením Roberta Mullera identifikovali Fancy Bear jako dvě jednotky GRU s názvy Jednotka 26165 a Jednotka 74455.

GRU řídí také hackerské skupiny Iridium (malwary FoxBlad, CaddyWiper, Industroyer2) a DEV-0586 (krádeže dat, malware WhisperGate). Civilní rozvědka SVR má hackerskou skupinu Nobelium, zaměřenou na phishing. +more Federální služba bezpečnosti (FSB) ovládá hackerské skupiny Actinium (krádeže dat, phishing), Bromine (krádeže dat) a Krypton (výzvědná činnost, phishing).

Jméno "Fancy Bear" pochází od bezpečnostního pracovníka společnosti McAfee Dmitrije Alperovitche, který používá kódová označení k identifikaci hackerů. Další podobnou skupinou hackerů napojených na ruskou zahraniční rozvědku je Cozy Bear (též APT 29).

Skupina funguje od poloviny první dekády 21. století a disponuje schopnostmi státem řízených organizací. +more Zaměřuje se na vládní, vojenské a bezpečnostní organizace, zejména na státy Jižního Kavkazu, na Ukrajinu a členské státy NATO. Podle některých zpráv skupina Fancy Bear stojí za kybernetickými útoky na německý parlament, francouzskou televizní stanici TV5Monde, Bílý dům, NATO, zástupce Demokratické strany, Organizaci pro bezpečnost a spolupráci v Evropě a kampaň prezidentského kandidáta Emmanuela Macrona.

Akce skupiny jsou v souladu se zájmy ruské vlády. Známou se skupina stala díky útokům na e-maily členů Demokratické strany, což mělo pomoci Donaldu Trumpovi během prezidentských voleb v USA v roce 2016.

Skupina Fancy Bear je společností FireEye hodnocena jako pokročilá trvalá bezpečnostní hrozba. Ke kybernetickým útokům skupina využívá mimo jiné zero day zranitelnosti, phishing a malware.

Objevení skupiny

22. října 2014 japonská antivirová společnost Trend Micro objevila skupinu, která stála za malwarem Sofacy a označila jí jako Operation Pawn Storm. +more Název byl vybrán s ohledem na to, že skupina použila "dva nebo více souvisejících nástrojů / taktik k útoku na konkrétní cíl podobně jako v šachové strategii" známé jako Pawn Storm (Útok pěšcem).

Společnost FireEye vydala podrobnou zprávu o Fancy Bear v říjnu 2014. Zpráva označila skupinu za pokročilou a trvalou hrozbu 28 (anglicky Advanced Persistent Threat 28, tedy APT28) a popsala, jak hackerská skupina využívala zero day zranitelnosti operačního systému Microsoft Windows a Adobe Flash. +more Společnost FireEye ve zprávě uvádí, že našla indicie o tom, že je skupina "sponzorována vládou se sídlem v Moskvě". Jako důkazy uvádí skutečnost, že byl malware sestaven primárně v ruském jazykovém prostředí a k sestavování došlo v průběhu pracovní doby moskevského časového pásma. Laura Galante ze společnosti FireEye označila aktivity skupiny za "státní špionáž" a uvedla, že mezi cíle patří také "média nebo vlivné osoby".

Název Fancy Bear (vymyšlený, lákavý medvěd) je kódové označení, jaké Dmitri Alperovitch používá pro hackerské skupiny. "Medvěd" (Bear) označuje skutečnost, že hackeři pocházejí z Ruska. +more "Vymyšlený, lákavý" (Fancy) odkazuje na slovo "Sofacy", které analytik našel v malwaru. Slovo mu připomnělo píseň Fancy od zpěvačky Iggy Azaley.

Jednotka 74455

Jednotka 74455 je uvnitř GRU označována rovněž jako „Hlavní centrum speciálních technologií“ a odborníci na kyberbezpečnost ji označují názvy Sandworm Team, Telebots, Woodooo Bear, Iron Vikings. Sídlí v Moskvě (Kirovova ulice 22), v budově GRU označované „Věž“. +more Za několik útoků, včetně konspirace a kybernetických útoků na USA, Ukrajinu, Gruzii, Zimní olympijské hry 2018 nebo francouzskou prezidentskou kampaň bylo v USA v říjnu 2020 obviněno šest konkrétních důstojníků GRU.

Připisované útoky

Mezi cíle Fancy Bear patří vlády a armády východní Evropy, Gruzie, Kavkazu, Ukrajiny a organizace jako NATO. Dále američtí dodavatelé vojenské techniky, společnosti Academi, Science Applications International Corporation (SAIC), Boeing, Lockheed Martin a Raytheon. +more Fancy Bear také cílí na ruské občany, kteří jsou politickými oponenty Kremlu, včetně bývalého ropného magnáta Mikhaila Chodorkovského a Mariji Aljochinové z kapely Pussy Riot. Bezpečnostní firma SecureWorks, se sídlem ve Spojených státech, dospěla k závěru, že od března 2015 do května 2016 nebyli mezi cíli Fancy Bear pouze členové Demokratické strany, ale i desítky tisíc odpůrců Putina a Kremlu v USA, Ukrajině, Rusku, Gruzii a Sýrii. Seznam napadených zahrnuje např. Eliota Higginse a Bellingcat, nejméně 50 zahraničních korespondentů nezávislých médií sídlících v Moskvě, třicet ukrajinských médií, zaměstnance nezávislých a mainstreamových ruských médií. V roce 2019 byly napadeny evropské kanceláře amerických think tanků Aspen Institute, German Marshall Fund nebo German Council for Foreign Relations.

Na druhou stranu byla za cíl vybrána jen hrstka členů Republikánské strany. Analýza 4700 napadených e-mailových účtů, provedená Americkou tiskovou agenturou dospěla k závěru, že žádná jiná země než Rusko by neměla zájem útočit na tolik velmi odlišných cílů, jejichž jediný společný znak je zájem o ruskou vládu.

První malware skupiny Fancy Bear z let 2011-2012 nese název Sofacy nebo též SOURFACE. Během roku 2013 skupina přidala další nástroje a zadní vrátka, včetně CHOPSTICK, CORESHELL, JHUHUGIT a ADVSTORESHELL.

Útoky na novináře v Rusku, USA, na Ukrajině a jinde (2014-2017)

Od poloviny roku 2014 do podzimu roku 2017 se skupina Fancy Bear zaměřila na celou řadu novinářů ve Spojených státech, na Ukrajině, v Rusku, Moldavsku, v Pobaltí a dalších zemích, která publikovala články diskreditující Putina a Kreml. Podle agentury AP a společnosti SecureWorks jsou novináři třetí největší skupinou, na kterou se Fancy Bear zaměřili, hned po diplomatickém sboru a amerických Demokratech. +more Mezi cíli Fancy Bear se objevili: * americký novinář Adrian Chen, * arménská novinářka Maria Titizian, * Eliot Higgins ze skupiny Bellingcat, * Ellen Barry a nejméně 50 dalších reportérů New York Times, * nejméně 50 zahraničních korespondentů v Moskvě pracujících pro nezávislé zpravodajství, * Josh Rogin, fejetonista z Washington Post, * Shane Harris, redaktor Daily Beast, který v roce 2015 rozkryl informace o rozvědce, * Michael Weiss, bezpečnostní analytik CNN, * Jamie Kirchick z think tanku Brookings Institution, * 30 novinářů z Ukrajiny, nejvíce z novin Kyiv Post, * novináři, kteří se věnovali ruské vojenské intervenci na Ukrajině, většina novinářů, na které se hackeři zaměřili, pracovala pro nezávislá média (např. Novaja Gazeta nebo Vedomosti), jako například Ekaterina Vinokurova píšící pro server Znak. com, * novináři pracující pro televizní stanici Dožď, Tina Kandelakiová, Xenija Sobčaková, Pavel Lobkov.

Útok na německý parlament (2014)

Fancy Bear jsou pravděpodobně odpovědní za kybernetický útok na německý parlament, který začal v prosinci roku 2014 a trval šest měsíců.

Hackerská skupina je také podezřelá z toho, že v srpnu 2016 provedla phishingové útoky na členy Bundestagu z několika politických stran. Mezi cíli se ocitla Sahra Wagenknecht, předsedkyně strany Linken, strany Junge Union a CDU Sársko. +more Úřady se obávaly, že hackeři budou shromažďovat citlivé informace, kterými by před volbami manipulovali veřejnost.

Vyhrožování smrtí manželkám amerických vojáků (2015)

10. února 2015 pět manželek amerických vojáků obdrželo výhrůžky smrtí od hackerské skupiny, která si říkala "CyberCaliphate" a která o sobě tvrdila, že je z ISIS. +more Další vyšetřování odhalilo, že se jednalo o útok skupiny Fancy Bear, protože e-maily obětí byly nalezeny v seznamu cílů jejich phishingového útoku. Ruští trollové byli známí tím, že rozdmychávají zvěsti o hrozbě islámských teroristických útoků na americké půdě, aby zde zaseli strach a politické napětí.

Útok na francouzskou televizní síť TV5Monde (2015)

8. dubna 2015 byla francouzská televizní síť TV5Monde obětí počítačového útoku skupiny hackerů, která si říkala "CyberCaliphate" a tvrdila o sobě, že má vazby na teroristickou organizaci islámský stát. +more Francouzští vyšetřovatelé později odmítli teorii, že za kybernetickým útokem stojí militantní islamisté. Podezření naopak padlo na Fancy Bear.

Hackeři vnikli do interní sítě stanice pravděpodobně díky tomu, že se ve vysílání stanice TV5 objevily záběry na přihlašovací údaje napsané na papíře. Hackeři přerušili vysílání 12 kanálů společnosti po dobu více než 3 hodin. +more Částečně bylo vysílání obnoveno v ranních hodinách následujícího dne a zcela normální vysílání bylo obnoveno 9. dubna v pozdních hodinách. Také některé další interní počítačové a podpůrné systémy včetně e-mailu byly kvůli útoku nedostupné. Hackeři dále unesli facebookové a twitterové účty stanice a zveřejnili na nich osobní informace o příbuzných francouzských vojáků, kteří se zúčastnili akcí proti ISIS a také kritické zprávy o prezidentovi Françoisovi Hollandovi. Ve zprávách hackeři uvedli, že teroristické útoky v lednu roku 2015 jsou "dary" za jeho "neodpustitelnou chybu" účastnit se konfliktů, které "nemají žádný smysl".

Generální ředitel společnosti TV5Monde Yves Bigot později řekl, že pokud by výpadek vysílání trval delší dobu, satelitní distribuční kanály by pravděpodobně zrušily své smlouvy a to by mohlo celou společnost zničit. Útok byl veden tak, aby způsobil společnosti co největší škody. +more Nesloužil primárně pro propagandu či špionáž, jako tomu bylo u většiny dalších kybernetických útoků. Útok byl pečlivě naplánován, první zjištěný průnik do systémů byl proveden 23. ledna 2015. Útočníci poté provedli průzkum infrastruktury, aby pochopili jakým způsobem televizní síť zajišťuje vysílání a vytvořili na míru ušitý počítačový virus. Tomu se podařilo poničit hardware nezbytný pro vysílání a připojený k internetu, jako jsou například dekodéry. Útočníci přitom použili sedm různých vstupních bodů do systému. Některé z nich ani nebyly součástí společnosti TV5Monde, některé z nich se ani nenacházely ve Francii. Jeden z průniků byl veden do společnosti se sídlem v Nizozemsku, která dodávala dálkově ovládané kamery používané ve studiích TV5. Mezi 16. únorem a 25. březnem útočníci shromáždili data z interních systémů TV5 včetně interní IT wiki a ověřili, že ukradené přihlašovací údaje jsou stále platné. Během útoku hackeři spustili několik příkazů získaných z autentizačního protokolu TACACS, aby tím vymazali firmware ze switchů a routerů.

Přestože útok údajně provedli teroristi z IS, francouzská kybernetická agentura instruovala ředitele televize Bigota, aby informaci o strůjcích označil za domněnku. Později mu bylo řečeno, že byly nalezeny důkazy, že útočníci byli ze skupiny ruských hackerů APT28. +more Pro útok na společnost TV5Monde nebyl nalezen žádný důvod. Způsob financování ani osoba, která dala k útoku rozkaz není známá. Spekulovalo se o tom, že se jednalo o testování forem kybernetických útoků. Náklady společnosti TV5Monde spojené s útokem byly odhadnuty na 5 milionů eur v prvním roce, následované každoročními náklady na ochranu přesahující 3 miliony eur. Způsob práce společnosti se musel po útocích změnit s ohledem na to, že se její fungování zakládá na výměně informací. Změnil se způsob autentizace e-mailů, flash disky jsou před použitím kontrolovány. Opatření značně snížila efektivitu práce.

Útoky na bankovní instituce (2015)

Bezpečnostní firma Root9B vydala v květnu 2015 zprávu o Fancy Bear, kde popisuje phishingový útok zaměřený na finanční instituce. Zpráva uvádí seznam mezinárodních bankovních institucí, které byly napadeny, včetně United Bank for Africa, Bank of America, Toronto-Dominion Bank a UAE Bank. +more Podle společnosti Root9B přípravy na útok začaly v červnu 2014 a použitý malware "nesl specifické znaky historicky jedinečné pro jedinou organizaci, Sofacy". Novinář Brian Krebs, který se věnuje kybernetické bezpečnosti, zpochybnil tvrzení společnosti Root9B a útoky připsal hackerům z Nigérie. V červnu 2015 vydal respektovaný bezpečnostní pracovník Claudio Guarnieri zprávu založenou na vlastním vyšetřování útoku na německé Spolkové shromáždění. Útok byl proveden pomocí malwaru SOFACY. Ve zprávě se Guarnieri přiklonil na stranu společnosti Root6B, neboť zjistil, že "stejná IP adresa byla použita jako řídící server při útoku na Bundestag (176. 31. 112. 10)". Dále uvedl, že na základě jeho zkoumání se ukázaly "alespoň některé" informace obsažené ve zprávě Root9B jako přesné, včetně srovnání hashe vzorku malwaru z obou incidentů. Společnost Root9B později publikovala technickou zprávu doplňující jejich původní závěry o doklady shody jejich vzorků malwaru s malwarem SOFACY.

Konflikt s EFF, Bílým domem a NATO (2015)

V srpnu 2015 zneužila skupina Fancy Bear zero-day zranitelnost v Javě a zaútočila na nadaci Electronic Frontier Foundation, Bílý dům a NATO. Hackeři použili phishingový útok a v podvodných emailech zasílali falešnou url adresu na EFF electronicfrontierfoundation. +moreorg.

Úniky informací Světové antidopingové agentury (2016)

V srpnu roku 2016 se Světová antidopingová agentura (WADA) stala terčem phishingového útoku. Podvodné e-maily zaslané pracovníkům agentury se tvářily jako oficiální komunikace WADA a žádaly o jejich přihlašovací údaje. +more Po kontrole dvou podvodných domén z e-mailů bylo zjištěno, že způsob jejich registrace a hostování byl podobný praktikám Fancy Bear. Podle WADA byly některé informace, které hackeři později zveřejnili, falešné a jednalo se o podvrh.

Vzhledem k důkazům o rozšířeném dopingu ze strany ruských sportovců doporučila WADA, aby byli všichni ruští sportovci vyloučeni z účasti na olympijských a paralympijských hrách v Riu v roce 2016. Analytici uvedli, že útok by mohl být z části odplatou Julii Stěpanovové, která poskytla informace o ruském dopingu, protože se její osobní informace objevily v únicích zveřejněných hackery. +more V srpnu roku 2016 WADA odhalila, že byly jejich systémy narušeny. Hackeři z Fancy Bear zneužili uživatelský účet vytvořený Mezinárodním olympijským výborem k získání přístupu do databáze ADAMS (Antidoping Administration and Management System). Na webu fancybear. net poté hackeři zveřejnili informace o několika sportovcích, kteří získali výjimku na užívání léků pro terapeutické účely, včetně gymnastky Simone Bilesové, tenisových hráček Venus a Sereny Williamsové a basketbalistky Eleny Delle Donneové. Hackeři upozornili především na sportovce, kterým výjimku z různých důvodů udělila WADA. Následné úniky informací zahrnovaly sportovce z mnoha dalších zemí.

Útok na Bezpečnostní radu Nizozemska a skupinu Bellingcat (2015-2016)

Eliot Higgins a další novináři spojeni se skupinou Bellingcat, která zkoumala sestřelení letadla Malaysia Airlines 17 nad Ukrajinou, se v průběhu let 2015 a 2016 stali oběťmi phishingového útoku. Podvodné e-mailové zprávy obsahovaly falešná bezpečnostní upozornění služby Gmail se zkrácenými odkazy pomocí služeb Bit. +morely a TinyCC. Podle bezpečnostní firmy ThreatConnect, některé phishingové e-maily pocházely ze serverů, které skupina Fancy Bear použila při předchozích útocích. Skupina Bellingcat je známá tím, že obvinila Rusko ze sestřelení letu MH17 a je často vysmívána v ruských médiích.

Dále se Fancy Bear zaměřili na Bezpečnostní radu Nizozemska, která vede oficiální vyšetřování havárie letu MH17 a to před a po vydání její závěrečné zprávy. Hackeři v září a říjnu roku 2015 vytvořili falešné SFTP a VPN servery, které napodobovaly originální servery bezpečnostní rady a měly pravděpodobně sloužit odchycení uživatelských jmen a hesel. +more Mluvčí rady sdělil, že útoky nebyly úspěšné.

Útoky na vedení Demokratické strany USA (2016)

V prvním čtvrtletí roku 2016 skupina Fancy Bear provedla phishingové útoky na e-mailové adresy členů Demokratické strany USA. Dne 10. +more března začal na staré e-mailové adresy, využívané ve volební kampani v roce 2018 přicházet phishing. Jeden z napadených účtů pravděpodobně předal aktualizovaný seznam kontaktů. Následující den se phishingové útoky rozšířily na soukromé e-mailové adresy vedoucích pracovníků Demokratické strany. Webový server Hillaryclinton. com byl napaden, ale neúspěšně, protože byl chráněn dvoufázovou autentizací. 19. března se útok přesunul na Gmailové účty. Ve stejný den se útočníkům podařilo proniknout do gmailového účtu politika Johna Podesty a odcizit 50000 e-mailů (část z nich se později objevila na Wikileaks). Útoky zesílily v dubnu. Na jediný den ustaly 15. dubna, kdy byl v Rusku svátek na počest vojenských jednotek elektronického boje. Malware použitý k útoku zasílal ukradené údaje na stejné servery, které byly použity při útoku na německý parlament v roce 2015.

14. června společnost CrowdStrike vydala zprávu o tomto útoku a za viníka označila Fancy Bear. +more Byl zveřejněn článek, ve kterém se osoba prezentující se jako Guccifer 2. 0, označila za jediného strůjce útoku.

Stejně jako Fancy Bear byla na serverech Demokratické strany zjištěna přítomnost další hackerské skupiny pravděpodobně pocházející z Ruska, přezdívané Cozy Bear. Zdá se však, že jedna hackerská skupina neví o činnosti té druhé, protože každá z nich, nezávisle na sobě, ukradla stejná hesla a duplikovala i další činnosti. +more Zdá se že Cozy Bear provozuje jiná zpravodajská agentura, která se věnuje tradiční dlouhodobé špionáži. Vědecký tým CrowdStrike zjistil, že zatímco skupina Cozy Bear byla v síti Demokratické strany už více než rok, Fancy Bear tam byla jen pár týdnů.

Spyware v ukrajinském dělostřelectvu (2014-2016)

122mm houfnic D-30 Podle společnosti CrowdStrike použila skupina Fancy Bear v letech 2014 až 2016 malware pro Android proti raketovým silám a dělostřelectvu ukrajinské armády. +more Skupina distribuovala infikovanou verzi s Android aplikace, jejímž původním účelem byla kontrola zaměřovacích dat pro 122mm houfnice D-30. Aplikace, kterou používali ukrajinští důstojníci, byla infikovaná spywarem X-Agent a byla dostupná na vojenských online fórech. Společnost CrowdStrike původně tvrdila, že bylo ve válce zničeno více než 80% ukrajinských houfnic D-30, což by bylo nejvyšší procento ztráty všech armádních dělostřeleckých vojsk (takové procento nebylo nikdy zaznamenáno a znamenalo by ztrátu téměř celého arzenálu dělostřelectva ukrajinských ozbrojených sil). Podle ukrajinské armády byla čísla CrowdStrike nesprávná a ztráty dělostřeleckých zbraní "byly výrazně nižší než ty, které byly hlášeny" a tyto ztráty "nemají nic společného s uvedenou příčinou". Společnost CrowdStrike svou zprávu revidovala poté, co Mezinárodní institut pro strategická studia (IISS) původní čísla odmítl. Podle aktualizované zprávy dosahují ztráty, které škodlivý software způsobil, přibližně 15-20%.

Zneužití zero-day zranitelností v MS Windows a Adobe Flash (2016)

Dne 31. října 2016 odhalila skupina Threat Analysis Group společnosti Google zero-day zranitelnost ve většině verzí systému Microsoft Windows. +more Zranitelnost už byla aktivně zneužívána. Dne 1. listopadu 2016 byl výkonný viceprezident Terry Myerson vyslán do výzkumného týmu Threat Research & Response společnosti Microsoft, který tuto chybu potvrdil. Podle jejich vyjádření byla chyba zneužita pro "phishingovou kampaň zaměřenou na špionáž malého rozsahu". Kampaň byla zaměřená na konkrétní uživatele a zneužila "dvě zero-day zranitelnosti v aplikaci Adobe Flash a jádru systému Windows. " Společnost Microsoft označila za viníky Fancy Bear a interně je označila názvem STRONTIUM.

Útok na Ministerstvo zahraničních věcí České republiky (2016)

Bezpečnostní informační služba potvrdila ve své výroční zprávě za rok 2018, že na komunikační systém ministerstva zahraničí útočily ruské tajné služby. Ke kompromitaci systému elektronické pošty ministerstva zahraničí docházelo nejméně od počátku roku 2016, kdy útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. +more Hackeři získali údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejichž schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně. Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU.

Útoky na nizozemská ministerstva (2017)

V únoru 2017 odhalila nizozemská Generální zpravodajská a bezpečnostní služba (AIVD), že se skupiny Fancy Bear a Cozy Bear během předchozích šesti měsíců pokusily proniknout do systémů nizozemských ministerstev, včetně Ministerstva pro všeobecné záležitosti. Rob Bertholee, šéf AIVD, řekl v televizním pořadu EenVandaag, že hackeři byli z Ruska a snažili se získat přístup k tajným vládním dokumentům.

Nizozemský ministr vnitra Ronald Plasterk v rozpravě v parlamentu oznámil, že volební hlasy v parlamentních volbách v březnu roku 2017 budou sčítány ručně.

Napadení Mezinárodní asociace atletických federací (2017)

Úředníci Mezinárodní asociace atletických federací (IAAF) v dubnu 2017 uvedli, že její servery napadla skupina Fancy Bear. Útok byl detekován firmou Context Information Security, která zjistila, že se 21. +more února uskutečnil neoprávněný vzdálený přístup k serverům IAAF. Podle vyjádření asociace hackeři získali přístup k žádostem o výjimku pro terapeutické účely, které je zapotřebí k používání léků zakázaných agenturou WADA.

Zásah do německých a francouzských voleb (2016-2017)

Výzkumníci z Trend Micro v roce 2017 zveřejnili zprávu, v níž popisují útoky Fancy Bear na okruh lidí kolem volebních kampaní Emmanuela Macrona a Angely Merkelové. Podle zprávy útočníci na Macronovu kampaň použili emaily s phishingem a na servery se snažili nainstalovat malware. +more Francouzská bezpečnostní agentura ANSSI informovala o tom, že tyto útoky proběhly, ale nemohla potvrdit, že je za ně odpovědná skupina APT28. Toto podezření potvrdili specialisté firmy Google, společnosti Fire Eye a japonské firmy Trend Micro pro deník Le Monde. Po phishingové kampani APT 28 začala těsně před druhým kolem voleb skupina hackerů s krycím názvem Sandworm po internetu šířit interní e-maily Macronových spolupracovníků, jež získala APT28. Deník Le Monde v této souvislosti citoval zaměstnance FireEye a kybernetického odborníka Michaela Matonise: „Sandworm je specializovaná jednotka na provádění vysoce rizikových operací, tedy především takových, na něž je málo času a je třeba neodkladně jednat. “ Důkazem ruských zpravodajských aktivit je fakt, že jméno jednoho z členů jednotky GRU 26165 zůstalo, zřejmě opomenutím, na jednom z dokumentů, jež Sandworm šířil těsně před druhým kolem prezidentských voleb ve Francii.

Útok skupiny APT se nezaměřoval na protikandidátku Marine Le Pen. To naznačuje, že se Rusko snažilo zasáhnout do francouzských voleb, protože Putin vyjádřil svůj zájem a naději ve vítězství Marine Le Penové jak pro politické, tak i finanční přínosy z toho plynoucí.

Ve zprávě se uvádí, že se útočníci také zaměřili na německou Nadaci Konrada Adenauera, Nadaci Friedricha Eberta, okruh lidí kolem Křesťansko-demokratické unie Angely Merkelové a opoziční sociální demokracii. V tomto případě skupina Fancy Bear koncem roku 2016 vytvořila falešné e-mailové servery a rozesílala phishingové e-maily s odkazy na malware.

Útok na Mezinárodní olympijský výbor (2018)

Dne 10. ledna 2018 osoba říkající si "Fancy Bears Hack Team" zveřejnila data, zřejmě ukradená Mezinárodnímu olympijskému výboru (MOV) a Americkému olympijskému výboru. +more Zveřejněné e-maily byly datované do roku 2016 a 2017. Únik byl zjevně odvetou za zákaz startu ruských sportovců na zimních olympijských hrách v roce 2018, ke kterému MOV přikročil po odhalení systematického dopingového programu Ruska. Útok se podobal dřívějšímu úniku dat Světové antidopingové agentury (WADA). Není známo, zda jsou zveřejněné e-maily pravé, protože skupina Fancy Bear už dříve zveřejněné e-maily doplňovala dezinformacemi. Způsob útoku také není znám, ale pravděpodobně se jednalo o phishing.

Odborníci z oblasti kybernetické bezpečnosti také tvrdí, že útoky byly zřejmě zaměřeny i na společnost Berlinger Group, která se zabývá zpracováním vzorků pro testování na přítomnost zakázaných látek.

Útok na OPCW

V dobnu 2018 byli v Amsterdamu zatčeni čtyři operativci GRU, když se pokoušeli hackovat systém Organizace pro zákaz chemických zbraní (Organisation for the Prohibition of Chemical Weapons), kde se právě testovaly vzorky novičoku užitého v Salisbury při pokusu otrávit Sergeje Skripala. Agenti, identifikovaní jako Alexei Moronets, Evgeni Serebriakov, Oleg Sotnikov a Alexei Minin, přicestovali 10. +more dubna z Moskvy do Amsterdamu běžným letem a setkali se s pracovníkem ruské ambasády. Byli zatčeni ve chvíli, kdy v blízkosti centra OPCW zaparkovali pronajatý vůz, plně vybavený zařízením pro průnik do wifi sítě.

Úniky informací Švédské sportovní federace (2018)

Švédská sportovní federace v roce 2018 uvedla, že její počítače napadla skupina Fancy Bear. Útočníci zveřejnili e-maily a záznamy dopingových testů švédských sportovců a tvrdili, že sportovci porušili antidopingová pravidla.

Zmařený útok na politické organizace v USA (2018)

Jednotka digitální kriminality (DCU) společnost Microsoft v srpnu 2018 oznámila, že se skupina Fancy Bear pokoušela ukrást data amerických politických organizací, jako je Mezinárodní republikánský institut a think-tank Hudson Institute. Útoky byly zmařeny, když se bezpečnostním pracovníkům podařilo získat kontrolu nad šesti Windows doménami. +more Společnost Microsoft ve svém oznámení uvedla, že "v současné době nemáme žádné důkazy o tom, že by tyto domény, před tím než nad nimi DCU opět získala kontrolu, byly použity při jakémkoliv úspěšném útoku, ani nemáme důkazy, které by naznačovaly na jaké konečné cíle byly útoky pomocí těchto domén zamýšleny".

Útoky spojené s osamostatněním Ukrajinské pravoslavné církve (2018)

Podle zprávy tiskové agentury Associated Press ze srpna 2018 se hackeři z Fancy Bear po dlouhá léta zaměřují na e-mailovou korespondenci představitelů Konstantinopolského ekumenického patriarchátu vedeného patriarchou Bartolomějem I. +more Zpráva byla publikována v době zvýšeného napětí mezi ekumenickým patriarchátem všech východních ortodoxních církví a Ruskou pravoslavnou církví (Moskevský patriarchát). Ve sporu se jednalo o získání plné církevní nezávislosti (autokefality) pro Ukrajinskou pravoslavnou církev (Kyjevský patriarchát), která je podporována ukrajinskou vládou. Odborníci citovaní ve zprávě tvrdí, že udělení autokefality církvi na Ukrajině by rozložilo moc a prestiž Moskevského patriarchátu a podkopalo by její nároky na nadnárodní jurisdikci. Útoky se zaměřily také na pravoslavné křesťany v jiných zemích, muslimy, židy a katolíky ve Spojených státech, komunitu zastřešující ukrajinské muslimy Umma, papežského nuncia v Kyjevě a Yosypa Ziselse, který řídí Ukrajinské asociace židovských organizací a společenství.

Obvinění konkrétních pachatelů (2018)

V říjnu roku 2018 bylo v souvislosti s útoky obviněno Velkou porotou Západní Pensylvánie sedm důstojníků GRU. V obžalobě se uvádí, že od prosince 2014 do nejméně května roku 2018 důstojníci GRU organizovali "dlouhodobé a sofistikované počítačové útoky postihující americké osoby, právnické osoby, mezinárodní organizace a jejich zaměstnance nacházející se po celém světě na základě strategického zájmu ruské vlády. +more" Americké ministerstvo spravedlnosti uvedlo, že útoky měly mezi jinými za cíl "zveřejňovat ukradené informace v rámci kampaně zaměřené na ovlivňování a dezinformaci, která má oslabit, pomstít se a jinak delegitimizovat" úsilí Světové antidopingové agentury, jež zveřejnila McLarenovu zprávu odhalující rozsáhlý doping ruských sportovců sponzorovaný ruskou vládou. Obžalovaní byli obviněni z napadání počítačových systémů, krádeží identity a praní špinavých peněz.

Útoky na německé think tanky (2019)

V únoru 2019 společnost Microsoft oznámila, že skupina Fancy Bear podnikla phishingové útoky zaměřené na zaměstnance německých think tanků Marshall Fund, Aspen Institute Germany a německé organizace Rady pro zahraniční vztahy.

Pokusy o ovlivňování voleb do Evropského parlamentu (2019)

V březnu roku 2019 uvedla bezpečnostní firma FireEye, že se skupina Fancy bear, společně se skupinou Sandworm (známá ransomwarem NotPetya) pokouší ovlivnit chystané volby do Evropského parlamentu. Útočníci rozeslali politikům a politickým institucím podvodné e-maily a vytvořili podvodné webové stránky, připomínající oficiální vládní weby. +more Podle společnosti FireEye můžou útočníci využít ukradené informace ke špionáži a dezinformační kampani. Společnost oběti útoků informovala.

Útok na České instituce státní správy (2019)

Ve Zprávě o stavu kybernetické bezpečnosti České republiky za rok 2019 se uvádí, že: "NÚKIB spolupracoval na řešení incidentu, při kterém byla narušena důvěrnost dat v sítích strategické instituce státní správy. Prvotním vektorem útoku byl spear-phishingový e-mail. +more Následná analýza indikátorů kompromitace ze strany NÚKIB ukázala, že útočníkem byl téměř jistě státní aktér (pravděpodobnost 90-100 %) a velmi pravděpodobně (pravděpodobnost 75-85 %) APT skupina známá jako Sofacy, APT28 či Fancy Bear (přepychový medvěd). Odborná komunita, včetně partnerů NÚKIB, spojuje Sofacy s vojenskou rozvědkou Ruské federace GU (známá též jako GRU). ".

Napadení farmaceutických společností (2020)

Hackerská skupina Fancy Bear spolu se severokorejskými hackery označovanými jako Zinc a Cerium se pokusila proniknout do sítí sedmi farmaceutických společností v Kanadě, Francii, Indii, Jižní Koreji a Spojených státech, kde se testují vakcíny proti covidu-19. Podle Microsoftu byla část útoků úspěšná, ale podrobnější informace nebyly zveřejněny.

Technické detaily útoků

phishingové útoky skupiny Fancy Bear Fancy Bear využívá pokročilé metody, kterými disponují státem podporované organizace. +more Používají e-maily s phishingem, podvodné zpravodajské zdroje šířící malware a zero day zranitelnosti. Jedna z výzkumných skupin zabývající se počítačovou bezpečností zaznamenala, že v roce 2015 Fancy Bear využili nejméně šest různých zero day zranitelností, což je značný technický výkon, který vyžaduje velké množství programátorů, kteří hledají dříve neznámé softwarové zranitelnosti. Je to známka toho, že Fancy Bear je státem podporovaná organizace a ne gang nebo osamělý hacker.

Jedním z preferovaných cílů skupiny Fancy Bear jsou webové e-mailové služby. Typickou metodou kompromitování uživatelů jsou podvodné e-maily s naléhavou žádostí o změnu hesla, díky které se mají uživatelé vyhnout hacknutí. +more V e-mailu je umístěn odkaz na webové stránky, jejichž vzhled je kopií skutečného webmailu. Pokud se uživatel pokusí přihlásit na těchto stránkách, dojde k odcizení jeho přihlašovacích údajů. URL adresa je často skryta pomocí zkracovače bit. ly, aby se e-maily vyhnuly antispamovým filtrům. Podvodné e-maily jsou zasílány především v pondělí a v pátek. Dalším způsobem útoku je zasílání podvodných e-mailů, které namísto legitimních odkazů na zpravodajské články odkazují na weby s malwarem, které se snaží nainstalovat do cílového počítače. Fancy Bear si také registrují domény, které připomínají legitimní webové stránky. Tam vytvoří podvodnou kopii webu, na níž se snaží se ukrást přihlašovací údaje obětí. O skupině je známo, že pro komunikaci využívá proxy sítě obětí, které předtím kompromitovala.

Fancy Bear využívá softwarové utility a počítačové viry ADVSTORESHELL, CHOPSTICK, JHUHUGIT, XTunnel, Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy a DownRange. Na základě časů kompilace společnost FireEye došla k závěru, že skupina Fancy Bear od roku 2007 důsledně aktualizuje svůj malware. +more Aby skupina zabránila detekci, aktualizuje a mění použité nástroje, střídá komunikaci přes různé botnety a mění metody pro perzistenci, pro zamaskování kódu používá obfuskaci. Přidává nesmyslná data do textových řetězců, čímž snižuje možnost dekódování bez čisticího algoritmu. Fancy Bear podnikají opatření, která zabraňují forenzní analýze jejich nástrojů, resetují časové značky souborů a pravidelně promazávají logy.

Podle obžaloby zvláštních vyšetřovatelů Spojených států byl virus X-Agent "vyvinut, upraven a sledován" nadporučíkem Nikolajem Jurjevičem Kozačekem z GRU.

O Fancy Bear je známo, že viry šijí na míru cílovým prostředím, například je konfigurují tak, aby používaly místní e-mailové servery. V srpnu 2015 společnost Kaspersky Lab detekovala a zablokovala verzi backdooru ADVSTORESHELL, který cílil na dodavatele obranných systémů. +more Hodinu a půl po zablokování však skupina Fancy Bear sestavila a rozdistribuovala novou verzi backdooru.

Odkazy

Reference

Související články

Jednotka 29155 * Hybridní válka * Druhá studená válka * GRU

Kategorie:Trestná činnost v Rusku Kategorie:Hackerské skupiny Kategorie:Hybridní válka Kategorie:Malware