APT29
APT29, Cozy Bear, The Dukes та інші назви — кібершпигунське угруповання типу розвиненої сталої загрози, яке діє щонайменше з 2008 року та перебуває на території Російської Федерації. Основну увагу приділяє добуванню інформації, необхідної для ухвалення рішень із зовнішньої політики та оборони. Переважно жертвами угруповання стають уряди західних країн та пов'язані з ними організації: міністерства, агенства, аналітичні центри, виконавці державних замовлень. Також їхніми жертвами ставали уряди країн-членів СНД, Азії, Африки, Близького сходу; організації, пов'язані з чеченськими борцями за незалежність, а також російськомовні продавці наркотиків[2].
APT29/Cozy Bear | |
---|---|
APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe (в спільних операціях з APT28/Fancy Bear) | |
На службі | імовірно діє з 2008 року |
Країна | Росія |
Належність | імовірно ФСБ або СЗР[1] |
Вид | розвинена стала загроза |
Роль | операції в кіберпросторі |
Війни/битви | серед відомих, зокрема: Кібератака на Національний комітет Демократичної партії США |
Це угруповання діє під управлінням та в інтересах ФСБ або Служби зовнішньої розвідки РФ[1][3].
Різні дослідники та компанії з кібербезпеки давали відмінні назви цьому угрупуванню. Зокрема, з ним пов'язують такі назви: APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke та Grizzly Steppe (в спільних операціях з APT28/Fancy Bear).
Діяльність
Угруповання має у власному арсеналі широкий набір інструментів зловмисного програмного забезпечення. В середині 2010-тих можна було спостерігати здійснення угрупованням масованих операцій адресного фішингу проти сотень (інколи — навіть тисяч) кореспондентів з різних урядових та пов'язаних з ними організацій[2].
Типова атака складалася з грубого (надто помітного для фахівців з інформаційної безпеки) проникнення до інформаційної системи, стрімкого збирання та викрадення інформації. Якщо виявлялося, що жертва становить особливий інтерес, то угруповання переходило до використання менш помітних інструментів для забезпечення тривалого доступу до враженої інформаційної системи[2].
На додачу до масованих, угруповання здійснювало операції меншого масштабу, більш зосереджені та з використанням іншого набору інструментів. Жертви цих вузькоспрямованих операцій на час атак перебували в полі зору російського уряду з питань міжнародних відносин та оборони[2].
Угруповання було дуже чутливим до оприлюднених про нього досліджень і зазвичай змінювало тактику та застосовані інструменти, щоб уникнути виявлення. Однак, попри розголос, угруповання не зупиняло операції[2].
У надзвичайних випадках угруповання могло здійснювати операції із незміненими інструментами навіть після їх розголошення в спеціалізованих публікаціях та ЗМІ. Таким чином, воно демонструвало свою впевненість у безкарності за скоєні злочини[2].
Операція нідерландської контррозвідки
25 січня 2018 року нідерландське видання de Volkskrant та телепередача новин Nieuwsuur оприлюднили інформацію про успішну операцію спільного підрозділу головної служби розвідки і безпеки (нід. Algemene Inlichtingen- en Veiligheidsdienst, AIVD) та військової служби розвідки і безпеки (нід. Militaire Inlichtingen- en Veiligheidsdienst, MIVD) проти угруповання Cozy Bear[4].
За даними журналістів, нідерландським розвідникам вдалось отримати несанкційований доступ до інформаційних мереж угруповання Cozy Bear влітку 2014 року, ймовірно, до збиття літака рейсу MH17. Окрім доступу до комп'ютерних мереж нідерландські розвідники здобули доступ до встановленої неподалік веб-камери, завдяки чому вони змогли не лише стежити за діяльністю угруповання, а й відзняти обличчя його членів[4].
Згідно оприлюднених даних, робочий офіс угруповання розташовувався в будівлі університету неподалік Красної площі. Склад угруповання був не сталий, але зазвичай у ньому активно працювало близько 10 чоловік[4].
Нідерландські розвідники мали можливість, поміж іншим, спостерігати в реальному часі за атакою угруповання на Державний департамент США та на Демократичну партію США[4].
Доступ до інформаційних систем угруповання згодом було втрачено[4].
Відомі кібератаки
Втручання у вибори Президента США (2016)
В червні 2016 року було виявлено несанкційоване втручання угруповання APT29/Cozy Bear в інформаційні системи Національного комітету Демократичної партії США. Водночас, у тих же інформаційних системах, було виявлено втручання іншого російського угруповання типу сталої загрози APT28/Fancy Bear[1]. Хоча обидва угруповання потрапляли до інформаційних систем Національного комітету майже одночасно, діяли вони незалежно одне від одного, намагаючись викрасти ті самі паролі тощо[5].
Фахівці фірми CrowdStrike дійшли висновку, що угруповання Cozy Bear мало несанкційований доступ до комп'ютерних мереж Комітету протягом року, а угруповання APT28/Fancy Bear отримало його лише за кілька тижнів перед тим[6]. Дещо витонченіші методи роботи угруповання Cozy Bear та більший інтерес у довготривалому шпигунстві давали підстави припустити, що угруповання працювало під управлінням іншої розвідувальної організації[5].
Примітки
- Alperovitch, Dmitri. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike Blog. Процитовано 27 вересня 2016.
- Artturi Lehtiö (september 2015). The Dukes. 7 years of Russian cyberespionage. Threat Intelligence Whitepaper. F-Secure labs.
- International Security and Estonia 2018. Välisluureametist/Estonian Foreign Intelligence Service. Feb 2018. с. 53.
- Huib Modderkolk (25 січня 2018). Dutch agencies provide crucial intel about Russia's interference in US-elections. de Volkskrant.
- Bear on bear. The Economist. 22 вересня 2016. Процитовано 14 грудня 2016.
- Ward, Vicky (24 жовтня 2016). The Man Leading America's Fight Against Russian Hackers Is Putin's Worst Nightmare. Esquire.
Література
- Artturi Lehtiö (september 2015). The Dukes. 7 years of Russian cyberespionage. Threat Intelligence Whitepaper. F-Secure labs.
- Hammertoss: Stealthy Tactics Define A Russian Cyber Threat Group. FireEye. 25 липня 2015.
- Matthew Dunwoody (27 березня 2017). APT29 Domain Fronting With TOR. FireEye.
- Kurt Baumgartner, Costin Raiu (21 квітня 2015). The Cozyduke APT. Securelist.
- CozyDuke: Malware Analysis. F-Secure. 22 квітня 2015.
Див. також
- Російсько-українська кібервійна
- Кібератака на Національний комітет Демократичної партії США
- Sofacy Group