APT29

Матеріал з Вікіпедії — вільної енциклопедії.
(Перенаправлено з Cozy Bear)
Перейти до навігації Перейти до пошуку
APT29/Cozy Bear
APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe (в спільних операціях з APT28/Fancy Bear)
На службіімовірно діє з 2008 року
КраїнаРосія Росія
Належністьімовірно ФСБ або СЗР[1]
Видрозвинена стала загроза
Рольоперації в кіберпросторі
Війни/битвисеред відомих, зокрема: Кібератака на Національний комітет Демократичної партії США

APT29, Cozy Bear, The Dukes та інші назви — кібершпигунське угруповання типу розвиненої сталої загрози, яке діє щонайменше з 2008 року та перебуває на території Російської Федерації. Основну увагу приділяє добуванню інформації, необхідної для ухвалення рішень із зовнішньої політики та оборони. Переважно жертвами угруповання стають уряди західних країн та пов'язані з ними організації: міністерства, агенства, аналітичні центри, виконавці державних замовлень. Також їхніми жертвами ставали уряди країн-членів СНД, Азії, Африки, Близького сходу; організації, пов'язані з чеченськими борцями за незалежність, а також російськомовні продавці наркотиків[2].

Це угруповання діє під управлінням та в інтересах ФСБ або Служби зовнішньої розвідки РФ[1][3].

Різні дослідники та компанії з кібербезпеки давали відмінні назви цьому угрупуванню. Зокрема, з ним пов'язують такі назви: APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke та Grizzly Steppe (в спільних операціях з APT28/Fancy Bear).

Діяльність

[ред. | ред. код]

Угруповання має у власному арсеналі широкий набір інструментів зловмисного програмного забезпечення. В середині 2010-тих можна було спостерігати здійснення угрупованням масованих операцій адресного фішингу проти сотень (інколи — навіть тисяч) кореспондентів з різних урядових та пов'язаних з ними організацій[2].

Типова атака складалася з грубого (надто помітного для фахівців з інформаційної безпеки) проникнення до інформаційної системи, стрімкого збирання та викрадення інформації. Якщо виявлялося, що жертва становить особливий інтерес, то угруповання переходило до використання менш помітних інструментів для забезпечення тривалого доступу до враженої інформаційної системи[2].

На додачу до масованих, угруповання здійснювало операції меншого масштабу, більш зосереджені та з використанням іншого набору інструментів. Жертви цих вузькоспрямованих операцій на час атак перебували в полі зору російського уряду з питань міжнародних відносин та оборони[2].

Угруповання було дуже чутливим до оприлюднених про нього досліджень і зазвичай змінювало тактику та застосовані інструменти, щоб уникнути виявлення. Однак, попри розголос, угруповання не зупиняло операції[2].

У надзвичайних випадках угруповання могло здійснювати операції із незміненими інструментами навіть після їх розголошення в спеціалізованих публікаціях та ЗМІ. Таким чином, воно демонструвало свою впевненість у безкарності за скоєні злочини[2].

Операція нідерландської контррозвідки

[ред. | ред. код]

25 січня 2018 року нідерландське видання de Volkskrant та телепередача новин Nieuwsuur оприлюднили інформацію про успішну операцію спільного підрозділу головної служби розвідки і безпеки (нід. Algemene Inlichtingen- en Veiligheidsdienst, AIVD) та військової служби розвідки і безпеки (нід. Militaire Inlichtingen- en Veiligheidsdienst, MIVD) проти угруповання Cozy Bear[4].

За даними журналістів, нідерландським розвідникам вдалось отримати несанкційований доступ до інформаційних мереж угруповання Cozy Bear влітку 2014 року, ймовірно, до збиття літака рейсу MH17. Окрім доступу до комп'ютерних мереж нідерландські розвідники здобули доступ до встановленої неподалік вебкамери, завдяки чому вони змогли не лише стежити за діяльністю угруповання, а й відзняти обличчя його членів[4].

Згідно оприлюднених даних, робочий офіс угруповання розташовувався в будівлі університету неподалік Красної площі. Склад угруповання був не сталий, але зазвичай у ньому активно працювало близько 10 чоловік[4].

Нідерландські розвідники мали можливість, поміж іншим, спостерігати в реальному часі за атакою угруповання на Державний департамент США та на Демократичну партію США[4].

Доступ до інформаційних систем угруповання згодом було втрачено[4].

Відомі кібератаки

[ред. | ред. код]

Втручання у вибори Президента США (2016)

[ред. | ред. код]

В червні 2016 року було виявлено несанкційоване втручання угруповання APT29/Cozy Bear в інформаційні системи Національного комітету Демократичної партії США. Водночас, у тих же інформаційних системах, було виявлено втручання іншого російського угруповання типу сталої загрози APT28/Fancy Bear[1]. Хоча обидва угруповання потрапляли до інформаційних систем Національного комітету майже одночасно, діяли вони незалежно одне від одного, намагаючись викрасти ті самі паролі тощо[5].

Фахівці фірми CrowdStrike дійшли висновку, що угруповання Cozy Bear мало несанкційований доступ до комп'ютерних мереж Комітету протягом року, а угруповання APT28/Fancy Bear отримало його лише за кілька тижнів перед тим[6]. Дещо витонченіші методи роботи угруповання Cozy Bear та більший інтерес у довготривалому шпигунстві давали підстави припустити, що угруповання працювало під управлінням іншої розвідувальної організації[5].

Примітки

[ред. | ред. код]
  1. а б в Alperovitch, Dmitri. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike Blog. Архів оригіналу за 24 травня 2019. Процитовано 27 вересня 2016.
  2. а б в г д е Artturi Lehtiö (september 2015). The Dukes. 7 years of Russian cyberespionage. Threat Intelligence Whitepaper. F-Secure labs. Архів оригіналу за 23 грудня 2016. Процитовано 11 листопада 2016.
  3. International Security and Estonia 2018 (PDF) (Звіт). Välisluureametist/Estonian Foreign Intelligence Service. Feb 2018. с. 53. Архів оригіналу (PDF) за 26 жовтня 2020. Процитовано 9 лютого 2018.
  4. а б в г д Huib Modderkolk (25 січня 2018). Dutch agencies provide crucial intel about Russia's interference in US-elections. de Volkskrant. Архів оригіналу за 25 січня 2018. Процитовано 29 січня 2018.
  5. а б Bear on bear. The Economist. 22 вересня 2016. Архів оригіналу за 20 травня 2017. Процитовано 14 грудня 2016.
  6. Ward, Vicky (24 жовтня 2016). The Man Leading America's Fight Against Russian Hackers Is Putin's Worst Nightmare. Esquire. Архів оригіналу за 26 січня 2018. Процитовано 26 січня 2018.

Література

[ред. | ред. код]

Див. також

[ред. | ред. код]