Fancy Bear (también conocido como APT28 (por Mandiant ), Pawn Storm , Sofacy Group (por Kaspersky ), Sednit , Tsar Team (por FireEye ) y STRONTIUM (por Microsoft )) [2] [4] es un grupo de ciberespionaje ruso . La firma de ciberseguridad CrowdStrike ha dicho con un nivel medio de confianza que está asociada con la agencia de inteligencia militar rusa GRU . [5] [6] Ministerio de Asuntos Exteriores y de la Commonwealth del Reino Unido[7] , así como las empresas de seguridad SecureWorks , [8] ThreatConnect , [9] y Fireeye 's Mandiant , [10] también han dicho que el grupo está patrocinado por el gobierno ruso. En 2018, una acusación del fiscal especial de los Estados Unidosidentificó a Fancy Bear como GRU Unit 26165 . [3] [2]
Formación | C. 2004-2007 [2] |
---|---|
Tipo | Amenaza Persistente Avanzada |
Propósito | Ciberespionaje , guerra cibernética |
Región | Rusia |
Métodos | Días cero , phishing , malware |
Idioma oficial | ruso |
Organización matriz | GRU [1] [2] [3] |
Afiliaciones | Oso acogedor |
Anteriormente llamado | APT28 Pawn Storm Sofacy Group Sednit STRONTIUM Tsar Team Threat Group-4127 Grizzly Steppe (cuando se combina con Cozy Bear ) |
El nombre "Fancy Bear" proviene de un sistema de codificación que el investigador de seguridad Dmitri Alperovitch utiliza para identificar a los piratas informáticos. [11]
Probablemente operando desde mediados de la década de 2000, los métodos de Fancy Bear son consistentes con las capacidades de los actores estatales. El grupo apunta a organizaciones gubernamentales, militares y de seguridad, especialmente a los estados de Transcaucasia y alineados con la OTAN . Se cree que Fancy Bear es responsable de los ataques cibernéticos contra el parlamento alemán , el parlamento noruego , la estación de televisión francesa TV5Monde , la Casa Blanca , la OTAN, el Comité Nacional Democrático , la Organización para la Seguridad y la Cooperación en Europa y la campaña de El candidato presidencial francés Emmanuel Macron . [12]
El grupo promueve los intereses políticos del gobierno ruso y es conocido por piratear los correos electrónicos del Comité Nacional Demócrata para intentar influir en el resultado de las elecciones presidenciales de 2016 en Estados Unidos. [13]
Fancy Bear está clasificado por Fireeye como una amenaza persistente avanzada . [10] Entre otras cosas, utiliza exploits de día cero , spear phishing y malware para comprometer los objetivos.
Informes de seguridad y descubrimiento
Trend Micro designó a los actores detrás del malware Sofacy como Operación Pawn Storm el 22 de octubre de 2014. [14] El nombre se debió al uso del grupo de "dos o más herramientas / tácticas conectadas para atacar un objetivo específico similar a la estrategia de ajedrez, " [15] conocida como tormenta de peones .
La empresa de seguridad de red FireEye publicó un informe detallado sobre Fancy Bear en octubre de 2014. El informe designó al grupo como "Amenaza persistente avanzada 28" (APT28) y describió cómo el grupo de piratería utilizó exploits de día cero del sistema operativo Microsoft Windows y Adobe Flash. . [16] El informe encontró detalles operativos que indican que la fuente es un "patrocinador del gobierno con sede en Moscú". La evidencia recopilada por FireEye sugirió que el malware de Fancy Bear se compiló principalmente en un entorno de compilación en idioma ruso y se produjo principalmente durante las horas de trabajo paralelas a la zona horaria de Moscú . [17] La directora de inteligencia de amenazas de FireEye, Laura Galante, se refirió a las actividades del grupo como "espionaje estatal" [18] y dijo que los objetivos también incluyen "medios de comunicación o personas influyentes". [19] [20]
El nombre "Fancy Bear" se deriva del sistema de codificación que Dmitri Alperovitch usa para los grupos de hackers. "Bear" indica que los piratas informáticos son de Rusia. Fancy se refiere a "Sofacy", una palabra en el malware que le recordó al analista que lo encontró, la canción " Fancy " de Iggy Azalea . [1]
Ataques
Los objetivos de Fancy Bear incluyen gobiernos y ejércitos de Europa del Este, el país de Georgia y el Cáucaso , Ucrania, [21] organizaciones relacionadas con la seguridad como la OTAN , así como los contratistas de defensa estadounidenses Academi (antes conocidos como Blackwater y Xe Services), Science Applications International Corporation (SAIC), [22] Boeing, Lockheed Martin y Raytheon. [21] Fancy Bear también ha atacado a ciudadanos de la Federación Rusa que son enemigos políticos del Kremlin, incluido el ex magnate petrolero Mikhail Khodorkovsky y Maria Alekhina de la banda Pussy Riot . [21] SecureWorks, una empresa de ciberseguridad con sede en los Estados Unidos, concluyó que desde marzo de 2015 hasta mayo de 2016, la lista de objetivos de "Fancy Bear" incluía no solo al Comité Nacional Demócrata de los Estados Unidos, sino a decenas de miles de enemigos de Putin y la Kremlin en Estados Unidos, Ucrania, Rusia, Georgia y Siria. Sin embargo, solo un puñado de republicanos fueron atacados. [23] Un análisis de AP de 4,700 cuentas de correo electrónico que habían sido atacadas por Fancy Bear concluyó que ningún país más que Rusia estaría interesado en piratear tantos objetivos muy diferentes que parecían no tener nada más en común que su interés para el Gobierno ruso. [21]
Fancy Bear también parece intentar influir en los acontecimientos políticos para que los amigos o aliados del gobierno ruso ganen el poder.
En 2011-2012, el malware de primera etapa de Fancy Bear fue el implante "Sofacy" o SOURFACE. Durante 2013, Fancy Bear agregó más herramientas y puertas traseras, incluidas CHOPSTICK, CORESHELL, JHUHUGIT y ADVSTORESHELL. [24]
Ataques a destacados periodistas en Rusia, Estados Unidos, Ucrania, Moldavia, los países bálticos y otros lugares
Desde mediados de 2014 hasta el otoño de 2017, Fancy Bear apuntó a numerosos periodistas en los Estados Unidos, Ucrania, Rusia, Moldavia, los países bálticos y otros países que habían escrito artículos sobre Vladimir Putin y el Kremlin. Según Associated Press y SecureWorks, este grupo de periodistas es el tercer grupo más grande al que apunta Fancy Bear después del personal diplomático y los demócratas estadounidenses. La lista de objetivos de Fancy Bear incluye a Adrian Chen , la periodista armenia Maria Titizian, Eliot Higgins en Bellingcat , Ellen Barry y al menos otros 50 reporteros del New York Times , al menos 50 corresponsales extranjeros con sede en Moscú que trabajaron para medios de noticias independientes, Josh Rogin , un El columnista del Washington Post , Shane Harris , un escritor del Daily Beast que en 2015 cubrió temas de inteligencia, Michael Weiss , un analista de seguridad de CNN, Jamie Kirchick de la Brookings Institution , 30 objetivos de los medios en Ucrania, muchos en el Kyiv Post , reporteros que cubrieron el ruso -guerra respaldada en el este de Ucrania , así como en Rusia, donde la mayoría de los periodistas atacados por los piratas informáticos trabajaban para noticias independientes (por ejemplo, Novaya Gazeta o Vedomosti ) como Ekaterina Vinokurova en Znak.com y los principales periodistas rusos Tina Kandelaki , Ksenia Sobchak , y el presentador de televisión ruso Pavel Lobkov , todos los cuales trabajaban para Dozhd . [25]
Ataques alemanes (desde 2014)
Se cree que Fancy Bear fue responsable de un ciberataque de seis meses contra el parlamento alemán que comenzó en diciembre de 2014. [26] El 5 de mayo de 2020, los fiscales federales alemanes emitieron una orden de arresto contra Dimitri Badin en relación con el ataques. [27] El ataque paralizó por completo la infraestructura de TI del Bundestag en mayo de 2015. Para resolver la situación, todo el parlamento tuvo que estar desconectado durante días. Los expertos en TI estiman que se descargó un total de 16 gigabytes de datos del Parlamento como parte del ataque. [28]
También se sospecha que el grupo está detrás de un ataque de phishing con lanza en agosto de 2016 contra miembros del Bundestag y múltiples partidos políticos, como la líder de la facción Linken , Sahra Wagenknecht , Junge Union y la CDU de Saarland . [29] [30] [31] [32] Las autoridades temían que los piratas informáticos pudieran recopilar información confidencial para luego manipular al público antes de las elecciones, como las próximas elecciones federales de Alemania, que se celebrarían en septiembre de 2017. [29]
Amenazas de muerte de esposas de militares estadounidenses (10 de febrero de 2015)
Cinco esposas de personal militar estadounidense recibieron amenazas de muerte de un grupo de piratas informáticos que se hacía llamar "CyberCaliphate", que afirmaba estar afiliado al Estado Islámico, el 10 de febrero de 2015. [33] [34] [35] [36] Esto se descubrió más tarde que ha sido un ataque de bandera falsa por parte de Fancy Bear, cuando se descubrió que las direcciones de correo electrónico de las víctimas estaban en la lista de objetivos de phishing de Fancy Bear. [34] También se sabe que los trolls rusos de las redes sociales exageran y propagan rumores sobre la amenaza de posibles ataques terroristas del Estado Islámico en suelo estadounidense para sembrar el miedo y la tensión política. [34]
Hack de la televisión francesa (abril de 2015)
El 8 de abril de 2015, la cadena de televisión francesa TV5Monde fue víctima de un ciberataque por parte de un grupo de hackers que se hacía llamar "CyberCaliphate" y afirmaba tener vínculos con la organización terrorista Estado Islámico de Irak y el Levante (ISIL). Más tarde, los investigadores franceses descartaron la teoría de que militantes islamistas estaban detrás del ciberataque, y en cambio sospecharon de la participación de Fancy Bear. [37]
Los piratas informáticos violaron los sistemas internos de la red, posiblemente con la ayuda de contraseñas transmitidas abiertamente por TV5, [38] anulando la programación de transmisión de los 12 canales de la compañía durante más de tres horas. [39] El servicio solo se restauró parcialmente en las primeras horas de la mañana siguiente y los servicios de transmisión normales se interrumpieron hasta el 9 de abril. [39] Varios sistemas administrativos y de apoyo internos computarizados, incluido el correo electrónico, también estaban cerrados o inaccesibles debido a al ataque. [40] [39] Los piratas informáticos también secuestraron las páginas de Facebook y Twitter de TV5Monde para publicar información personal de familiares de soldados franceses que participaban en acciones contra ISIS, junto con mensajes críticos del presidente François Hollande , argumentando que los ataques terroristas de enero de 2015 fueron "regalos "por su" error imperdonable "de participar en conflictos que" [no sirven] de nada ". [41] [39]
El director general de TV5Monde, Yves Bigot, dijo más tarde que el ataque casi destruyó la empresa; si se hubiera tardado más en restablecer la radiodifusión, los canales de distribución por satélite probablemente habrían cancelado sus contratos. El ataque fue diseñado para ser destructivo, tanto del equipo como de la propia empresa, más que para la propaganda o el espionaje, como había sido el caso de la mayoría de los otros ataques cibernéticos. El ataque fue planeado cuidadosamente; la primera penetración conocida de la red fue el 23 de enero de 2015. [42] Luego, los atacantes llevaron a cabo un reconocimiento de TV5Monde para comprender la forma en que transmitía sus señales y construyeron software malicioso a medida para corromper y destruir el hardware conectado a Internet. que controlaba las operaciones de la estación de televisión, como los sistemas de codificación. Utilizaron siete puntos de entrada diferentes, no todos parte de TV5Monde o incluso en Francia; una era una empresa con sede en los Países Bajos que suministraba las cámaras con control remoto utilizadas en los estudios de TV5. [42] Entre el 16 de febrero y el 25 de marzo, los atacantes recopilaron datos en las plataformas internas de TV5, incluida su Wiki interna de TI , y verificaron que las credenciales de inicio de sesión aún eran válidas. [42] Durante el ataque, los piratas informáticos ejecutaron una serie de comandos extraídos de los registros de TACACS para borrar el firmware de los conmutadores y enrutadores . [42]
Aunque el ataque supuestamente era de IS, la agencia cibernética de Francia le dijo a Bigot que dijera solo que los mensajes afirmaban ser de IS. Más tarde le dijeron que se habían encontrado pruebas de que los atacantes eran el grupo APT 28 de piratas informáticos rusos. No se encontró ninguna razón para el objetivo de TV5Monde, y se desconoce la fuente de la orden de ataque y la financiación para ello. Se ha especulado que probablemente fue un intento de probar formas de armamento cibernético. El costo se estimó en 5 millones de euros (5,6 millones de dólares; 4,5 millones de libras esterlinas) durante el primer año, seguido de un coste anual recurrente de más de 3 millones de euros (3,4 millones de dólares; 2,7 millones de libras esterlinas) para la nueva protección. La forma de trabajar de la empresa tuvo que cambiar, con la autenticación del correo electrónico, la verificación de las unidades flash antes de la inserción, etc., en detrimento significativo de la eficiencia de una empresa de medios de comunicación que debe mover información. [43]
Informe root9B (mayo de 2015)
La empresa de seguridad root9B publicó un informe sobre Fancy Bear en mayo de 2015 en el que anunciaba el descubrimiento de un ataque de spear phishing dirigido a instituciones financieras. El informe enumeró las instituciones bancarias internacionales que fueron atacadas, incluido el Banco Unido para África , Bank of America , TD Bank y UAE Bank. Según root9B, los preparativos para los ataques comenzaron en junio de 2014 y el malware utilizado "llevaba firmas específicas que históricamente han sido exclusivas de una sola organización, Sofacy". [44] El periodista de seguridad Brian Krebs cuestionó la exactitud de las afirmaciones de root9B, postulando que los ataques en realidad se habían originado en phishers nigerianos. [45] En junio de 2015, el respetado investigador de seguridad Claudio Guarnieri publicó un informe basado en su propia investigación de un exploit concurrente atribuido a SOFACY contra el Bundestag alemán [46] y acreditó a root9B por haber informado ", la misma dirección IP utilizada como Command & Control servidor en el ataque contra el Bundestag (176.31.112.10) ", y continuó diciendo que, según su examen del ataque al Bundestag," al menos algunos "indicadores contenidos en el informe de root9B parecían precisos, incluida una comparación del hash del malware muestra de ambos incidentes. root9B publicó más tarde un informe técnico que compara el análisis de Claudio del malware atribuido a SOFACY con su propia muestra, lo que aumenta la veracidad de su informe original. [47]
Parodia de la EFF, ataque a la Casa Blanca y la OTAN (agosto de 2015)
En agosto de 2015, Fancy Bear utilizó un exploit de día cero de Java , falsificando la Electronic Frontier Foundation y lanzando ataques contra la Casa Blanca y la OTAN . Los piratas informáticos utilizaron un ataque de spear phishing, dirigiendo los correos electrónicos a la URL falsa electronicfrontierfoundation.org. [48] [49]
Agencia Mundial Antidopaje (agosto de 2016)
En agosto de 2016, la Agencia Mundial Antidopaje informó de la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser comunicaciones oficiales de la AMA solicitando sus datos de inicio de sesión. Después de revisar los dos dominios proporcionados por la AMA, se descubrió que la información de registro y alojamiento de los sitios web era coherente con el grupo de piratería ruso Fancy Bear. [50] [51] Según WADA, algunos de los datos que los piratas informáticos publicaron habían sido falsificados. [52]
Debido a la evidencia de dopaje generalizado por parte de los atletas rusos , la AMA recomendó que se prohibiera a los atletas rusos participar en los Juegos Olímpicos y Paralímpicos de Río 2016. Los analistas dijeron que creían que el hackeo fue en parte un acto de represalia contra el deportista ruso Yuliya Stepanova , cuya información personal fue divulgada en la infracción. [53] En agosto de 2016, la AMA reveló que sus sistemas habían sido violados, explicando que los piratas informáticos de Fancy Bear habían utilizado una cuenta creada por el Comité Olímpico Internacional (COI) para obtener acceso a su base de datos del Sistema de Gestión y Administración Antidopaje (ADAMS). . [54] Luego, los piratas informáticos utilizaron el sitio web fancybear.net para filtrar lo que dijeron eran los archivos olímpicos de pruebas de drogas de varios atletas que habían recibido exenciones de uso terapéutico, incluida la gimnasta Simone Biles , las tenistas Venus y Serena Williams y la jugadora de baloncesto Elena Delle Donne. . [55] Los piratas informáticos se centraron en los atletas a los que la AMA les había concedido exenciones por diversas razones. Las filtraciones posteriores incluyeron a atletas de muchos otros países. [54]
Junta de seguridad holandesa y Bellingcat
Eliot Higgins y otros periodistas asociados con Bellingcat , un grupo que investiga el derribo del vuelo 17 de Malaysia Airlines sobre Ucrania, fueron blanco de numerosos correos electrónicos de phishing. Los mensajes eran avisos de seguridad de Gmail falsos con URL abreviadas de Bit.ly y TinyCC. Según ThreatConnect , algunos de los correos electrónicos de phishing se originaron en servidores que Fancy Bear había utilizado en ataques anteriores en otros lugares. Bellingcat es conocido por haber demostrado que Rusia es culpable del derribo del MH17, y los medios de comunicación rusos lo ridiculizan con frecuencia. [56] [57]
El grupo apuntó a la Junta de Seguridad Holandesa , el organismo que realiza la investigación oficial sobre el accidente, antes y después de la publicación del informe final de la junta. Instalaron servidores SFTP y VPN falsos para imitar los propios servidores de la placa, probablemente con el propósito de hacer phishing selectivo de nombres de usuario y contraseñas. [58] Un portavoz del DSB dijo que los ataques no tuvieron éxito. [59]
Comité Nacional Demócrata (2016)
Fancy Bear llevó a cabo ataques de spear phishing en direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. [60] [61] El 10 de marzo, los correos electrónicos de phishing que se dirigían principalmente a direcciones de correo electrónico antiguas de los empleados de la campaña demócrata de 2008 comenzaron a llegar. Una de estas cuentas puede haber generado listas de contactos actualizadas. Al día siguiente, los ataques de phishing se expandieron a las direcciones de correo electrónico privadas de funcionarios de alto nivel del Partido Demócrata. Las direcciones de Hillaryclinton.com fueron atacadas, pero requirieron autenticación de dos factores para acceder. El ataque se redirigió a las cuentas de Gmail el 19 de marzo. La cuenta de Gmail de Podesta fue violada el mismo día, con 50.000 correos electrónicos robados. Los ataques de phishing se intensificaron en abril, [61] aunque los piratas informáticos parecieron estar repentinamente inactivos durante el día 15 de abril, que en Rusia era un feriado en honor a los servicios de guerra electrónica del ejército. [62] El malware utilizado en el ataque envió datos robados a los mismos servidores que se utilizaron para el ataque del grupo en 2015 al parlamento alemán . [1]
El 14 de junio, CrowdStrike publicó un informe en el que publicaba el hackeo de DNC e identificaba a Fancy Bear como los culpables. Luego apareció una persona en línea, Guccifer 2.0 , reclamando el mérito exclusivo de la infracción. [63]
Otro grupo de piratería sofisticado atribuido a la Federación de Rusia, apodado Cozy Bear , también estaba presente en los servidores del DNC al mismo tiempo. Sin embargo, los dos grupos parecían no estar al tanto del otro, ya que cada uno robaba independientemente las mismas contraseñas y duplicaba sus esfuerzos. Cozy Bear parece ser una agencia diferente, más interesada en el espionaje tradicional a largo plazo. [62] Un equipo forense de CrowdStrike determinó que mientras Cozy Bear había estado en la red del DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. [1]
Artillería ucraniana
Según CrowdStrike de 2014 a 2016, el grupo usó malware de Android para atacar las Fuerzas de Cohetes y Artillería del Ejército de Ucrania . Distribuyeron una versión infectada de una aplicación de Android cuyo propósito original era controlar los datos de objetivos para la artillería D-30 Howitzer . La aplicación, utilizada por oficiales ucranianos, se cargó con el software espía X-Agent y se publicó en línea en foros militares. CrowdStrike inicialmente afirmó que más del 80% de los obuses D-30 ucranianos fueron destruidos en la guerra, el porcentaje más alto de pérdida de piezas de artillería en el ejército (un porcentaje que nunca se había informado anteriormente y que significaría la pérdida de casi todo el arsenal). de la mayor pieza de artillería de las Fuerzas Armadas de Ucrania [64] ). [65] Según el ejército ucraniano, las cifras de CrowdStrike eran incorrectas y que las pérdidas en armas de artillería "estaban muy por debajo de las informadas" y que estas pérdidas "no tienen nada que ver con la causa declarada". [66] Desde entonces, CrowdStrike ha revisado este informe después de que el Instituto Internacional de Estudios Estratégicos (IISS) desautorizara su informe original, alegando que los ataques de malware produjeron pérdidas del 15-20% en lugar de su cifra original del 80%. [67]
Windows zero-day (octubre de 2016)
El 31 de octubre de 2016, el Grupo de análisis de amenazas de Google reveló una vulnerabilidad de día cero en la mayoría de las versiones de Microsoft Windows que es objeto de ataques activos de malware. El 1 de noviembre de 2016, el vicepresidente ejecutivo de Microsoft del grupo de dispositivos y Windows, Terry Myerson, publicó en el blog Threat Research & Response de Microsoft, reconociendo la vulnerabilidad y explicando que una "campaña de spear-phishing de bajo volumen" dirigida a usuarios específicos había utilizado "dos vulnerabilidades de día cero en Adobe Flash y el kernel de Windows de nivel inferior ". Microsoft señaló a Fancy Bear como el actor de amenazas, refiriéndose al grupo por su nombre en clave interno STRONTIUM . [68]
Ministerios holandeses (febrero de 2017)
En febrero de 2017, el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos reveló que Fancy Bear y Cozy Bear habían hecho varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , jefe de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. [69]
En una sesión informativa al parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. [70]
Hack de la IAAF (febrero de 2017)
Los funcionarios de la Asociación Internacional de Federaciones de Atletismo (IAAF) declararon en abril de 2017 que sus servidores habían sido pirateados por el grupo "Fancy Bear". El ataque fue detectado por la firma de ciberseguridad Context Information Security, que identificó que el 21 de febrero se había realizado un acceso remoto no autorizado a los servidores de la IAAF. La IAAF declaró que los piratas informáticos habían accedido a las aplicaciones de Exención de Uso Terapéutico , necesarias para usar medicamentos prohibidos por la AMA. [71] [72]
Elecciones alemanas y francesas (2016-2017)
Investigadores de Trend Micro publicaron en 2017 un informe que describe los intentos de Fancy Bear de dirigirse a grupos relacionados con las campañas electorales de Emmanuel Macron y Angela Merkel . Según el informe, atacaron la campaña de Macron con phishing e intentaron instalar malware en su sitio. La agencia de ciberseguridad del gobierno francés ANSSI confirmó que estos ataques tuvieron lugar, pero no pudo confirmar la responsabilidad de APT28. [73] La campaña de Marine Le Pen no parece haber sido blanco de APT28, lo que posiblemente indica la preferencia rusa por su campaña. Putin había promocionado previamente los beneficios para Rusia si Marine Le Pen fuera elegida. [74]
El informe dice que luego atacaron a la Fundación alemana Konrad Adenauer y la Fundación Friedrich Ebert , grupos que están asociados con la Unión Demócrata Cristiana de Angela Merkel y el Partido Socialdemócrata de oposición , respectivamente. Fancy Bear instaló servidores de correo electrónico falsos a fines de 2016 para enviar correos electrónicos de phishing con enlaces a malware. [75]
Comité Olímpico Internacional (2018)
El 10 de enero de 2018, el personaje en línea del "Fancy Bears Hack Team" filtró lo que parecían ser correos electrónicos robados del Comité Olímpico Internacional (COI) y del Comité Olímpico de los EE. UU. , Con fecha de finales de 2016 y principios de 2017, se filtraron en aparente represalia por la prohibición del COI. de los atletas rusos de los Juegos Olímpicos de Invierno de 2018 como sanción para el programa de dopaje sistemático de Rusia . El ataque se asemeja a las filtraciones anteriores de la Agencia Mundial Antidopaje (AMA). No se sabe si los correos electrónicos son completamente auténticos, debido al historial de Fancy Bear de agregar desinformación a los correos electrónicos robados. El modo de ataque tampoco se conocía, pero probablemente era phishing. [76] [77]
Los expertos en seguridad cibernética también han afirmado que los ataques también parecen haber estado dirigidos a la empresa embotelladora de pruebas de drogas deportivas profesional conocida como Berlinger Group. [78]
Confederación Sueca de Deportes
La Confederación Deportiva Sueca informó que Fancy Bear fue responsable de un ataque a sus computadoras, dirigido a los registros de las pruebas de dopaje de los atletas. [79]
Grupos conservadores de Estados Unidos (2018)
La compañía de software Microsoft informó en agosto de 2018 que el grupo había intentado robar datos de organizaciones políticas como el Instituto Republicano Internacional y los think tanks del Instituto Hudson . Los ataques se frustraron cuando el personal de seguridad de Microsoft obtuvo el control de seis dominios de red . [80] En su anuncio, Microsoft advirtió que "actualmente no tenemos evidencia de que estos dominios fueron utilizados en ningún ataque exitoso antes de que la DCU transfiriera el control de ellos, ni tenemos evidencia para indicar la identidad de los objetivos finales de cualquier ataque planeado que involucre a estos dominios ". [81]
El Patriarcado Ecuménico y otros clérigos (agosto de 2018)
De acuerdo con el informe de agosto de 2018 de la Associated Press , Fancy oso había sido durante años dirigidos a la correspondencia de correo electrónico de los funcionarios del Patriarcado Ecuménico de Constantinopla encabezada por el patriarca ecuménico Bartolomé I . [82] La publicación apareció en un momento de intensas tensiones entre el Patriarcado Ecuménico, la más importante de todas las Iglesias Ortodoxas Orientales , y la Iglesia Ortodoxa Rusa (el Patriarcado de Moscú) sobre la cuestión de la plena independencia eclesiástica ( autocefalia ) para los ortodoxos. Iglesia en Ucrania , solicitada por el gobierno ucraniano. La publicación citó a expertos diciendo que la concesión de la autocefalia a la Iglesia en Ucrania erosionaría el poder y el prestigio del Patriarcado de Moscú y socavaría sus pretensiones de jurisdicción transnacional. [82] Los ataques cibernéticos también se dirigieron a cristianos ortodoxos en otros países, así como a musulmanes, judíos y católicos en los Estados Unidos, Ummah, un grupo que agrupa a los musulmanes ucranianos, el nuncio papal en Kiev y Yosyp Zisels, que dirige la Asociación de Organizaciones Judías de Ucrania. y comunidades. [82]
Acusaciones en 2018
En octubre de 2018, se desveló una acusación de un gran jurado federal de Estados Unidos de siete hombres rusos, todos oficiales del GRU, en relación con los ataques. La acusación establece que desde diciembre de 2014 hasta al menos mayo de 2018, los oficiales de GRU conspiraron para llevar a cabo "intrusiones informáticas persistentes y sofisticadas que afectaron a personas, entidades corporativas, organizaciones internacionales y sus respectivos empleados de EE. UU. Ubicados en todo el mundo, en función de su interés estratégico para el gobierno ruso ". [83] [84] El Departamento de Justicia de EE. UU. Declaró que la conspiración, entre otros objetivos, tenía como objetivo "publicitar información robada como parte de una campaña de influencia y desinformación diseñada para socavar, tomar represalias y deslegitimar" los esfuerzos del mundo. Agencia Antidopaje , una organización internacional antidopaje que había publicado el Informe McLaren , un informe que exponía un extenso dopaje de atletas rusos patrocinado por el gobierno ruso . [83] Los acusados fueron acusados de piratería informática , fraude electrónico , robo de identidad agravado y lavado de dinero . [83]
Ataques de think tanks de 2019
En febrero de 2019, Microsoft anunció que había detectado ataques de spear-phishing de APT28, dirigidos a empleados del German Marshall Fund , el Aspen Institute Germany y el German Council on Foreign Relations . [85] [86] Los piratas informáticos del grupo supuestamente enviaron correos electrónicos de phishing a 104 direcciones de correo electrónico en toda Europa en un intento de obtener acceso a las credenciales de los empleadores e infectar sitios con malware. [87] [88]
Institución checa estratégica 2019
En 2020 , la Agencia Nacional Checa de Seguridad Cibernética y de la Información
informó sobre un incidente de ciberespionaje en una institución estratégica anónima, posiblemente el Ministerio de Relaciones Exteriores , [89] llevado a cabo probablemente por Fancy Bear. [90]Orden de arresto de 2020 de las autoridades alemanas
En 2020, los funcionarios alemanes nombraron a Dimitri Badin , un oficial del GRU y presunto miembro de APT28, como principal sospechoso de los ciberataques al Bundestag a partir de 2015. Según la revista de noticias alemana Der Spiegel , investigadores de la Oficina Federal de Policía Criminal ( BKA) han aclarado la identidad de Badin en un trabajo minuciosamente detallado. También participaron la BKA y la Oficina Federal de Seguridad de la Información (BSI). Los expertos en ciberdefensa de la Oficina Federal para la Protección de la Constitución (BfV), que se ocuparon de los movimientos virtuales de los atacantes rusos en un servidor monitoreado, también jugaron un papel importante.
Ataque al Parlamento noruego de 2020
En agosto de 2020, el Parlamento noruego Storting informó sobre "un ciberataque significativo" en su sistema de correo electrónico.
En septiembre de 2020 , la ministra de Relaciones Exteriores de Noruega , Ine Marie Eriksen Søreide, acusó a Rusia por el ataque.
El Servicio de Seguridad de la Policía de Noruega concluyó en diciembre de 2020 que "los análisis muestran que es probable que la operación haya sido llevada a cabo por el actor cibernético al que se hace referencia en las fuentes abiertas como APT28 y Fancy Bear" y "y que" se ha extraído contenido sensible de algunas de las cuentas de correo electrónico afectadas ". [91]
Caracteristicas y tecnicas
Fancy Bear emplea métodos avanzados compatibles con las capacidades de los actores estatales. [92] Usan correos electrónicos de spear phishing , sitios web de lanzamiento de malware disfrazados de fuentes de noticias y vulnerabilidades de día cero . Un grupo de investigación en ciberseguridad señaló el uso de no menos de seis exploits de día cero diferentes en 2015, una hazaña técnica considerable que requeriría un gran número de programadores que buscaran vulnerabilidades previamente desconocidas en software comercial de primera línea. Esta es una señal de que Fancy Bear es un programa estatal y no una pandilla o un hacker solitario. [93] [94]
Uno de los objetivos preferidos de Fancy Bear son los servicios de correo electrónico basados en la web. Un compromiso típico consistirá en que los usuarios de correo electrónico basados en la web reciban un correo electrónico solicitando urgentemente que cambien sus contraseñas para evitar ser pirateados. El correo electrónico contendrá un enlace a un sitio web falso que está diseñado para imitar una interfaz de correo web real, los usuarios intentarán iniciar sesión y sus credenciales serán robadas. La URL a menudo se oculta como un enlace bit.ly abreviado [95] para pasar los filtros de spam . Fancy Bear envía estos correos electrónicos de phishing principalmente los lunes y viernes. También envían correos electrónicos que supuestamente contienen enlaces a noticias, pero en su lugar se vinculan a sitios de lanzamiento de malware que instalan kits de herramientas en la computadora del objetivo. [93] Fancy Bear también registra dominios que se asemejan a sitios web legítimos, luego crea una falsificación del sitio para robar las credenciales de sus víctimas. [63] Se sabe que Fancy Bear retransmite su tráfico de comandos a través de redes proxy de víctimas que ha comprometido previamente. [96]
El software que ha utilizado Fancy Bear incluye ADVSTORESHELL, CHOPSTICK, JHUHUGIT y XTunnel. Fancy Bear utiliza varios implantes, incluidos los goteros Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy y DownRange. [63] Según los tiempos de compilación, FireEye concluyó que Fancy Bear ha actualizado constantemente su malware desde 2007. [96] Para evitar la detección, Fancy Bear regresa al entorno para cambiar sus implantes, cambia sus canales de comando y control y modifica su persistente métodos. [92] El grupo de amenazas implementa técnicas de contraanálisis para ofuscar su código . Añaden datos basura a cadenas codificadas, lo que dificulta la decodificación sin el algoritmo de eliminación de basura. [96] Fancy Bear toma medidas para evitar el análisis forense de sus ataques, restableciendo las marcas de tiempo en los archivos y borrando periódicamente los registros de eventos. [63]
Según una acusación del fiscal especial de los Estados Unidos, X-Agent fue "desarrollado, personalizado y monitoreado" por el capitán de corbeta de GRU Nikolay Yuryevich Kozachek. [2]
Se sabe que Fancy Bear adapta los implantes para los entornos de destino, por ejemplo, los reconfigura para usar servidores de correo electrónico locales. [96] En agosto de 2015, Kaspersky Lab detectó y bloqueó una versión del implante ADVSTORESHELL que se había utilizado para atacar a los contratistas de defensa. Una hora y media después del bloqueo, los actores de Fancy Bear compilaron y entregaron una nueva puerta trasera para el implante. [24]
Educación
La unidad 26165 participó en el diseño del plan de estudios en varias escuelas públicas de Moscú, incluida la escuela 1101. [97]
Personas relacionadas
Fancy Bear a veces crea personajes en línea para sembrar desinformación, desviar la culpa y crear una negación plausible de sus actividades. [98]
Guccifer 2.0
Una persona en línea que apareció por primera vez y se atribuyó la responsabilidad de los ataques de DNC el mismo día que se supo que Fancy Bear era el responsable. [99] Guccifer 2.0 afirma ser un hacker rumano , pero cuando fueron entrevistados por la revista Motherboard , les hicieron preguntas en rumano y parecían no poder hablar el idioma. [100] Algunos documentos que han publicado parecen ser falsificaciones improvisadas a partir de material de hacks anteriores e información disponible públicamente, y luego salados con desinformación. [100]
Equipo de hackeo de Fancy Bears
Un sitio web creado para filtrar documentos tomados en los ataques de la AMA y la IAAF tenía un breve manifiesto fechado el 13 de septiembre de 2016, que proclamaba que el sitio es propiedad del "equipo de piratería de Fancy Bears", que dijo que es un "equipo de piratería internacional". que "defienden el juego limpio y el deporte limpio". [101] El sitio asumió la responsabilidad de piratear la AMA y prometió que proporcionaría "pruebas sensacionales de atletas famosos que consumen sustancias dopantes", comenzando con el equipo olímpico de Estados Unidos, que dijo "deshonró su nombre con victorias contaminadas". [101] La AMA dijo que algunos de los documentos filtrados con este nombre eran falsificaciones y que los datos habían sido modificados. [102] [101]
Polonia anónima
Una cuenta de Twitter llamada "Polonia anónima" (@anpoland) se atribuyó la responsabilidad del ataque a la Agencia Mundial Antidopaje [103] y publicó datos robados del Tribunal de Arbitraje Deportivo , un objetivo secundario. [104] [105] ThreatConnect apoya la opinión de que Anonymous Poland es una marioneta de Fancy Bear, y señala el cambio desde un enfoque histórico en la política interna. Un video de captura de pantalla subido por Anonymous Poland muestra una cuenta con configuración de idioma polaco, pero el historial de su navegador mostró que habían realizado búsquedas en Google.ru (Rusia) y Google.com (EE. UU.), Pero no en Google.pl (Polonia). . [104]
Ver también
- BTC-e
- Guerra cibernética en Rusia
- Dmitri Sergejewitsch Badin
- Espionaje ruso en Estados Unidos
- Participación de Rusia en el cambio de régimen
- Trolls de Olgino
- Sandworm Team , un término utilizado para referirse a la Unidad 74455
- El complot para hackear América
Notas
- 1. ^ Según la firma de ciberseguridad FireEye, Fancy Bear utiliza un conjunto de herramientas que se ha actualizado con frecuencia desde 2007 o quizás incluso 2004. [93] Trend Micro dijo que pueden rastrear las actividades de Pawn Storm hasta 2004. [106]
- 2. ^ Aleksei Sergeyevich Morenets (Моренец Алексей Сергеевич), Evgenii Mikhaylovich Serebriakov, Ivan Sergeyevich Yermakov (Ермаков Иван Сергеевич), Artem Andreyevich Malyshev (Малышев Артём Андреевич), Dmitriy Sergeyevich Badin (Бадин Дмитрий Сергеевич, Oleg Mikhaylovich Sotnikov (Олег Михайлович Сотников) , Alexey Valerevich Minin (Алексей Валерьевич Минин). [84]
Referencias
- ↑ a b c d Ward, Vicky (24 de octubre de 2016). "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin" . Esquire.com .
- ^ a b c d Poulson, Kevin. "Mueller finalmente resuelve misterios sobre los piratas informáticos 'Fancy Bear' de Rusia" . La bestia diaria . Consultado el 21 de julio de 2018 .
- ^ a b "Acusar a 12 piratas informáticos rusos podría ser el mayor movimiento de Mueller hasta ahora" . Wired.com . Consultado el 4 de octubre de 2018 .
- ^ DimitrisGritzalis, Marianthi Theocharidou, George Stergiopoulos (10 de enero de 2019). Seguridad y resiliencia de infraestructuras críticas: teorías, métodos, herramientas ... Springer, 2019. ISBN 9783030000240.
- ^ "SEGURIDAD INTERNACIONAL Y ESTONIA" (PDF) . Valisluureamet.ee . 2018 . Consultado el 4 de octubre de 2018 .
- ^ "Conoce a Fancy Bear y Cozy Bear, grupos rusos culpados por el hack de DNC" . Monitor de la Ciencia Cristiana . 15 de junio de 2016 . Consultado el 4 de octubre de 2018 .
- ^ Wintour, Patrick (3 de octubre de 2018). "Reino Unido acusa al Kremlin de ordenar una serie de ciberataques 'imprudentes'" . el guardián . Consultado el 4 de octubre de 2018 .
- ^ Threat Group-4127 se dirige a la campaña presidencial de Hillary Clinton . Secureworks.com (Informe). 16 de junio de 2016. Archivado desde el original el 20 de julio de 2016 . Consultado el 22 de diciembre de 2016 .
y está recopilando información de inteligencia en nombre del gobierno ruso.
- ^ "Operaciones cibernéticas rusas con esteroides" . Threatconnect.com . 19 de agosto de 2016.
Tácticas rusas de FANCY BEAR
- ^ a b "APT28: ¿Una ventana a las operaciones de espionaje cibernético de Rusia?" . Fireeye.com . 27 de octubre de 2016.
Evaluamos que APT28 probablemente esté patrocinado por el gobierno ruso
- ^ "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin" . Esquire.com . 2016-10-24 . Consultado el 7 de mayo de 2017 .
- ^ Hern, Alex (8 de mayo de 2017). "Hackers de Macron vinculados a un grupo afiliado a Rusia detrás del ataque de Estados Unidos" . el guardián . Consultado el 16 de marzo de 2018 .
- ^ Hacquebord, Feike. "Cómo la propaganda cibernética influyó en la política en 2016" . TrendMicro . Consultado el 21 de mayo de 2017 .
- ^ Gogolinski, Jim. "Operación Tormenta de peones: El rojo en SEDNIT" . Trend Micro.
- ^ "Operación Tormenta de peones: uso de señuelos para evadir la detección" (PDF) . Trend Micro. 2014.
- ^ Menn, Joseph (18 de abril de 2015). "Los atacantes cibernéticos rusos utilizaron dos fallas desconocidas: empresa de seguridad" . Reuters .
- ^ Kumar, Mohit (30 de octubre de 2014). "APT28 - Grupo de hackers rusos patrocinado por el estado" . The Hacker News .
- ^ Mamiit, Aaron (30 de octubre de 2014). "Conozca APT28, malware respaldado por Rusia para recopilar inteligencia de gobiernos, ejércitos: informe" . Tech Times .
- ^ "APT28: ¿Una ventana a las operaciones de espionaje cibernético de Rusia?" . FireEye.com . 27 de octubre de 2014.
- ^ Weissman, Cale Guthrie (11 de junio de 2015). "Francia: los piratas informáticos rusos se hicieron pasar por ISIS para piratear una emisora de televisión francesa" . Business Insider .
- ^ a b c d Satter, Rafael; Donn, Jeff; Myers, Justin (2 de noviembre de 2017). "La lista de resultados digitales muestra que la piratería rusa fue mucho más allá de las elecciones estadounidenses" . Chicago Tribune . AP . Consultado el 10 de noviembre de 2017 .
- ^ Yadron, Danny (28 de octubre de 2014). "Hacking Trail lleva a Rusia, dicen los expertos" . Wall Street Journal .
- ^ SATTER, RAPHAEL; DONN, JEFF (1 de noviembre de 2017). "Los piratas informáticos rusos persiguieron a los enemigos de Putin, no solo a los demócratas estadounidenses" . US News & World Report . Prensa asociada . Consultado el 2 de noviembre de 2017 .
- ^ a b Equipo de análisis e investigación global de Kaspersky Lab (4 de diciembre de 2015). "Sofacy APT alcanza objetivos de alto perfil con un conjunto de herramientas actualizado - Securelist" . Securelist .
- ^ "Los piratas informáticos rusos cazaron a periodistas en una campaña de años" . Anunciante estrella . Honolulu. Associated Press. 22 de diciembre de 2017 . Consultado el 23 de diciembre de 2017 .
- ^ "Hackers rusos sospechosos de ataque cibernético al Parlamento alemán" . Sureste de Londres . Noticias de la Alianza. 19 de junio de 2015.
- ^ Reuters (5 de mayo de 2020). "Alemania emite orden de arresto para sospechoso ruso en hackeo del Parlamento: periódico" . The New York Times .
- ^ Bennhold, Katrin (13 de mayo de 2020). "Merkel está 'indignada' por Russian Hack pero luchando por responder" . The New York Times . Consultado el 14 de mayo de 2020 .
- ^ a b "Hackers al acecho, dijeron los parlamentarios" . Deutsche Welle . Consultado el 21 de septiembre de 2016 .
- ^ "Hackerangriff auf deutsche Parteien" . Süddeutsche Zeitung . Consultado el 21 de septiembre de 2016 .
- ^ Holanda, Martín. "Angeblich versuchter Hackerangriff auf Bundestag und Parteien" . Heise . Consultado el 21 de septiembre de 2016 .
- ^ "Wir haben Fingerabdrücke" . Frankfurter Allgemeine . Consultado el 21 de septiembre de 2016 .
- ^ "Hackers rusos que se hicieron pasar por militantes de ISIS amenazaron a esposas militares" . Talkingpointsmemo.com . Consultado el 4 de octubre de 2018 .
- ^ a b c "Los piratas informáticos rusos se hicieron pasar por IS para amenazar a las esposas de los militares" . Chicago Tribune . Archivado desde el original el 12 de junio de 2018 . Consultado el 7 de junio de 2018 .
- ^ Brown, Jennings. "Informe: los piratas informáticos rusos se hacen pasar por ISIS para atacar a las esposas de los militares estadounidenses" . gizmodo.com . Consultado el 4 de octubre de 2018 .
- ^ "Los piratas informáticos rusos se hicieron pasar por IS para amenazar a las esposas de los militares" . Apnews.com . Consultado el 4 de octubre de 2018 .
- ^ "Francia investiga el liderazgo ruso en la piratería de TV5Monde: fuentes" . Reuters . 10 de junio de 2015 . Consultado el 9 de julio de 2015 .
- ^ La red francesa pirateada expuso sus propias contraseñas durante la entrevista de televisión - arstechnica
- ^ a b c d "Los piratas informáticos de Isil toman el control de la red francesa TV5Monde en un ataque 'sin precedentes'" . The Daily Telegraph . 9 de abril de 2015 . Consultado el 10 de abril de 2015 .
- ^ "Grupos de medios franceses para celebrar una reunión de emergencia después del ciberataque de Isis" . The Guardian . 9 de abril de 2015 . Consultado el 10 de abril de 2015 .
- ^ "La cadena de televisión francesa TV5Monde 'hackeada por el cibercalifato en un ataque sin precedentes' que reveló datos personales de soldados franceses" . The Independent . 9 de abril de 2015 . Consultado el 9 de abril de 2015 .
- ^ a b c d Suiche, Matt (10 de junio de 2017). "Lecciones de TV5Monde 2015 Hack" . Tecnologías Comae. Archivado desde el original el 13 de junio de 2017.
- ^ Gordon Corera (10 de octubre de 2016). "Cómo el TV5 de Francia casi fue destruido por 'hackers rusos ' " . BBC News .
- ^ Walker, Danielle (13 de mayo de 2015). "APT28 orquestó ataques contra el sector bancario global, la firma encuentra" . Revista SC .
- ^ "Firma de seguridad redefine APT: amenaza de phishing africano" . Krebs sobre seguridad. 20 de mayo de 2015.
- ^ "Ataque digital al Parlamento alemán: informe de investigación sobre el pirateo de la infraestructura del partido de izquierda en el Bundestag" . netzpolitik.org . Consultado el 16 de marzo de 2018 .
- ^ "No se ha encontrado nada para los productos Orkos Dfd" (PDF) . www.root9b.com . Consultado el 4 de octubre de 2018 .
- ^ Doctorow, Cory (28 de agosto de 2015). "Spear phishers con presuntos vínculos con el gobierno ruso falsifican el dominio EFF falso, atacan la Casa Blanca" . Boing Boing .
- ^ Quintin, Cooper (27 de agosto de 2015). "Nueva campaña de Spear Phishing pretende ser EFF" . Eff.org .
- ^ Hyacinth Mascarenhas (23 de agosto de 2016). "Los hackers rusos 'Fancy Bear' probablemente violaron la agencia olímpica de pruebas de drogas y DNC, dicen los expertos" . Tiempos de negocios internacionales . Consultado el 13 de septiembre de 2016 .
- ^ "Lo que sabemos sobre el equipo de hackeo de Fancy Bears" . BBC News . Consultado el 17 de septiembre de 2016 .
- ^ Gallagher, Sean (6 de octubre de 2016). "Los investigadores encuentran datos falsos en antidopaje olímpico, vertederos de Guccifer 2.0 Clinton" . Ars Technica . Consultado el 26 de octubre de 2016 .
- ^ Thielman, Sam (22 de agosto de 2016). "Los mismos piratas informáticos rusos probablemente violaron la agencia olímpica de pruebas de drogas y DNC" . The Guardian . Consultado el 11 de diciembre de 2016 .
- ^ a b Meyer, Josh (14 de septiembre de 2016). "Los piratas informáticos rusos publican supuestos expedientes médicos de Simone Biles, Serena Williams" . NBC News .
- ^ "Atletas estadounidenses atrapados por dopaje" . Fancybear.net . 13 de septiembre de 2016. Archivado desde el original el 24 de diciembre de 2017 . Consultado el 2 de noviembre de 2016 .
- ^ Nakashima, Ellen (28 de septiembre de 2016). "Los piratas informáticos rusos acosaron a los periodistas que estaban investigando el accidente de avión de Malaysia Airlines" . Washington Post . Consultado el 26 de octubre de 2016 .
- ^ ThreatConnect. "ThreatConnect revisa la actividad dirigida a Bellingcat, un colaborador clave en la investigación del MH17" . ThreatConnect . Consultado el 26 de octubre de 2016 .
- ^ Feike Hacquebord (22 de octubre de 2015). "Pawn Storm apunta al equipo de investigación MH17" . Trend Micro .
- ^ "Rusia 'intentó piratear el sistema de investigación MH17 ' " . AFP. 23 de octubre de 2015. Archivado desde el original el 21 de agosto de 2018 . Consultado el 4 de noviembre de 2016 .
- ^ Sanger, David E .; Corasaniti, Nick (14 de junio de 2016). "DNC dice que los piratas informáticos rusos penetraron sus archivos, incluido el expediente sobre Donald Trump" . The New York Times . Consultado el 26 de octubre de 2016 .
- ^ a b Satter, Rafael; Donn, Jeff; Day, Chad (4 de noviembre de 2017). "Historia interna: cómo los rusos piratearon los correos electrónicos de los demócratas" . AP . Consultado el 10 de noviembre de 2017 .
- ^ a b "Bear on bear" . The Economist . 22 de septiembre de 2016 . Consultado el 14 de diciembre de 2016 .
- ^ a b c d Alperovitch, Dmitri (15 de junio de 2016). "Osos en el medio: Intrusión en el Comité Nacional Demócrata» " . Crowdstrike.com .
- ^ "El ejército de Ucrania niega el ataque pirata ruso" . Yahoo! Noticias . 6 de enero de 2017.
- ^ Meyers, Adam (22 de diciembre de 2016). "Peligro cercano: seguimiento de osos de lujo de unidades de artillería de campaña ucranianas" . Crowdstrike.com .
- ^ "El Ministerio de Defensa niega los informes de presuntas pérdidas de artillería debido a la intrusión de los piratas informáticos rusos en el software" . Interfax-Ucrania . 6 de enero de 2017.
- ^ Kuzmenko, Oleksiy; Cobus, Pete. "La empresa cibernética reescribe parte del informe de piratería rusa en disputa" . Voanews.com . Consultado el 26 de marzo de 2017 .
- ^ Gallagher, Sean (1 de noviembre de 2016). "Windows zero-day explotado por el mismo grupo detrás del hack de DNC" . Ars Technica . Consultado el 2 de noviembre de 2016 .
- ^ Modderkolk, Huib (4 de febrero de 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse ministerios" . De Volkskrant (en holandés).
- ^ Cluskey, Peter (3 de febrero de 2017). "Los holandeses optan por el recuento manual después de los informes de piratería rusa" . The Irish Times .
- ^ Rogers, James (3 de abril de 2017). "El organismo internacional de atletismo IAAF hackeado, advierte que los datos de los atletas pueden verse comprometidos" . Fox News .
- ^ "IAAF dice que ha sido pirateado, información médica del atleta accedida" . Prensa asociada . Voz de America. 3 de abril de 2017.
- ^ Eric Auchard (24 de abril de 2017). "La campaña de Macron fue blanco de ciberataques por parte de un grupo vinculado a espías" . Reuters.com . Consultado el 27 de abril de 2017 .
- ^ "Putin espera el retorno de la inversión de Le Pen" . 4 de mayo de 2017. Archivado desde el original el 5 de mayo de 2017.
- ^ "Los piratas informáticos vinculados a Rusia apuntan a las fundaciones políticas alemanas" . Handelsblatt. 26 de abril de 2017.
- ^ Matsakis, Louise (10 de enero de 2018). "Hack Brief: los piratas informáticos rusos liberan correos electrónicos aparentes del COI a raíz de la prohibición de los Juegos Olímpicos" . Cableado .
- ^ Rebecca R. Ruiz, Rebecca Russian Hackers publican correos electrónicos robados en un nuevo esfuerzo para socavar a los investigadores de dopaje , New York Times (10 de enero de 2018).
- ↑ Nick Griffin, Performanta, [1] Archivado el 6 de febrero de 2018 en la Wayback Machine (26 de enero de 2018).
- ^ Johnson, Simon; Swahnberg, Olof (15 de mayo de 2018). Pollard, Niklas; Lawson, Hugh (eds.). "El organismo deportivo sueco dice que la unidad antidopaje fue golpeada por un ataque de piratería" . Reuters .
- ^ "Microsoft 'detiene el hackeo político ruso ' " . BBC News . 2018-08-21 . Consultado el 21 de agosto de 2018 .
- ^ Smith, Brad. "Estamos dando nuevos pasos contra la ampliación de las amenazas a la democracia" . Microsoft . Consultado el 22 de agosto de 2018 .
- ^ a b c Raphael Satter (27 de agosto de 2018). "Los ciberespías rusos pasaron años apuntando al clero ortodoxo" . Prensa asociada . Bloomberg.
- ^ a b c "Estados Unidos acusa a los oficiales rusos del GRU de piratería internacional y operaciones relacionadas de influencia y desinformación" (comunicado de prensa). Departamento de Justicia de los Estados Unidos.
- ^ a b Brady, Scott W. "Acusación 7 Oficiales de GRU_Oct2018" (PDF) . Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Pensilvania . Consultado el 8 de julio de 2018 .
- ^ Dwoskin, Elizabeth; Timberg, Craig (19 de febrero de 2019). "Microsoft dice que ha encontrado otra operación rusa dirigida a importantes grupos de expertos" . The Washington Post .
Los ataques de "spear-phishing", en los que los piratas informáticos envían correos electrónicos falsos con la intención de engañar a las personas para que visiten sitios web que parecen auténticos pero que de hecho les permiten infiltrarse en los sistemas informáticos corporativos de sus víctimas, estaban vinculados al grupo de piratería APT28, una unidad de Inteligencia militar rusa que interfirió en las elecciones estadounidenses de 2016. El grupo se dirigió a más de 100 empleados europeos del German Marshall Fund, el Aspen Institute Germany y el German Council on Foreign Relations, grupos influyentes que se centran en cuestiones de política transatlántica.
- ^ Burt, Tom (20 de febrero de 2019). "Nuevos pasos para proteger a Europa de las continuas ciberamenazas" . Microsoft .
Los ataques contra estas organizaciones, que divulgamos con su permiso, se dirigieron a 104 cuentas pertenecientes a empleados de la organización ubicados en Bélgica, Francia, Alemania, Polonia, Rumania y Serbia. MSTIC continúa investigando las fuentes de estos ataques, pero estamos seguros de que muchos de ellos se originaron en un grupo al que llamamos Strontium. Los ataques ocurrieron entre septiembre y diciembre de 2018. Notificamos rápidamente a cada una de estas organizaciones cuando descubrimos que fueron atacadas para que pudieran tomar medidas para proteger sus sistemas, y tomamos una variedad de medidas técnicas para proteger a los clientes de estos ataques.
- ^ Tucker, Patrick (20 de febrero de 2019). "Los ataques rusos golpean los correos electrónicos de Think Tank de EE. UU. Y Europa, dice Microsoft" . Defensa uno . Consultado el 7 de abril de 2019 .
- ^ "Microsoft dice que los piratas informáticos rusos se dirigieron a los think tanks europeos" . Bloomberg . 2019-02-20 . Consultado el 7 de abril de 2019 .
- ^ "Kyberútok na českou diplomacii způsobil cizí stát, potvrdil Senátu NÚKIB" . iDNES.cz . 2019-08-13 . Consultado el 15 de septiembre de 2020 .
- ^ Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019 (PDF) . NÚKIB. 2020.
- ^ https://www.euronews.com/2020/12/08/norway-s-intelligence-service-says-russian-groups-jected-behind-parimony-cyber-attack
- ^ a b Robinson, Teri (14 de junio de 2016). "Los piratas informáticos rusos acceden a los archivos de Trump en el hack de DNC" . Revista SC EE . UU .
- ^ a b c Thielman, Sam; Ackerman, Spencer (29 de julio de 2016). "Cozy Bear y Fancy Bear: ¿los rusos piratearon el Partido Demócrata y, de ser así, por qué?" . The Guardian . ISSN 0261-3077 . Consultado el 12 de diciembre de 2016 .
- ^ Cluley, Graham. "El nuevo trabajo de investigación de ESET pone a Sednit bajo el microscopio" . WeLiveSecurity . Consultado el 26 de octubre de 2016 .
- ^ Frenkel, Sheera (15 de octubre de 2016). "Conoce a Fancy Bear, el grupo ruso hackeando las elecciones estadounidenses" . BuzzFeed .
- ^ a b c d "APT28: ¿Una ventana a las operaciones de espionaje cibernético de Rusia?" (PDF) . Fireeye.com . 2014.
- ^ Troianovski, Anton; Nakashima, Ellen; Harris, Shane (28 de diciembre de 2018). "Cómo la agencia de inteligencia militar de Rusia se convirtió en el músculo encubierto en los duelos de Putin con Occidente" . The Washington Post . Archivado desde el original el 29 de diciembre de 2018.
- ^ "Hacktivistas vs faketivistas: osos de lujo disfrazados" . Threatconnect.com . 13 de diciembre de 2016.
- ^ Koebler, Jason (15 de junio de 2016). " ' Guccifer 2.0' reclama la responsabilidad de DNC Hack, libera documentos para demostrarlo" . Placa base . Consultado el 3 de noviembre de 2016 .
- ^ a b Franceschi-Bicchierai, Lorenzo. " ' Guccifer 2.0' nos está engañando sobre su presunto truco de la Fundación Clinton" . Placa base . Consultado el 3 de noviembre de 2016 .
- ^ a b c Bartlett, Evan (26 de marzo de 2018). "Fancy Bears: ¿Quiénes son el grupo de piratería que expone el dopaje, los encubrimientos y la corrupción en el deporte?" . The Independent . Consultado el 24 de mayo de 2018 .
- ^ BBC (5 de octubre de 2016). "Los datos de dopaje de Fancy Bears 'pueden haber cambiado', dice Wada" . BBC . Consultado el 3 de noviembre de 2016 .
- ^ Nance, Malcolm (2016). El complot para piratear Estados Unidos: cómo los ciberespías de Putin y WikiLeaks intentaron robar las elecciones de 2016 . Publicaciones Skyhorse. ISBN 978-1-5107-2333-7.
- ^ a b Cimpanu, Catalin (23 de agosto de 2016). "Rusia detrás de la Agencia Mundial Antidopaje y los trucos de la Corte Internacional de Deportes" . Softpedia .
- ^ "Sitio de la Agencia Mundial Antidopaje pirateado; miles de cuentas filtradas" . HackRead . 12 de agosto de 2016.
- ^ Feike Hacquebord (2017). Dos años de tormenta de empeños: examen de una amenaza cada vez más relevante (PDF) (Informe). Trend Micro.
enlaces externos
- "Informe de inteligencia de seguridad de Microsoft: estroncio" . Centro de protección contra malware de Microsoft. 15 de noviembre de 2015.
https://apt.securelist.com/#!/threat/1012 Informe de Kaspersky Lab