Přeskočit na obsah

Fancy Bear

Z Wikipedie, otevřené encyklopedie
(přesměrováno z Sofacy Group)
Fancy Bear
Vznik2004
Mateřská organizaceGRU
Některá data mohou pocházet z datové položky.

Fancy Bear (známá také jako APT28, Pawn Storm, Sofacy Group, Sednit a STRONTIUM)[1] je hackerská a špionážní skupina. Bezpečnostní firma CrowdStrike tvrdí, že je pravděpodobně spojena s ruskou vojenskou rozvědkou GRU.[2] Britské ministerstvo zahraničí[3] a bezpečnostní firmy SecureWorks, ThreatConnect,[4] a Fireeye Mandiant[5] uvádějí, že skupina Fancy Bear je financována ruskou vládou. V roce 2018 zvláštní vyšetřovatelé Spojených států pod vedením Roberta Mullera identifikovali Fancy Bear jako dvě jednotky GRU s názvy Jednotka 26165 a Jednotka 74455.[1][6]

GRU řídí také hackerské skupiny Iridium (malwary FoxBlad, CaddyWiper, Industroyer2) a DEV-0586 (krádeže dat, malware WhisperGate). Civilní rozvědka SVR má hackerskou skupinu Nobelium, zaměřenou na phishing. Federální služba bezpečnosti (FSB) ovládá hackerské skupiny Actinium (krádeže dat, phishing), Bromine (krádeže dat) a Krypton (výzvědná činnost, phishing).[7]

Jméno "Fancy Bear" pochází od bezpečnostního pracovníka společnosti McAfee Dmitrije Alperovitche, který používá kódová označení k identifikaci hackerů.[8] Další podobnou skupinou hackerů napojených na ruskou zahraniční rozvědku je Cozy Bear (též APT 29).[9]

Skupina funguje od poloviny první dekády 21. století a disponuje schopnostmi státem řízených organizací. Zaměřuje se na vládní, vojenské a bezpečnostní organizace, zejména na státy Jižního Kavkazu, na Ukrajinu a členské státy NATO. Podle některých zpráv skupina Fancy Bear stojí za kybernetickými útoky na německý parlament, francouzskou televizní stanici TV5Monde, Bílý dům, NATO, zástupce Demokratické strany, Organizaci pro bezpečnost a spolupráci v Evropě a kampaň prezidentského kandidáta Emmanuela Macrona.[10]

Akce skupiny jsou v souladu se zájmy ruské vlády. Známou se skupina stala díky útokům na e-maily členů Demokratické strany, což mělo pomoci Donaldu Trumpovi během prezidentských voleb v USA v roce 2016.[11]

Skupina Fancy Bear je společností FireEye hodnocena jako pokročilá trvalá bezpečnostní hrozba.[5] Ke kybernetickým útokům skupina využívá mimo jiné zero day zranitelnosti, phishing a malware.

Objevení skupiny

[editovat | editovat zdroj]

22. října 2014 japonská antivirová společnost Trend Micro objevila skupinu, která stála za malwarem Sofacy a označila jí jako Operation Pawn Storm.[12] Název byl vybrán s ohledem na to, že skupina použila "dva nebo více souvisejících nástrojů / taktik k útoku na konkrétní cíl podobně jako v šachové strategii"[13] známé jako Pawn Storm (Útok pěšcem).

Společnost FireEye vydala podrobnou zprávu o Fancy Bear v říjnu 2014. Zpráva označila skupinu za pokročilou a trvalou hrozbu 28 (anglicky Advanced Persistent Threat 28, tedy APT28) a popsala, jak hackerská skupina využívala zero day zranitelnosti operačního systému Microsoft Windows a Adobe Flash.[14] Společnost FireEye ve zprávě uvádí, že našla indicie o tom, že je skupina "sponzorována vládou se sídlem v Moskvě". Jako důkazy uvádí skutečnost, že byl malware sestaven primárně v ruském jazykovém prostředí a k sestavování došlo v průběhu pracovní doby moskevského časového pásma.[15] Laura Galante ze společnosti FireEye označila aktivity skupiny za "státní špionáž"[16] a uvedla, že mezi cíle patří také "média nebo vlivné osoby".[17][18]

Název Fancy Bear (vymyšlený, lákavý medvěd) je kódové označení, jaké Dmitri Alperovitch používá pro hackerské skupiny. "Medvěd" (Bear) označuje skutečnost, že hackeři pocházejí z Ruska. "Vymyšlený, lákavý" (Fancy) odkazuje na slovo "Sofacy", které analytik našel v malwaru. Slovo mu připomnělo píseň Fancy od zpěvačky Iggy Azaley.[19]

Jednotka 74455

[editovat | editovat zdroj]

Jednotka 74455 je uvnitř GRU označována rovněž jako „Hlavní centrum speciálních technologií“ a odborníci na kyberbezpečnost ji označují názvy Sandworm Team, Telebots, Woodooo Bear, Iron Vikings. Sídlí v Moskvě (Kirovova ulice 22), v budově GRU označované „Věž“. Za několik útoků, včetně konspirace a kybernetických útoků na USA, Ukrajinu, Gruzii, Zimní olympijské hry 2018 nebo francouzskou prezidentskou kampaň bylo v USA v říjnu 2020 obviněno šest konkrétních důstojníků GRU.[20]

Připisované útoky

[editovat | editovat zdroj]

Mezi cíle Fancy Bear patří vlády a armády východní Evropy, Gruzie, Kavkazu, Ukrajiny[21] a organizace jako NATO. Dále američtí dodavatelé vojenské techniky, společnosti Academi, Science Applications International Corporation (SAIC), [22] Boeing, Lockheed Martin a Raytheon.[21] Fancy Bear také cílí na ruské občany, kteří jsou politickými oponenty Kremlu, včetně bývalého ropného magnáta Mikhaila Chodorkovského a Mariji Aljochinové z kapely Pussy Riot.[21] Bezpečnostní firma SecureWorks, se sídlem ve Spojených státech, dospěla k závěru, že od března 2015 do května 2016 nebyli mezi cíli Fancy Bear pouze členové Demokratické strany, ale i desítky tisíc odpůrců Putina a Kremlu v USA, Ukrajině, Rusku, Gruzii a Sýrii. Seznam napadených zahrnuje např. Eliota Higginse a Bellingcat, nejméně 50 zahraničních korespondentů nezávislých médií sídlících v Moskvě, třicet ukrajinských médií, zaměstnance nezávislých a mainstreamových ruských médií. V roce 2019 byly napadeny evropské kanceláře amerických think tanků Aspen Institute, German Marshall Fund nebo German Council for Foreign Relations.[23]

Na druhou stranu byla za cíl vybrána jen hrstka členů Republikánské strany. [24] Analýza 4700 napadených e-mailových účtů, provedená Americkou tiskovou agenturou dospěla k závěru, že žádná jiná země než Rusko by neměla zájem útočit na tolik velmi odlišných cílů, jejichž jediný společný znak je zájem o ruskou vládu.[21]

První malware skupiny Fancy Bear z let 2011-2012 nese název Sofacy nebo též SOURFACE. Během roku 2013 skupina přidala další nástroje a zadní vrátka, včetně CHOPSTICK, CORESHELL, JHUHUGIT a ADVSTORESHELL.[25]

Útoky na novináře v Rusku, USA, na Ukrajině a jinde (2014-2017)

[editovat | editovat zdroj]

Od poloviny roku 2014 do podzimu roku 2017 se skupina Fancy Bear zaměřila na celou řadu novinářů ve Spojených státech, na Ukrajině, v Rusku, Moldavsku, v Pobaltí a dalších zemích, která publikovala články diskreditující Putina a Kreml. Podle agentury AP a společnosti SecureWorks jsou novináři třetí největší skupinou, na kterou se Fancy Bear zaměřili, hned po diplomatickém sboru a amerických Demokratech. Mezi cíli Fancy Bear se objevili:

  • americký novinář Adrian Chen,
  • arménská novinářka Maria Titizian,
  • Eliot Higgins ze skupiny Bellingcat,
  • Ellen Barry a nejméně 50 dalších reportérů New York Times,
  • nejméně 50 zahraničních korespondentů v Moskvě pracujících pro nezávislé zpravodajství,
  • Josh Rogin, fejetonista z Washington Post,
  • Shane Harris, redaktor Daily Beast, který v roce 2015 rozkryl informace o rozvědce,
  • Michael Weiss, bezpečnostní analytik CNN,
  • Jamie Kirchick z think tanku Brookings Institution,
  • 30 novinářů z Ukrajiny, nejvíce z novin Kyiv Post,
  • novináři, kteří se věnovali ruské vojenské intervenci na Ukrajině, většina novinářů, na které se hackeři zaměřili, pracovala pro nezávislá média (např. Novaja Gazeta nebo Vedomosti), jako například Ekaterina Vinokurova píšící pro server Znak.com,
  • novináři pracující pro televizní stanici Dožď, Tina Kandelakiová, Xenija Sobčaková, Pavel Lobkov.[26]

Útok na německý parlament (2014)

[editovat | editovat zdroj]

Fancy Bear jsou pravděpodobně odpovědní za kybernetický útok na německý parlament, který začal v prosinci roku 2014 a trval šest měsíců.[27]

Hackerská skupina je také podezřelá z toho, že v srpnu 2016 provedla phishingové útoky na členy Bundestagu z několika politických stran. Mezi cíli se ocitla Sahra Wagenknecht, předsedkyně strany Linken, strany Junge Union a CDU Sársko.[28][29][30][31] Úřady se obávaly, že hackeři budou shromažďovat citlivé informace, kterými by před volbami manipulovali veřejnost.[28]

Vyhrožování smrtí manželkám amerických vojáků (2015)

[editovat | editovat zdroj]

10. února 2015 pět manželek amerických vojáků obdrželo výhrůžky smrtí od hackerské skupiny, která si říkala "CyberCaliphate" a která o sobě tvrdila, že je z ISIS.[32][33][34][35] Další vyšetřování odhalilo, že se jednalo o útok skupiny Fancy Bear, protože e-maily obětí byly nalezeny v seznamu cílů jejich phishingového útoku.[33] Ruští trollové byli známí tím, že rozdmychávají zvěsti o hrozbě islámských teroristických útoků na americké půdě, aby zde zaseli strach a politické napětí.[33]

Útok na francouzskou televizní síť TV5Monde (2015)

[editovat | editovat zdroj]

8. dubna 2015 byla francouzská televizní síť TV5Monde obětí počítačového útoku skupiny hackerů, která si říkala "CyberCaliphate" a tvrdila o sobě, že má vazby na teroristickou organizaci islámský stát. Francouzští vyšetřovatelé později odmítli teorii, že za kybernetickým útokem stojí militantní islamisté. Podezření naopak padlo na Fancy Bear.[36]

Hackeři vnikli do interní sítě stanice pravděpodobně díky tomu, že se ve vysílání stanice TV5 objevily záběry na přihlašovací údaje napsané na papíře.[37] Hackeři přerušili vysílání 12 kanálů společnosti po dobu více než 3 hodin.[38] Částečně bylo vysílání obnoveno v ranních hodinách následujícího dne a zcela normální vysílání bylo obnoveno 9. dubna v pozdních hodinách.[38] Také některé další interní počítačové a podpůrné systémy včetně e-mailu byly kvůli útoku nedostupné.[39][38] Hackeři dále unesli facebookové a twitterové účty stanice a zveřejnili na nich osobní informace o příbuzných francouzských vojáků, kteří se zúčastnili akcí proti ISIS a také kritické zprávy o prezidentovi Françoisovi Hollandovi. Ve zprávách hackeři uvedli, že teroristické útoky v lednu roku 2015 jsou "dary" za jeho "neodpustitelnou chybu" účastnit se konfliktů, které "nemají žádný smysl".[40][38]

Generální ředitel společnosti TV5Monde Yves Bigot později řekl, že pokud by výpadek vysílání trval delší dobu, satelitní distribuční kanály by pravděpodobně zrušily své smlouvy a to by mohlo celou společnost zničit. Útok byl veden tak, aby způsobil společnosti co největší škody. Nesloužil primárně pro propagandu či špionáž, jako tomu bylo u většiny dalších kybernetických útoků. Útok byl pečlivě naplánován, první zjištěný průnik do systémů byl proveden 23. ledna 2015.[41] Útočníci poté provedli průzkum infrastruktury, aby pochopili jakým způsobem televizní síť zajišťuje vysílání a vytvořili na míru ušitý počítačový virus. Tomu se podařilo poničit hardware nezbytný pro vysílání a připojený k internetu, jako jsou například dekodéry. Útočníci přitom použili sedm různých vstupních bodů do systému. Některé z nich ani nebyly součástí společnosti TV5Monde, některé z nich se ani nenacházely ve Francii. Jeden z průniků byl veden do společnosti se sídlem v Nizozemsku, která dodávala dálkově ovládané kamery používané ve studiích TV5.[41] Mezi 16. únorem a 25. březnem útočníci shromáždili data z interních systémů TV5 včetně interní IT wiki a ověřili, že ukradené přihlašovací údaje jsou stále platné.[41] Během útoku hackeři spustili několik příkazů získaných z autentizačního protokolu TACACS, aby tím vymazali firmware ze switchů a routerů.[41]

Přestože útok údajně provedli teroristi z IS, francouzská kybernetická agentura instruovala ředitele televize Bigota, aby informaci o strůjcích označil za domněnku. Později mu bylo řečeno, že byly nalezeny důkazy, že útočníci byli ze skupiny ruských hackerů APT28. Pro útok na společnost TV5Monde nebyl nalezen žádný důvod. Způsob financování ani osoba, která dala k útoku rozkaz není známá. Spekulovalo se o tom, že se jednalo o testování forem kybernetických útoků. Náklady společnosti TV5Monde spojené s útokem byly odhadnuty na 5 milionů eur v prvním roce, následované každoročními náklady na ochranu přesahující 3 miliony eur. Způsob práce společnosti se musel po útocích změnit s ohledem na to, že se její fungování zakládá na výměně informací. Změnil se způsob autentizace e-mailů, flash disky jsou před použitím kontrolovány. Opatření značně snížila efektivitu práce.[42]

Útoky na bankovní instituce (2015)

[editovat | editovat zdroj]

Bezpečnostní firma Root9B vydala v květnu 2015 zprávu o Fancy Bear, kde popisuje phishingový útok zaměřený na finanční instituce. Zpráva uvádí seznam mezinárodních bankovních institucí, které byly napadeny, včetně United Bank for Africa, Bank of America, Toronto–Dominion Bank a UAE Bank. Podle společnosti Root9B přípravy na útok začaly v červnu 2014 a použitý malware "nesl specifické znaky historicky jedinečné pro jedinou organizaci, Sofacy".[43] Novinář Brian Krebs, který se věnuje kybernetické bezpečnosti, zpochybnil tvrzení společnosti Root9B a útoky připsal hackerům z Nigérie.[44] V červnu 2015 vydal respektovaný bezpečnostní pracovník Claudio Guarnieri zprávu založenou na vlastním vyšetřování útoku na německé Spolkové shromáždění. Útok byl proveden pomocí malwaru SOFACY.[45] Ve zprávě se Guarnieri přiklonil na stranu společnosti Root6B, neboť zjistil, že "stejná IP adresa byla použita jako řídící server při útoku na Bundestag (176.31.112.10)". Dále uvedl, že na základě jeho zkoumání se ukázaly "alespoň některé" informace obsažené ve zprávě Root9B jako přesné, včetně srovnání hashe vzorku malwaru z obou incidentů. Společnost Root9B později publikovala technickou zprávu doplňující jejich původní závěry o doklady shody jejich vzorků malwaru s malwarem SOFACY.[46]

Konflikt s EFF, Bílým domem a NATO (2015)

[editovat | editovat zdroj]

V srpnu 2015 zneužila skupina Fancy Bear zero-day zranitelnost v Javě a zaútočila na nadaci Electronic Frontier Foundation, Bílý dům a NATO. Hackeři použili phishingový útok a v podvodných emailech zasílali falešnou url adresu na EFF electronicfrontierfoundation.org.[47][48]

Úniky informací Světové antidopingové agentury (2016)

[editovat | editovat zdroj]
Související informace naleznete také v článku Dopingový skandál ruské atletiky.

V srpnu roku 2016 se Světová antidopingová agentura (WADA) stala terčem phishingového útoku. Podvodné e-maily zaslané pracovníkům agentury se tvářily jako oficiální komunikace WADA a žádaly o jejich přihlašovací údaje. Po kontrole dvou podvodných domén z e-mailů bylo zjištěno, že způsob jejich registrace a hostování byl podobný praktikám Fancy Bear.[49][50] Podle WADA byly některé informace, které hackeři později zveřejnili, falešné a jednalo se o podvrh.[51]

Vzhledem k důkazům o rozšířeném dopingu ze strany ruských sportovců doporučila WADA, aby byli všichni ruští sportovci vyloučeni z účasti na olympijských a paralympijských hrách v Riu v roce 2016. Analytici uvedli, že útok by mohl být z části odplatou Julii Stěpanovové, která poskytla informace o ruském dopingu, protože se její osobní informace objevily v únicích zveřejněných hackery.[52] V srpnu roku 2016 WADA odhalila, že byly jejich systémy narušeny. Hackeři z Fancy Bear zneužili uživatelský účet vytvořený Mezinárodním olympijským výborem k získání přístupu do databáze ADAMS (Antidoping Administration and Management System).[53] Na webu fancybear.net poté hackeři zveřejnili informace o několika sportovcích, kteří získali výjimku na užívání léků pro terapeutické účely, včetně gymnastky Simone Bilesové, tenisových hráček Venus a Sereny Williamsové a basketbalistky Eleny Delle Donneové.[54] Hackeři upozornili především na sportovce, kterým výjimku z různých důvodů udělila WADA. Následné úniky informací zahrnovaly sportovce z mnoha dalších zemí.[53]

Útok na Bezpečnostní radu Nizozemska a skupinu Bellingcat (2015-2016)

[editovat | editovat zdroj]

Eliot Higgins a další novináři spojeni se skupinou Bellingcat, která zkoumala sestřelení letadla Malaysia Airlines 17 nad Ukrajinou, se v průběhu let 2015 a 2016 stali oběťmi phishingového útoku. Podvodné e-mailové zprávy obsahovaly falešná bezpečnostní upozornění služby Gmail se zkrácenými odkazy pomocí služeb Bit.ly a TinyCC. Podle bezpečnostní firmy ThreatConnect, některé phishingové e-maily pocházely ze serverů, které skupina Fancy Bear použila při předchozích útocích. Skupina Bellingcat je známá tím, že obvinila Rusko ze sestřelení letu MH17 a je často vysmívána v ruských médiích.[55][56]

Dále se Fancy Bear zaměřili na Bezpečnostní radu Nizozemska, která vede oficiální vyšetřování havárie letu MH17 a to před a po vydání její závěrečné zprávy. Hackeři v září a říjnu roku 2015 vytvořili falešné SFTP a VPN servery, které napodobovaly originální servery bezpečnostní rady a měly pravděpodobně sloužit odchycení uživatelských jmen a hesel.[57] Mluvčí rady sdělil, že útoky nebyly úspěšné.[58]

Útoky na vedení Demokratické strany USA (2016)

[editovat | editovat zdroj]

V prvním čtvrtletí roku 2016 skupina Fancy Bear provedla phishingové útoky na e-mailové adresy členů Demokratické strany USA.[59] Dne 10. března začal na staré e-mailové adresy, využívané ve volební kampani v roce 2018 přicházet phishing. Jeden z napadených účtů pravděpodobně předal aktualizovaný seznam kontaktů. Následující den se phishingové útoky rozšířily na soukromé e-mailové adresy vedoucích pracovníků Demokratické strany. Webový server Hillaryclinton.com byl napaden, ale neúspěšně, protože byl chráněn dvoufázovou autentizací. 19. března se útok přesunul na Gmailové účty. Ve stejný den se útočníkům podařilo proniknout do gmailového účtu politika Johna Podesty a odcizit 50000 e-mailů (část z nich se později objevila na Wikileaks). Útoky zesílily v dubnu.[60] Na jediný den ustaly 15. dubna, kdy byl v Rusku svátek na počest vojenských jednotek elektronického boje.[61] Malware použitý k útoku zasílal ukradené údaje na stejné servery, které byly použity při útoku na německý parlament v roce 2015.[19]

14. června společnost CrowdStrike vydala zprávu o tomto útoku a za viníka označila Fancy Bear. Byl zveřejněn článek, ve kterém se osoba prezentující se jako Guccifer 2.0, označila za jediného strůjce útoku.[62]

Stejně jako Fancy Bear byla na serverech Demokratické strany zjištěna přítomnost další hackerské skupiny pravděpodobně pocházející z Ruska, přezdívané Cozy Bear. Zdá se však, že jedna hackerská skupina neví o činnosti té druhé, protože každá z nich, nezávisle na sobě, ukradla stejná hesla a duplikovala i další činnosti. Zdá se že Cozy Bear provozuje jiná zpravodajská agentura, která se věnuje tradiční dlouhodobé špionáži.[61] Vědecký tým CrowdStrike zjistil, že zatímco skupina Cozy Bear byla v síti Demokratické strany už více než rok, Fancy Bear tam byla jen pár týdnů.[19]

Spyware v ukrajinském dělostřelectvu (2014-2016)

[editovat | editovat zdroj]
Důstojníkům ukrajinského dělostřelectva byla údajně distribuována infikovaná verze mobilní aplikace pro řízení palby 122mm houfnic D-30
Související informace naleznete také v článku Ruská vojenská intervence na Ukrajině (2014–současnost).

Podle společnosti CrowdStrike použila skupina Fancy Bear v letech 2014 až 2016 malware pro Android proti raketovým silám a dělostřelectvu ukrajinské armády. Skupina distribuovala infikovanou verzi s Android aplikace, jejímž původním účelem byla kontrola zaměřovacích dat pro 122mm houfnice D-30. Aplikace, kterou používali ukrajinští důstojníci, byla infikovaná spywarem X-Agent a byla dostupná na vojenských online fórech. Společnost CrowdStrike původně tvrdila, že bylo ve válce zničeno více než 80% ukrajinských houfnic D-30, což by bylo nejvyšší procento ztráty všech armádních dělostřeleckých vojsk (takové procento nebylo nikdy zaznamenáno a znamenalo by ztrátu téměř celého arzenálu dělostřelectva ukrajinských ozbrojených sil[63]).[64] Podle ukrajinské armády byla čísla CrowdStrike nesprávná a ztráty dělostřeleckých zbraní "byly výrazně nižší než ty, které byly hlášeny" a tyto ztráty "nemají nic společného s uvedenou příčinou".[65] Společnost CrowdStrike svou zprávu revidovala poté, co Mezinárodní institut pro strategická studia (IISS) původní čísla odmítl. Podle aktualizované zprávy dosahují ztráty, které škodlivý software způsobil, přibližně 15-20%.[66]

Zneužití zero-day zranitelností v MS Windows a Adobe Flash (2016)

[editovat | editovat zdroj]

Dne 31. října 2016 odhalila skupina Threat Analysis Group společnosti Google zero-day zranitelnost ve většině verzí systému Microsoft Windows. Zranitelnost už byla aktivně zneužívána. Dne 1. listopadu 2016 byl výkonný viceprezident Terry Myerson vyslán do výzkumného týmu Threat Research & Response společnosti Microsoft, který tuto chybu potvrdil. Podle jejich vyjádření byla chyba zneužita pro "phishingovou kampaň zaměřenou na špionáž malého rozsahu". Kampaň byla zaměřená na konkrétní uživatele a zneužila "dvě zero-day zranitelnosti v aplikaci Adobe Flash a jádru systému Windows." Společnost Microsoft označila za viníky Fancy Bear a interně je označila názvem STRONTIUM.[67]

Útok na Ministerstvo zahraničních věcí České republiky (2016)

[editovat | editovat zdroj]

Bezpečnostní informační služba potvrdila ve své výroční zprávě za rok 2018, že na komunikační systém ministerstva zahraničí útočily ruské tajné služby. Ke kompromitaci systému elektronické pošty ministerstva zahraničí docházelo nejméně od počátku roku 2016, kdy útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. Hackeři získali údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejichž schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně. Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU.[68][69]

Útoky na nizozemská ministerstva (2017)

[editovat | editovat zdroj]

V únoru 2017 odhalila nizozemská Generální zpravodajská a bezpečnostní služba (AIVD), že se skupiny Fancy Bear a Cozy Bear během předchozích šesti měsíců pokusily proniknout do systémů nizozemských ministerstev, včetně Ministerstva pro všeobecné záležitosti. Rob Bertholee, šéf AIVD, řekl v televizním pořadu EenVandaag, že hackeři byli z Ruska a snažili se získat přístup k tajným vládním dokumentům.[70]

Nizozemský ministr vnitra Ronald Plasterk v rozpravě v parlamentu oznámil, že volební hlasy v parlamentních volbách v březnu roku 2017 budou sčítány ručně.[71]

Napadení Mezinárodní asociace atletických federací (2017)

[editovat | editovat zdroj]

Úředníci Mezinárodní asociace atletických federací (IAAF) v dubnu 2017 uvedli, že její servery napadla skupina Fancy Bear. Útok byl detekován firmou Context Information Security, která zjistila, že se 21. února uskutečnil neoprávněný vzdálený přístup k serverům IAAF. Podle vyjádření asociace hackeři získali přístup k žádostem o výjimku pro terapeutické účely, které je zapotřebí k používání léků zakázaných agenturou WADA.[72][73]

Zásah do německých a francouzských voleb (2016-2017)

[editovat | editovat zdroj]

Výzkumníci z Trend Micro v roce 2017 zveřejnili zprávu, v níž popisují útoky Fancy Bear na okruh lidí kolem volebních kampaní Emmanuela Macrona a Angely Merkelové. Podle zprávy útočníci na Macronovu kampaň použili emaily s phishingem a na servery se snažili nainstalovat malware. Francouzská bezpečnostní agentura ANSSI informovala o tom, že tyto útoky proběhly, ale nemohla potvrdit, že je za ně odpovědná skupina APT28.[74] Toto podezření potvrdili specialisté firmy Google, společnosti Fire Eye a japonské firmy Trend Micro pro deník Le Monde.[75] Po phishingové kampani APT 28 začala těsně před druhým kolem voleb skupina hackerů s krycím názvem Sandworm po internetu šířit interní e-maily Macronových spolupracovníků, jež získala APT28. Deník Le Monde v této souvislosti citoval zaměstnance FireEye a kybernetického odborníka Michaela Matonise: „Sandworm je specializovaná jednotka na provádění vysoce rizikových operací, tedy především takových, na něž je málo času a je třeba neodkladně jednat.“ Důkazem ruských zpravodajských aktivit je fakt, že jméno jednoho z členů jednotky GRU 26165 zůstalo, zřejmě opomenutím, na jednom z dokumentů, jež Sandworm šířil těsně před druhým kolem prezidentských voleb ve Francii.[76]

Útok skupiny APT se nezaměřoval na protikandidátku Marine Le Pen. To naznačuje, že se Rusko snažilo zasáhnout do francouzských voleb, protože Putin vyjádřil svůj zájem a naději ve vítězství Marine Le Penové jak pro politické, tak i finanční přínosy z toho plynoucí.[77]

Ve zprávě se uvádí, že se útočníci také zaměřili na německou Nadaci Konrada Adenauera, Nadaci Friedricha Eberta, okruh lidí kolem Křesťansko-demokratické unie Angely Merkelové a opoziční sociální demokracii. V tomto případě skupina Fancy Bear koncem roku 2016 vytvořila falešné e-mailové servery a rozesílala phishingové e-maily s odkazy na malware.[78]

Útok na Mezinárodní olympijský výbor (2018)

[editovat | editovat zdroj]

Dne 10. ledna 2018 osoba říkající si "Fancy Bears Hack Team" zveřejnila data, zřejmě ukradená Mezinárodnímu olympijskému výboru (MOV) a Americkému olympijskému výboru. Zveřejněné e-maily byly datované do roku 2016 a 2017. Únik byl zjevně odvetou za zákaz startu ruských sportovců na zimních olympijských hrách v roce 2018, ke kterému MOV přikročil po odhalení systematického dopingového programu Ruska. Útok se podobal dřívějšímu úniku dat Světové antidopingové agentury (WADA). Není známo, zda jsou zveřejněné e-maily pravé, protože skupina Fancy Bear už dříve zveřejněné e-maily doplňovala dezinformacemi. Způsob útoku také není znám, ale pravděpodobně se jednalo o phishing.[79][80]

Odborníci z oblasti kybernetické bezpečnosti také tvrdí, že útoky byly zřejmě zaměřeny i na společnost Berlinger Group, která se zabývá zpracováním vzorků pro testování na přítomnost zakázaných látek.[81]

Útok na OPCW

[editovat | editovat zdroj]

V dobnu 2018 byli v Amsterdamu zatčeni čtyři operativci GRU, když se pokoušeli hackovat systém Organizace pro zákaz chemických zbraní (Organisation for the Prohibition of Chemical Weapons), kde se právě testovaly vzorky novičoku užitého v Salisbury při pokusu otrávit Sergeje Skripala. Agenti, identifikovaní jako Alexei Moronets, Evgeni Serebriakov, Oleg Sotnikov a Alexei Minin, přicestovali 10. dubna z Moskvy do Amsterdamu běžným letem a setkali se s pracovníkem ruské ambasády. Byli zatčeni ve chvíli, kdy v blízkosti centra OPCW zaparkovali pronajatý vůz, plně vybavený zařízením pro průnik do wifi sítě.[82]

Úniky informací Švédské sportovní federace (2018)

[editovat | editovat zdroj]

Švédská sportovní federace v roce 2018 uvedla, že její počítače napadla skupina Fancy Bear. Útočníci zveřejnili e-maily a záznamy dopingových testů švédských sportovců a tvrdili, že sportovci porušili antidopingová pravidla.[83]

Zmařený útok na politické organizace v USA (2018)

[editovat | editovat zdroj]

Jednotka digitální kriminality (DCU) společnost Microsoft v srpnu 2018 oznámila, že se skupina Fancy Bear pokoušela ukrást data amerických politických organizací, jako je Mezinárodní republikánský institut a think-tank Hudson Institute. Útoky byly zmařeny, když se bezpečnostním pracovníkům podařilo získat kontrolu nad šesti Windows doménami.[84] Společnost Microsoft ve svém oznámení uvedla, že "v současné době nemáme žádné důkazy o tom, že by tyto domény, před tím než nad nimi DCU opět získala kontrolu, byly použity při jakémkoliv úspěšném útoku, ani nemáme důkazy, které by naznačovaly na jaké konečné cíle byly útoky pomocí těchto domén zamýšleny".[85]

Útoky spojené s osamostatněním Ukrajinské pravoslavné církve (2018)

[editovat | editovat zdroj]

Podle zprávy tiskové agentury Associated Press ze srpna 2018 se hackeři z Fancy Bear po dlouhá léta zaměřují na e-mailovou korespondenci představitelů Konstantinopolského ekumenického patriarchátu vedeného patriarchou Bartolomějem I.[86] Zpráva byla publikována v době zvýšeného napětí mezi ekumenickým patriarchátem všech východních ortodoxních církví a Ruskou pravoslavnou církví (Moskevský patriarchát). Ve sporu se jednalo o získání plné církevní nezávislosti (autokefality) pro Ukrajinskou pravoslavnou církev (Kyjevský patriarchát), která je podporována ukrajinskou vládou. Odborníci citovaní ve zprávě tvrdí, že udělení autokefality církvi na Ukrajině by rozložilo moc a prestiž Moskevského patriarchátu a podkopalo by její nároky na nadnárodní jurisdikci.[86] Útoky se zaměřily také na pravoslavné křesťany v jiných zemích, muslimy, židy a katolíky ve Spojených státech, komunitu zastřešující ukrajinské muslimy Umma, papežského nuncia v Kyjevě a Yosypa Ziselse, který řídí Ukrajinské asociace židovských organizací a společenství.[86]

Obvinění konkrétních pachatelů (2018)

[editovat | editovat zdroj]

V říjnu roku 2018 bylo v souvislosti s útoky obviněno Velkou porotou Západní Pensylvánie sedm důstojníků GRU. V obžalobě se uvádí, že od prosince 2014 do nejméně května roku 2018 důstojníci GRU organizovali "dlouhodobé a sofistikované počítačové útoky postihující americké osoby, právnické osoby, mezinárodní organizace a jejich zaměstnance nacházející se po celém světě na základě strategického zájmu ruské vlády."[87][88] Americké ministerstvo spravedlnosti uvedlo, že útoky měly mezi jinými za cíl "zveřejňovat ukradené informace v rámci kampaně zaměřené na ovlivňování a dezinformaci, která má oslabit, pomstít se a jinak delegitimizovat" úsilí Světové antidopingové agentury, jež zveřejnila McLarenovu zprávu odhalující rozsáhlý doping ruských sportovců sponzorovaný ruskou vládou.[87] Obžalovaní byli obviněni z napadání počítačových systémů, krádeží identity a praní špinavých peněz.[87]

Útoky na německé think tanky (2019)

[editovat | editovat zdroj]

V únoru 2019 společnost Microsoft oznámila, že skupina Fancy Bear podnikla phishingové útoky zaměřené na zaměstnance německých think tanků Marshall Fund, Aspen Institute Germany a německé organizace Rady pro zahraniční vztahy.[89][90]

Pokusy o ovlivňování voleb do Evropského parlamentu (2019)

[editovat | editovat zdroj]

V březnu roku 2019 uvedla bezpečnostní firma FireEye, že se skupina Fancy bear, společně se skupinou Sandworm (známá ransomwarem NotPetya) pokouší ovlivnit chystané volby do Evropského parlamentu. Útočníci rozeslali politikům a politickým institucím podvodné e-maily a vytvořili podvodné webové stránky, připomínající oficiální vládní weby. Podle společnosti FireEye mohou útočníci využít ukradené informace ke špionáži a dezinformační kampani. Společnost oběti útoků informovala.[91]

Útok na České instituce státní správy (2019)

[editovat | editovat zdroj]

Ve Zprávě o stavu kybernetické bezpečnosti České republiky za rok 2019 se uvádí, že: "NÚKIB spolupracoval na řešení incidentu, při kterém byla narušena důvěrnost dat v sítích strategické instituce státní správy. Prvotním vektorem útoku byl spear-phishingový e-mail. Následná analýza indikátorů kompromitace ze strany NÚKIB ukázala, že útočníkem byl téměř jistě státní aktér (pravděpodobnost 90–100 %) a velmi pravděpodobně (pravděpodobnost 75–85 %) APT skupina známá jako Sofacy, APT28 či Fancy Bear (přepychový medvěd). Odborná komunita, včetně partnerů NÚKIB, spojuje Sofacy s vojenskou rozvědkou Ruské federace GU (známá též jako GRU)."[92]

Napadení farmaceutických společností (2020)

[editovat | editovat zdroj]

Hackerská skupina Fancy Bear spolu se severokorejskými hackery označovanými jako Zinc a Cerium se pokusila proniknout do sítí sedmi farmaceutických společností v Kanadě, Francii, Indii, Jižní Koreji a Spojených státech, kde se testují vakcíny proti covidu-19. Podle Microsoftu byla část útoků úspěšná, ale podrobnější informace nebyly zveřejněny.[93]

Využití zranitelnosti aplikace Microsoft Outlook

[editovat | editovat zdroj]

APT28 využila do té doby nezámé zranitelnosti aplikace Microsoft Outlook a v letech 2023-2024 podnikala kybernetické útoky na instituce v Česku, Německu, Litvě, Polsku, Slovensku a Švédsku. V Německu byly cílem útoku firmy ze zbrojního a obranného průmyslu, logistiky, letectví, IT nebo vládní strana SPD.[94] Česko zaznamenalo desítky útoků na infrastrukturu, které dokázal NÚKIB odvrátit aniž by způsobily škody.[95]

Technické detaily útoků

[editovat | editovat zdroj]
Schéma znázorňující phishingové útoky skupiny Fancy Bear

Fancy Bear využívá pokročilé metody, kterými disponují státem podporované organizace.[96] Používají e-maily s phishingem, podvodné zpravodajské zdroje šířící malware a zero day zranitelnosti. Jedna z výzkumných skupin zabývající se počítačovou bezpečností zaznamenala, že v roce 2015 Fancy Bear využili nejméně šest různých zero day zranitelností, což je značný technický výkon, který vyžaduje velké množství programátorů, kteří hledají dříve neznámé softwarové zranitelnosti. Je to známka toho, že Fancy Bear je státem podporovaná organizace a ne gang nebo osamělý hacker.[97][98]

Jedním z preferovaných cílů skupiny Fancy Bear jsou webové e-mailové služby. Typickou metodou kompromitování uživatelů jsou podvodné e-maily s naléhavou žádostí o změnu hesla, díky které se mají uživatelé vyhnout hacknutí. V e-mailu je umístěn odkaz na webové stránky, jejichž vzhled je kopií skutečného webmailu. Pokud se uživatel pokusí přihlásit na těchto stránkách, dojde k odcizení jeho přihlašovacích údajů. URL adresa je často skryta pomocí zkracovače bit.ly,[99] aby se e-maily vyhnuly antispamovým filtrům. Podvodné e-maily jsou zasílány především v pondělí a v pátek. Dalším způsobem útoku je zasílání podvodných e-mailů, které namísto legitimních odkazů na zpravodajské články odkazují na weby s malwarem, které se snaží nainstalovat do cílového počítače.[97] Fancy Bear si také registrují domény, které připomínají legitimní webové stránky. Tam vytvoří podvodnou kopii webu, na níž se snaží se ukrást přihlašovací údaje obětí.[62] O skupině je známo, že pro komunikaci využívá proxy sítě obětí, které předtím kompromitovala.[100]

Fancy Bear využívá softwarové utility a počítačové viry ADVSTORESHELL, CHOPSTICK, JHUHUGIT, XTunnel, Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy a DownRange.[62] Na základě časů kompilace společnost FireEye došla k závěru, že skupina Fancy Bear od roku 2007 důsledně aktualizuje svůj malware.[100] Aby skupina zabránila detekci, aktualizuje a mění použité nástroje, střídá komunikaci přes různé botnety a mění metody pro perzistenci,[96] pro zamaskování kódu používá obfuskaci. Přidává nesmyslná data do textových řetězců, čímž snižuje možnost dekódování bez čisticího algoritmu.[100] Fancy Bear podnikají opatření, která zabraňují forenzní analýze jejich nástrojů, resetují časové značky souborů a pravidelně promazávají logy.[62]

Podle obžaloby zvláštních vyšetřovatelů Spojených států byl virus X-Agent "vyvinut, upraven a sledován" nadporučíkem Nikolajem Jurjevičem Kozačekem z GRU.[1]

O Fancy Bear je známo, že viry šijí na míru cílovým prostředím, například je konfigurují tak, aby používaly místní e-mailové servery.[100] V srpnu 2015 společnost Kaspersky Lab detekovala a zablokovala verzi backdooru ADVSTORESHELL, který cílil na dodavatele obranných systémů. Hodinu a půl po zablokování však skupina Fancy Bear sestavila a rozdistribuovala novou verzi backdooru.[25]

V tomto článku byl použit překlad textu z článku Fancy Bear na anglické Wikipedii.

  1. a b c POULSEN, Kevin. Mueller Finally Solves Mysteries About Russia’s ‘Fancy Bear’ Hackers. The Daily Beast. 2018-07-21. Dostupné online [cit. 2022-12-01]. (anglicky) 
  2. Meet Fancy Bear and Cozy Bear, Russian groups blamed for DNC hack. Christian Science Monitor. Dostupné online [cit. 2022-12-01]. ISSN 0882-7729. 
  3. UK accuses Kremlin of ordering series of 'reckless' cyber-attacks. the Guardian [online]. 2018-10-03 [cit. 2022-12-01]. Dostupné online. (anglicky) 
  4. TEAM, ThreatConnect Research. Russian Cyber Operations on Steroids. ThreatConnect | Smarter Security for Maximum Impact [online]. 2016-08-19 [cit. 2022-12-01]. Dostupné online. (anglicky) 
  5. a b APT28 | Russia's Cyber Espionage Operations Report. Mandiant [online]. [cit. 2022-12-01]. Dostupné online. (anglicky) 
  6. GRAFF, Garrett M. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Wired. Dostupné online [cit. 2022-12-01]. ISSN 1059-1028. (anglicky) 
  7. MIKEŠOVÁ, Markéta. Ruští hackeři se od začátku války nezastavili. „Strategická špionáž“ míří i na Česko. Živě.cz [online]. [cit. 2022-12-01]. Dostupné online. 
  8. The Man Leading America's Fight Against Russian Hackers Is Putin's Worst Nightmare. Esquire [online]. 2016-10-24 [cit. 2022-12-01]. Dostupné online. (anglicky) 
  9. NEWMAN, Lily Hay. Russia's Elite Hackers May Have New Phishing Tricks. Wired. Dostupné online [cit. 2022-12-01]. ISSN 1059-1028. (anglicky) 
  10. Macron hackers linked to Russian-affiliated group behind US attack. the Guardian [online]. 2017-05-08 [cit. 2022-12-01]. Dostupné online. (anglicky) 
  11. Research, News, and Perspectives. Trend Micro [online]. [cit. 2022-12-01]. Dostupné online. (anglicky) 
  12. Dostupné online. 
  13. Dostupné online. 
  14. Archivovaná kopie. www.reuters.com. Dostupné v archivu pořízeném dne 2015-10-11.  Archivováno 11. 10. 2015 na Wayback Machine.
  15. thehackernews.com. Dostupné online. 
  16. www.techtimes.com. Dostupné online. 
  17. Dostupné online. 
  18. www.businessinsider.com. Dostupné online. 
  19. a b c www.esquire.com. Dostupné online. 
  20. Conspiracy to Commit an Offense Against the United States, 15.10.2020
  21. a b c d www.chicagotribune.com. Dostupné online. 
  22. www.wsj.com. Dostupné online. 
  23. Donie O'Sullivan: Russian hackers targeted US think tanks in Europe, CNN Business, 20.2.2019
  24. www.usnews.com. Dostupné online. 
  25. a b securelist.com. Dostupné online. 
  26. www.staradvertiser.com. Dostupné online. 
  27. www.lse.co.uk. Dostupné online. 
  28. a b Dostupné online. 
  29. Dostupné online. 
  30. Dostupné online. 
  31. Dostupné online. 
  32. Dostupné online. 
  33. a b c Archivovaná kopie. www.chicagotribune.com. Dostupné v archivu pořízeném dne 2018-06-12.  Archivováno 12. 6. 2018 na Wayback Machine.
  34. Dostupné online. 
  35. Dostupné online. 
  36. Archivovaná kopie. www.reuters.com. Dostupné v archivu pořízeném dne 2015-10-10.  Archivováno 10. 10. 2015 na Wayback Machine.
  37. Hackovaná francouzská síť vystavila svá vlastní hesla během televizního rozhovoru - arstechnica
  38. a b c d www.telegraph.co.uk. Dostupné online. 
  39. www.theguardian.com. Dostupné online. 
  40. www.independent.co.uk. Dostupné online. 
  41. a b c d blog.comae.io. Dostupné online.  Archivováno 13. 6. 2017 na Wayback Machine.
  42. Dostupné online. 
  43. www.scmagazine.com. Dostupné online.  Archivováno 2. 3. 2018 na Wayback Machine.
  44. Dostupné online. 
  45. Dostupné online. 
  46. Archivovaná kopie [online]. [cit. 2019-03-09]. Dostupné v archivu pořízeném dne 2018-03-01. 
  47. boingboing.net. Dostupné online. 
  48. Dostupné online. 
  49. Dostupné online. 
  50. Dostupné online. 
  51. arstechnica.com. Dostupné online. 
  52. www.theguardian.com. Dostupné online. 
  53. a b www.nbcnews.com. Dostupné online. 
  54. Archivovaná kopie [online]. [cit. 2019-03-09]. Dostupné v archivu pořízeném dne 2017-12-24. 
  55. www.washingtonpost.com. Dostupné online. 
  56. Archivovaná kopie [online]. [cit. 2019-03-09]. Dostupné v archivu pořízeném dne 2021-04-21. 
  57. Dostupné online. 
  58. Archivovaná kopie. www.msn.com. Dostupné v archivu pořízeném dne 2018-08-21. 
  59. www.nytimes.com. Dostupné online. 
  60. www.apnews.com. Dostupné online. 
  61. a b www.economist.com. Dostupné online. 
  62. a b c d Dostupné online. 
  63. Archivovaná kopie [online]. [cit. 2019-03-09]. Dostupné v archivu pořízeném dne 2017-01-07. 
  64. Dostupné online. 
  65. en.interfax.com.ua. Dostupné online. 
  66. www.voanews.com. Dostupné online. 
  67. Dostupné online. 
  68. SPURNÝ, Ondřej Kundra, Jaroslav. BIS otevřeně varuje před promořeností Česka ruskými špiony. Týdeník Respekt [online]. [cit. 2019-05-08]. Dostupné online. 
  69. SPURNÝ, Ondřej Kundra, Jaroslav. Tajná služba potvrdila, že na e-maily ministerstva zahraničí útočili Rusové. Týdeník Respekt [online]. [cit. 2019-05-08]. Dostupné online. 
  70. www.volkskrant.nl. Dostupné online. 
  71. www.irishtimes.com. Dostupné online. 
  72. www.foxnews.com. Dostupné online. 
  73. www.voanews.com. Dostupné online. 
  74. www.reuters.com. Dostupné online. 
  75. Martin Untersinger, Les preuves de l’ingérence russe dans la campagne de Macron en 2017, Le Monde, 6.12.2019
  76. Jaroslav Formánek, „MacronLeaks“ – útok přišel z Ruska, Investigace.cz, 16.12.2019. admin.investigace.cz [online]. [cit. 2019-12-16]. Dostupné v archivu pořízeném z originálu dne 2019-12-16. 
  77. Dostupné online. 
  78. global.handelsblatt.com. Dostupné online.  Archivováno 12. 8. 2018 na Wayback Machine.
  79. Dostupné online. 
  80. Rebecca R. Ruiz, Rebecca Ruští hackeři uvolňují ukradené emaily v novém úsilí zpochybnit činnost dopingových vyšetřovatelů , New York Times (10. ledna 2018).
  81. Nick Griffin, Performanta, [1] Archivováno 6. 2. 2018 na Wayback Machine. (26. ledna 2018).
  82. Steven Swinford, Senay Boztas, Russian GRU agents caught 'hacking' into global chemical weapons watchdog investigating Salisbury, The Telegraph, 4.10.2018
  83. www.reuters.com. Dostupné online. 
  84. www.bbc.co.uk. Dostupné online. 
  85. Dostupné online. 
  86. a b c Dostupné online. 
  87. a b c United States Department of Justice: U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations, tisková zpráva, [cit. {{{accessdate}}}], Dostupné on-line.
  88. assets.documentcloud.org. Dostupné online. 
  89. www.washingtonpost.com. Dostupné online. 
  90. blogs.microsoft.com. Dostupné online. 
  91. MIKEŠOVÁ, Markéta. Ruští hackeři se snaží útočit na evropské volby. Experti popsali jak. Živě.cz [online]. [cit. 2019-04-03]. Dostupné online. 
  92. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019 [online]. NUKIB [cit. 2021-03-05]. Kapitola C | 01 Kybernetická špionáž: Medvědi v českých sítích, s. 10. Dostupné online. 
  93. Microsoft: Hackeři Ruska a KLDR napadají výzkum covidové vakcíny, ČTK, 15.11.2020
  94. APT28 jsou známá hrozba. USA odsoudily ruský kyberútok na Česko a další státy, Novinky.cz, 2024
  95. Na instituce v ČR zaútočili špioni spojení s ruskou vojenskou rozvědkou, oznámilo ministerstvo, Echo24.cz, 2024
  96. a b www.scmagazine.com. Dostupné online.  Archivováno 20. 12. 2016 na Wayback Machine.
  97. a b www.theguardian.com. Dostupné online. ISSN 0261-3077. 
  98. Dostupné online. 
  99. www.buzzfeed.com. Dostupné online. 
  100. a b c d Archivovaná kopie [online]. [cit. 2019-02-26]. Dostupné v archivu pořízeném dne 2017-01-10. 

Související články

[editovat | editovat zdroj]