Cozy Bear , clasificado por el gobierno federal de los Estados Unidos como amenaza persistente avanzada APT29 , es un grupo de hackers rusos que se cree está asociado con una o más agencias de inteligencia de Rusia . El Servicio General de Inteligencia y Seguridad de los Países Bajos (AIVD) dedujo de las imágenes de las cámaras de seguridad que está dirigido por el Servicio de Inteligencia Exterior de Rusia (SVR); [5] Estados Unidos comparte esta opinión . [4] La empresa de seguridad cibernética CrowdStrike también sugirió anteriormente que puede estar asociada con el Servicio Federal de Seguridad de Rusia(FSB) o SVR. [2] El grupo ha recibido varios apodos de otras empresas de ciberseguridad, incluidas CozyCar , [6] CozyDuke [7] [8] (por F-Secure ), Dark Halo , The Dukes (por Volexity), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 e YTTRIUM .
El 20 de diciembre de 2020, se informó que CozyBear fue responsable de un ataque cibernético a datos nacionales soberanos de EE. UU., que se cree que fue dirigido por el gobierno ruso. [9]
Kaspersky Lab determinó que las primeras muestras del malware MiniDuke atribuidas al grupo datan de 2008. [1] El código original fue escrito en lenguaje ensamblador . [10] Symantec cree que Cozy Bear ha estado comprometiendo a organizaciones diplomáticas y gobiernos desde al menos 2010. [11]
El malware CozyDuke utiliza una puerta trasera y un cuentagotas . El malware extrae datos a un servidor de comando y control . Los atacantes pueden adaptar el malware al entorno. [1] Los componentes de puerta trasera del malware de Cozy Bear se actualizan con el tiempo con modificaciones en la criptografía , la funcionalidad de troyanos y la antidetección. La velocidad a la que Cozy Bear desarrolla y despliega sus componentes recuerda al conjunto de herramientas de Fancy Bear, que también utiliza las herramientas CHOPSTICK y CORESHELL. [12]
El conjunto de herramientas de malware CozyDuke de Cozy Bear es estructural y funcionalmente similar a los componentes de segunda etapa utilizados en las primeras operaciones de Miniduke, Cosmicduke y OnionDuke. Un módulo de la segunda etapa del malware CozyDuke, Show.dll, parece haber sido integrado en la misma plataforma que OnionDuke, lo que sugiere que los autores están trabajando juntos o son las mismas personas. [12] Las campañas y los conjuntos de herramientas de malware que utilizan se denominan Dukes, incluidos Cosmicduke, Cozyduke y Miniduke. [11] CozyDuke está conectado con las campañas MiniDuke y CosmicDuke, así como con la campaña de ciberespionaje OnionDuke. Cada grupo de amenazas rastrea sus objetivos y usa conjuntos de herramientas que probablemente fueron creados y actualizados por hablantes de ruso. [1]Tras la exposición del MiniDuke en 2013, las actualizaciones del malware se escribieron en C / C++ y se empaquetó con un nuevo ofuscador . [10]
Se sospecha que Cozy Bear está detrás de la herramienta de acceso remoto 'HAMMERTOSS' que utiliza sitios web comúnmente visitados como Twitter y GitHub para transmitir datos de comando . [13]