Hakerzy prezydenta Putina

Czwartek, 29 Grudnia 2016, 12:41

Ataki na systemy Partii Demokratycznej, francuskiego dziennika "Le Monde", Giełdy Papierów Wartościowych czy dziennikarzy krytykujących Kreml to tylko niektóre z celów Fancy Bearjednej z najaktywniejszych, ale również najbardziej tajemniczych grup hakerskich.

Jedna z najbardziej agresywnych grup hakerskich działająca na rzecz Kremla to Fancy Bear, znana też pod nazwą APT 28 oraz Tsar Team. Jej celem był m.in. Komitet Partii Demokratycznej czy też organy tej partii odpowiedzialne za finansowanie kampanii do Kongresu. Atak przeprowadzony w czasie wyborów miał wpłynąć na ich wynik oraz zdestabilizować życie polityczne w Stanach Zjednoczonych. Mimo że piszą o nich media na całym świecie, stosunkowo mało jest informacji o samej grupie. Nie wiadomo, ilu hakerów pracuje w jej ramach. Nieznana jest również jej struktura ani czy członkowie zlokalizowani są w jednym miejscu, czy rozsiani po całym terytorium Rosji.

Zdolności Fancy Bears

Jeden z ekspertów znajdującej się w Moskwie firmy Kaspersky powiedział, że grupa posiada zaawansowane zaplecze finansowe i techniczne, na które pozwolić mogą sobie tylko państwowe agencje wywiadowcze. Fancy Bear ma dostęp do dużej liczby wcześniej nieznanych luk typu zero day, będących jedną z najlepszych metod włamywania się do systemów. Grupa używa też zaawansowanych złośliwych aplikacji jak np. Sourface, która umieszczona na komputerze ofiary ściąga złośliwe oprogramowanie pozwalające na zdalne kontrolowanie komputera. Inne programy pozwalały Fancy Bear niszczyć istniejące pliki i tworzyć własne, spreparowane według potrzeb, oraz skutecznie zacierać ślady. Przedstawiciele firmy FireEye, którzy badali działalność tych hakerów zauważyli, że metadane użyte w złośliwym oprogramowaniu wskazywały na rosyjskie ustawienia języka. Mogło to świadczyć o tym, że złośliwy program został stworzony w rosyjskim czasie pracy, a adresy IP użyte podczas ataku mogą zostać wyśledzone i wskazują rosyjskie źródło.

Stopień zaawansowania rosyjskich zdolności w środowisku wirtualnym nie powinien dziwić. Państwo to, wraz z Chinami, Izraelem i Stanami Zjednoczonymi, posiada jeden z najpotężniejszych arsenałów ofensywnych w cyberprzestrzeni. W przeciwieństwie do wyżej wymienionych krajów niewiele jednak wiadomo na temat jego organizacji instytucjonalnej.

Zdaniem Andrieja Soldatowa, autora książki The Red Web, operacje w cyberprzestrzeni są organizowane przez FSB. W opinii jednego z oficerów amerykańskiego wywiadu zeszłoroczna kampania włamań do Departamentu Stanu i Białego Domu była właśnie dziełem jednostki operującej w ramach FSB. Również wywiad wojskowy – GRU, posiada własne oddziały do prowadzenia działań w świecie wirtualnym. Zdaniem Soldatowa to właśnie z tej organizacji wywodzi się Fancy Bear.

Witali Kremez, ekspert z firmy Flashpoint, uważa, że rosyjskie agencje wywiadowcze działają inaczej w cyberprzestrzeni niż ich odpowiednicy z innych państw. Nie ma tutaj umundurowanych jednostek hakerów dokonujących włamań. Zamiast tego umieszcza się "swoich" ludzi w różnych przedsiębiorstwach, np. energetycznych czy u dostarczycieli usług internetowych. Przeprowadzenie ataku na DNC nie wymagało udziału wielu osób – wystarczyły dwie lub trzy utalentowane.

Czytaj też: Luka w systemie Microsoftu wykorzystana przez Fancy Bears

Według jednego z urzędników w Departamencie Obrony, Stany Zjednoczone wcześniej nie spotkały się z takim działaniem, jakie ma miejsce w ramach grupy Fancy Bear. USA wciąż przygotowują strategię właściwej odpowiedzi. Rozmówca podkreślił, że nigdy nikt nie był tak bezczelnych w swoich działaniach oraz nie krył swojej tożsamości.

Operacje ofensywne

Eksperci śledzący poczynania grupy dostrzegli pierwsze przejawy jej aktywności podczas wojny w Gruzji w 2008 roku. Trzy tygodnie przed rozpoczęciem konfliktu militarnego gruzińskie strony rządowe doświadczyły zmasowanych ataków DDoS. Większość z nich była prymitywna i doprowadziła do czasowej niedostępności strony internetowej prezydenta Micheila Saakaszwilego, a wiele witryn agencji prasowych padło ofiarą hakerów. Tuż po rozpoczęciu wojny większość gruzińskiego ruchu internetowego, który przechodzi przez Rosję i Turcję została zablokowana, a na stronie prezydenckiej znalazły się obrazki porównujące przywódcę Gruzji do Adolfa Hitlera. Był to jeden z pierwszych przypadków połączenia działań konwencjonalnych z atakami cyfrowymi. Fancy Bear odgrywało istotną rolę w tej kampanii.

Po ataku na Gruzję rozmiar oraz poziom zaawansowania prowadzonych operacji tylko wzrósł. W jednym z raportów niemieckiego kontrwywiadu Federalnego Urzędu Ochrony Konstytucji można przeczytać, że Fancy Bear jest zaangażowane w prowadzoną przez Rosję wojnę hybrydową. Niemcy podejrzewają, że grupa ta stała za atakiem na ukraińską elektrownię, co doprowadziło do odcięcia od energii ponad 230 tys. osób. Ponadto Fancy Bear miało również dokonać włamań do Bundestagu oraz serwerów partii Angelli Merkel CDU. Celem było pozyskanie informacji strategicznych.

Rosyjska cyberagresja uderzyła również w media. W kwietniu 2015 roku francuska telewizja TV5 Monde nagle zaczęła wyświetlać hasła propagandowe Daesh, a na jej facebookowej stronie pojawiły się posty o następującej treści: „Żołnierze Francji, trzymajcie się z dala od Państwa Islamskiego. Macie możliwość ocalenia własnych rodzin, skorzystajcie z niej”. Początkowo wszystkie poszlaki wskazywały, że za ten cyberatak odpowiedzialna jest dywizja hakerów ISIS. Po przeprowadzeniu drobiazgowego śledztwa okazało się jednak, że za operacją stało Fancy Bear. Przedstawiciele firmy FireEye, badającej ten incydent, porównali adresy IP użyte w ataku na TV5 Monde z tymi wykorzystywanymi w poprzednich kampaniach Fancy Bear. Okazało się, że są ze sobą zbieżne. Była to typowa operacja pod fałszywą flagą, której zadaniem miało być szerzenie paniki i zbiorowej histerii. Rosja posiada długą historię tego typu działań wywiadowczych. Zdaniem ekspertów była to próba sprawdzenia, czy cyberatak jest w stanie sparaliżować działanie mediów.

Czytaj też: Nowe dowody potwierdzają, że rosyjscy cyberprzestępcy zaatakowali biura Demokratów

Nie była to jednak jedyna taka sytuacja. W tym samym czasie Fancy Bear starało się zastraszyć brytyjskiego dziennikarza Eliota Higginsa i skupione wokół niego osoby prowadzące stronę Bellingcat. Higgins, który opublikował dziesiątki artykułów poświęconych udziałowi Rosjan w zestrzeleniu MH-17 oraz dotyczących aktywności wojsk rosyjskich na Ukrainie, został nagle zalany olbrzymią ilością spear phisingowych maili. Powiadomił on o całym zdarzeniu jedną z firm zajmujących się cyberbezpieczeństwem, która potwierdziła, że za incydent odpowiedzialna jest grupa Fancy Bear. Według niepotwierdzonych informacji hakerzy mogli monitorować stronę Bellingcat i poznać efekty pracy związanych z nią dziennikarzy, zanim stały się publicznie dostępne. Należy również dodać, że prorosyjskie media "Sputnik" i "Russia Today" wielokrotnie sugerowały, że Bellingat jest częścią CIA.

Higgins uważa, że Rosjanie obawiali się wyników prac jego grupy dziennikarzy i dlatego próbowali go zdyskredytować. Był on jednak zaskoczony, że hakerzy przy ataku na DNC wykorzystali te same adresy IP, usług URL czy spreparowane, fałszywe wiadomości poczty elektronicznej. Jego zdaniem takie niedbalstwo było celowe. Chcieli oni zademonstrować światu, że nie obawiają się nikogo ani niczego, ponieważ wspiera ich Rosja.

Fancy Bear było jedną z najaktywniejszych grup hakerskich w 2016 roku. Odniosła ona wiele spektakularnych sukcesów, wspomagając realizację rosyjskiego interesu narodowego. W przyszłym roku wraz z wyborami we Francji i Niemczech, kontynuacją wojny na Ukrainie i w Syrii, zapotrzebowanie na usługi Fancy Bears prawdopodobnie nie zmniejszy się, a być może nawet wzrośnie. Nikogo nie powinno dziwić, jeżeli w wybory parlamentarne w Niemczech i prezydenckie we Francji zaangażuje się właśnie ta grupa hakerska.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

12 komentarzy

elektronik Czwartek, 29 Grudnia 2016, 21:38
A jednak nie wszystko złoto co się świeci .Rosja zacofana - śmiech jest małym gestem .
Geoffrey Piątek, 30 Grudnia 2016, 8:21
W technice wojennej Rosja rozwija się bardzo prężnie. I wyłącznie w niej. Podaj nazwę jednej (!) powszechnie znanej rosyjskiej marki, która nie jest związana z szeroko pojętym kompleksem wojskowym ( ani wódką :) )
Brabbit Czwartek, 29 Grudnia 2016, 13:47
A wszyscy śmieją sie z zacofania technologicznego Rosji...
Rozbawiony z Uk Czwartek, 29 Grudnia 2016, 19:25
No bo przecież wszyscy ci hakerzy w Rosij operują na rosyjskich mikroprocesorach i rosyjskim software :D
x Piątek, 30 Grudnia 2016, 7:38
skąd wiesz?
olo Czwartek, 29 Grudnia 2016, 14:45
Człowieku to mogą zrobić GIMBUSY tylko kwestia braku odpowiedzialności ich powstrzymuje w cywilizowanych krajach. To jak z dopingiem na czym Rosja została przyłapana. Wszyscy mogą brać tylko najlepsi nie są łapani a Rosja jako kraj została złapana i na dopingu i na nędznym hakowaniu. Najlepszych hakerów mają Amerykanie co wiadome jest od lat bo tam jest dolina krzemowa a nie w Rosji czy Chinach.
PiotrEl Czwartek, 29 Grudnia 2016, 13:17
Tak "metadane w języku rosyjskim" świadczą o tym, że "fachowcy z Rosji" używali Windy w wersji rosyjskojęzycznej. Czy ktoś zna normalnego hakera ( a tym bardziej specjalistę dużej klasy), który używa sprzętu z tym systemem operacyjnym do włamów? Typowa operacja "false flag", prymitywizm wskazuje na "Kowbojów".
gru Czwartek, 29 Grudnia 2016, 15:24
Jak najbardziej mozna uzywac windy. Kazdy choc troche kompetentny czlowiek z tej "branzy" uzywa maszyny wirtualnej ktora mozna w pare sekund skasowac zeby zatrzec slady.
DW Czwartek, 29 Grudnia 2016, 14:54
Nie prawda, w Rosji obowiązuje zasada kradnij, atakuj i hakuj wszystkich byle nie swoich we własnym kraju. Dlatego wrogie działania przeprowadzają wszyscy, od zwykłych cywilów "Januszy typu wannabe hacker" po zorganizowane grupy specjalistów.
DW Czwartek, 29 Grudnia 2016, 13:06
Rosyjscy hakerzy to tylko wspomagający harcownicy. Główna uderzeniowa cyber siła Putina to cyber-propagandyści i to oni wpłynęli na wybory w USA i w referendum Brexitu, a nie hakerzy. Hakerzy tylko wspomagają działania propagandy i wywiadu. W przypadku propagandy dostarczają np. oprogramowanie lub kod pozycjonujący komentarze. Włamują się do zaplecza serwisów informacyjnych i mają pełny dostęp do moderacji komentarzy. Zabezpieczają ślad elektroniczny, koordynują działania propagandowe i tworzą lepsze/inne algorytmy wyszukujące niż te tradycyjne z rynku cywilnego.
PiotrEl Czwartek, 29 Grudnia 2016, 14:39
Kurcze a ja myślałem, że ogromne wpływy Rosji w mediach Zachodu (nieporównywalnie większe niż czasach ZSRR) wynikają z tego że Rosjanie starają się informować o faktach a media Zachodnie i z Zatoki Perskiej starają się nawet koło faktów nie stać. Stąd np. 6 tygodni po zaprzestaniu bombardowań Aleppo przez rosyjskie wojska nadał informowały o co dziennych "dywanowych" nalotach rosyjskich na szpitale, szkoły i przedszkola w "Wolnym Aleppo" (największe zagęszczenie na Świecie takich obiektów). Teraz media "Wolnego świata" zapominają wspomnieć o tym, że 90% mieszkańców "zdobytego" Aleppo zostało z Asadem, problem humanitarny to te 10% co wyjechało - tamci mogą zdychać, po co z Dyktatorem zostali. Nie zauważyły, że w szpitalach od dawna nie leczono a szkoły i przedszkola były oczywiście zamknięte od początku opanowania tych obszarów przez islamistów. Brak informacji o masowych grobach gdzie "umiarkowani" wrzucali ofiary egzekucji i sale tortur gdzie przepytywano. Nikogo nie interesuje skąd np. nowiutka bułgarska amunicja w magazynach broni (kraj NATO chyba?) itd. itp. W obliczu tego opanowanie myślącej części populacji przez media rosyjskie jest tylko kwestią czasu. Pozycjonowanie nie jest do tego potrzebne...
Geoffrey Piątek, 30 Grudnia 2016, 8:17
Myliłeś się. "Kłamstwo nie jest alternatywnym punktem widzenia" (Linas Linkevicius, minister spraw zagranicznych Litwy) Rosja nie informuje o faktach, Rosja prowadzi wojnę hybrydową. Do tego dostarcza różnych, często wykluczających się kłamstw dla różnych odbiorców. Tak jak w przypadku ataków hakerskich: oficjalnie - "to nie my" ( dla niezorientowanej większości) i nieoficjalnie: - "wchodzimy gdzie chcemy i nic nam nie zrobicie".