APT29

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
APT29/Cozy Bear
APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe (в спільних операціях з APT28/Fancy Bear)
На службі імовірно діє з 2008 року
Країна Росія Росія
Належність імовірно ФСБ або СЗР[1]
Вид розвинена стала загроза
Роль операції в кіберпросторі
Війни/битви серед відомих, зокрема: Кібератака на Національний комітет Демократичної партії США

APT29, Cozy Bear, The Dukes та інші назви — кібершпигунське угруповання типу розвиненої сталої загрози, яке діє щонайменше з 2008 року та перебуває на території Російської Федерації. Основну увагу приділяє добуванню інформації, необхідної для ухвалення рішень із зовнішньої політики та оборони. Переважно жертвами угруповання стають уряди західних країн та пов'язані з ними організації: міністерства, агенства, аналітичні центри, виконавці державних замовлень. Також їхніми жертвами ставали уряди країн-членів СНД, Азії, Африки, Близького сходу; організації, пов'язані з чеченськими сепаратистами, а також російськомовні продавці наркотиків[2].

Дослідники припускають, що дане угрупування діє під управлінням та в інтересах ФСБ або Служби зовнішньої розвідки РФ[1][3].

Різні дослідники та різні компанії з кібербезпеки давали відмінні назви цьому угрупуванню. Зокрема, з ним пов'язують такі назви: APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke та Grizzly Steppe (в спільних операціях з APT28/Fancy Bear).

Діяльність[ред.ред. код]

Угруповання має у власному арсеналі широкий вибір інструментів — зловмисного програмного забезпечення. В середині 2010-тих можна спостерігати здійснення угрупованням масованих операцій адресного фішингу проти сотень (інколи навіть тисяч) кореспондентів з різних урядових та пов'язаних з ними організацій[2].

Типова атака складається із грубого (надто помітного для фахівців з інформаційної безпеки) проникнення до інформаційної системи, стрімкого збирання та викрадення інформації. Якщо виявляється, що жертва становить особливий інтерес, то угруповання переходить на використання менш помітних інструментів для забезпечення тривалого доступу до враженої інформаційної системи[2].

На додачу до масованих, угруповання здійснює операції з меншим масштабом, більш зосереджені та із використанням іншого набору інструментів. Жертви цих вузькоспрямованих операцій на момент атак перебували в полі зору російського уряду з питань міжнародних відносин та оборони[2].

Угруповання дуже чутливе до оприлюднених про нього досліджень та зазвичай вносить зміни в тактику та використані інструменти заради уникнення бути виявленими. Однак, попри розголос угруповання не зупиняє операції[2].

У надзвичайних випадках угруповання може здійснювати операції навіть із незміненими інструментами після їхнього розголосу в спеціалізованих публікаціях та ЗМІ. Тим самим, воно демонструє свою впевненість у відсутності будь-якого покарання за скоєні злочини[2].

Успішна операція нідерландської розвідки[ред.ред. код]

25 січня 2018 року нідерландське видання de Volkskrant та телепередача новин Nieuwsuur оприлюднили інформацію про успішну операцію спільного підрозділу головної служби розвідки і безпеки (нід. Algemene Inlichtingen- en Veiligheidsdienst, AIVD) та військової служби розвідки і безпеки (нід. Militaire Inlichtingen- en Veiligheidsdienst, MIVD) проти угрупування Cozy Bear[4].

За даними журналістів, нідерландським розвідникам вдалось отримати несанкційований доступ до інформаційних мереж угрупування Cozy Bear іще влітку 2014 року, ймовірно навіть до збиття літака рейсу MH17. Окрім доступу до комп'ютерних мереж нідерландські розвідники здобули доступ до встановленої неподалік веб-камери, завдяки чому вони змогли не лише стежити за діяльністю угрупування, а й відзняти обличчя його членів[4].

Згідно оприлюднених даних, робочий офіс угрупування знаходиться в будівлі університету неподалік Красної площі. Склад угрупування не сталий, але зазвичай активно працює у ньому близько 10 чоловік[4].

Нідерландські розвідники мали можливість спостерігати в реальному часі, серед іншого, за атакою угрупування на Державний департамент США та на Демократичну партію США[4].

Доступ до інформаційних систем угрупування був згодом втрачений[4].

Відомі кібератаки[ред.ред. код]

Втручання у вибори Президента США (2016)[ред.ред. код]

В червні 2016 року було виявлено несанкційоване втручання угрупування APT29/Cozy Bear в інформаційні системи Національного комітету Демократичної партії США. Водночас, в тих же інформаційних системах, було виявлено втручання іншого російського угрупування типу сталої загрози APT28/Fancy Bear[1]. І хоча обидва угрупування проникли до інформаційних систем Національного комітету майже в один і той же час, вони діяли незалежно одне від одного, намагаючись викрасти ті самі паролі, тощо[5].

Фахівці фірми CrowdStrike дійшли висновку, що угрупування Cozy Bear мало несанкційований доступ до комп'ютерних мереж Комітету вже протягом року, а угрупування APT28/Fancy Bear отримало його лише за кілька тижнів перед тим[6]. Дещо витонченіші методи роботи угрупування Cozy Bear та більший інтерес у довготривалому шпигунстві дають підстави припустити, що угрупування працює під управлінням іншої розвідувальної організації[5].

Примітки[ред.ред. код]

  1. а б в Alperovitch, Dmitri. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike Blog. Процитовано 27 September 2016. 
  2. а б в г д е Artturi Lehtiö (september 2015). The Dukes. 7 years of Russian cyberespionage. Threat Intelligence Whitepaper. F-Secure labs. 
  3. International Security and Estonia 2018. Välisluureametist/Estonian Foreign Intelligence Service. Feb 2018. с. 53. 
  4. а б в г д Huib Modderkolk (2018-01-25). Dutch agencies provide crucial intel about Russia's interference in US-elections. de Volkskrant. 
  5. а б Bear on bear. The Economist. 22 September 2016. Процитовано 14 December 2016. 
  6. Ward, Vicky (October 24, 2016). The Man Leading America's Fight Against Russian Hackers Is Putin's Worst Nightmare. Esquire. 

Література[ред.ред. код]

Див. також[ред.ред. код]