Hakerzy prezydenta Putina

29 grudnia 2016, 13:41

Ataki na systemy Partii Demokratycznej, francuskiego dziennika "Le Monde", Giełdy Papierów Wartościowych czy dziennikarzy krytykujących Kreml to tylko niektóre z celów Fancy Bearjednej z najaktywniejszych, ale również najbardziej tajemniczych grup hakerskich.

Jedna z najbardziej agresywnych grup hakerskich działająca na rzecz Kremla to Fancy Bear, znana też pod nazwą APT 28 oraz Tsar Team. Jej celem był m.in. Komitet Partii Demokratycznej czy też organy tej partii odpowiedzialne za finansowanie kampanii do Kongresu. Atak przeprowadzony w czasie wyborów miał wpłynąć na ich wynik oraz zdestabilizować życie polityczne w Stanach Zjednoczonych. Mimo że piszą o nich media na całym świecie, stosunkowo mało jest informacji o samej grupie. Nie wiadomo, ilu hakerów pracuje w jej ramach. Nieznana jest również jej struktura ani czy członkowie zlokalizowani są w jednym miejscu, czy rozsiani po całym terytorium Rosji.

Zdolności Fancy Bears

Jeden z ekspertów znajdującej się w Moskwie firmy Kaspersky powiedział, że grupa posiada zaawansowane zaplecze finansowe i techniczne, na które pozwolić mogą sobie tylko państwowe agencje wywiadowcze. Fancy Bear ma dostęp do dużej liczby wcześniej nieznanych luk typu zero day, będących jedną z najlepszych metod włamywania się do systemów. Grupa używa też zaawansowanych złośliwych aplikacji jak np. Sourface, która umieszczona na komputerze ofiary ściąga złośliwe oprogramowanie pozwalające na zdalne kontrolowanie komputera. Inne programy pozwalały Fancy Bear niszczyć istniejące pliki i tworzyć własne, spreparowane według potrzeb, oraz skutecznie zacierać ślady. Przedstawiciele firmy FireEye, którzy badali działalność tych hakerów zauważyli, że metadane użyte w złośliwym oprogramowaniu wskazywały na rosyjskie ustawienia języka. Mogło to świadczyć o tym, że złośliwy program został stworzony w rosyjskim czasie pracy, a adresy IP użyte podczas ataku mogą zostać wyśledzone i wskazują rosyjskie źródło.

Stopień zaawansowania rosyjskich zdolności w środowisku wirtualnym nie powinien dziwić. Państwo to, wraz z Chinami, Izraelem i Stanami Zjednoczonymi, posiada jeden z najpotężniejszych arsenałów ofensywnych w cyberprzestrzeni. W przeciwieństwie do wyżej wymienionych krajów niewiele jednak wiadomo na temat jego organizacji instytucjonalnej.

Zdaniem Andrieja Soldatowa, autora książki The Red Web, operacje w cyberprzestrzeni są organizowane przez FSB. W opinii jednego z oficerów amerykańskiego wywiadu zeszłoroczna kampania włamań do Departamentu Stanu i Białego Domu była właśnie dziełem jednostki operującej w ramach FSB. Również wywiad wojskowy – GRU, posiada własne oddziały do prowadzenia działań w świecie wirtualnym. Zdaniem Soldatowa to właśnie z tej organizacji wywodzi się Fancy Bear.

Witali Kremez, ekspert z firmy Flashpoint, uważa, że rosyjskie agencje wywiadowcze działają inaczej w cyberprzestrzeni niż ich odpowiednicy z innych państw. Nie ma tutaj umundurowanych jednostek hakerów dokonujących włamań. Zamiast tego umieszcza się "swoich" ludzi w różnych przedsiębiorstwach, np. energetycznych czy u dostarczycieli usług internetowych. Przeprowadzenie ataku na DNC nie wymagało udziału wielu osób – wystarczyły dwie lub trzy utalentowane.

Czytaj też: Luka w systemie Microsoftu wykorzystana przez Fancy Bears

Według jednego z urzędników w Departamencie Obrony, Stany Zjednoczone wcześniej nie spotkały się z takim działaniem, jakie ma miejsce w ramach grupy Fancy Bear. USA wciąż przygotowują strategię właściwej odpowiedzi. Rozmówca podkreślił, że nigdy nikt nie był tak bezczelnych w swoich działaniach oraz nie krył swojej tożsamości.

Operacje ofensywne

Eksperci śledzący poczynania grupy dostrzegli pierwsze przejawy jej aktywności podczas wojny w Gruzji w 2008 roku. Trzy tygodnie przed rozpoczęciem konfliktu militarnego gruzińskie strony rządowe doświadczyły zmasowanych ataków DDoS. Większość z nich była prymitywna i doprowadziła do czasowej niedostępności strony internetowej prezydenta Micheila Saakaszwilego, a wiele witryn agencji prasowych padło ofiarą hakerów. Tuż po rozpoczęciu wojny większość gruzińskiego ruchu internetowego, który przechodzi przez Rosję i Turcję została zablokowana, a na stronie prezydenckiej znalazły się obrazki porównujące przywódcę Gruzji do Adolfa Hitlera. Był to jeden z pierwszych przypadków połączenia działań konwencjonalnych z atakami cyfrowymi. Fancy Bear odgrywało istotną rolę w tej kampanii.

Po ataku na Gruzję rozmiar oraz poziom zaawansowania prowadzonych operacji tylko wzrósł. W jednym z raportów niemieckiego kontrwywiadu Federalnego Urzędu Ochrony Konstytucji można przeczytać, że Fancy Bear jest zaangażowane w prowadzoną przez Rosję wojnę hybrydową. Niemcy podejrzewają, że grupa ta stała za atakiem na ukraińską elektrownię, co doprowadziło do odcięcia od energii ponad 230 tys. osób. Ponadto Fancy Bear miało również dokonać włamań do Bundestagu oraz serwerów partii Angelli Merkel CDU. Celem było pozyskanie informacji strategicznych.

Rosyjska cyberagresja uderzyła również w media. W kwietniu 2015 roku francuska telewizja TV5 Monde nagle zaczęła wyświetlać hasła propagandowe Daesh, a na jej facebookowej stronie pojawiły się posty o następującej treści: „Żołnierze Francji, trzymajcie się z dala od Państwa Islamskiego. Macie możliwość ocalenia własnych rodzin, skorzystajcie z niej”. Początkowo wszystkie poszlaki wskazywały, że za ten cyberatak odpowiedzialna jest dywizja hakerów ISIS. Po przeprowadzeniu drobiazgowego śledztwa okazało się jednak, że za operacją stało Fancy Bear. Przedstawiciele firmy FireEye, badającej ten incydent, porównali adresy IP użyte w ataku na TV5 Monde z tymi wykorzystywanymi w poprzednich kampaniach Fancy Bear. Okazało się, że są ze sobą zbieżne. Była to typowa operacja pod fałszywą flagą, której zadaniem miało być szerzenie paniki i zbiorowej histerii. Rosja posiada długą historię tego typu działań wywiadowczych. Zdaniem ekspertów była to próba sprawdzenia, czy cyberatak jest w stanie sparaliżować działanie mediów.

Czytaj też: Nowe dowody potwierdzają, że rosyjscy cyberprzestępcy zaatakowali biura Demokratów

Nie była to jednak jedyna taka sytuacja. W tym samym czasie Fancy Bear starało się zastraszyć brytyjskiego dziennikarza Eliota Higginsa i skupione wokół niego osoby prowadzące stronę Bellingcat. Higgins, który opublikował dziesiątki artykułów poświęconych udziałowi Rosjan w zestrzeleniu MH-17 oraz dotyczących aktywności wojsk rosyjskich na Ukrainie, został nagle zalany olbrzymią ilością spear phisingowych maili. Powiadomił on o całym zdarzeniu jedną z firm zajmujących się cyberbezpieczeństwem, która potwierdziła, że za incydent odpowiedzialna jest grupa Fancy Bear. Według niepotwierdzonych informacji hakerzy mogli monitorować stronę Bellingcat i poznać efekty pracy związanych z nią dziennikarzy, zanim stały się publicznie dostępne. Należy również dodać, że prorosyjskie media "Sputnik" i "Russia Today" wielokrotnie sugerowały, że Bellingat jest częścią CIA.

Higgins uważa, że Rosjanie obawiali się wyników prac jego grupy dziennikarzy i dlatego próbowali go zdyskredytować. Był on jednak zaskoczony, że hakerzy przy ataku na DNC wykorzystali te same adresy IP, usług URL czy spreparowane, fałszywe wiadomości poczty elektronicznej. Jego zdaniem takie niedbalstwo było celowe. Chcieli oni zademonstrować światu, że nie obawiają się nikogo ani niczego, ponieważ wspiera ich Rosja.

Fancy Bear było jedną z najaktywniejszych grup hakerskich w 2016 roku. Odniosła ona wiele spektakularnych sukcesów, wspomagając realizację rosyjskiego interesu narodowego. W przyszłym roku wraz z wyborami we Francji i Niemczech, kontynuacją wojny na Ukrainie i w Syrii, zapotrzebowanie na usługi Fancy Bears prawdopodobnie nie zmniejszy się, a być może nawet wzrośnie. Nikogo nie powinno dziwić, jeżeli w wybory parlamentarne w Niemczech i prezydenckie we Francji zaangażuje się właśnie ta grupa hakerska.

 

 

 

KomentarzeLiczba komentarzy: 15
Wszystko jasne jak słońce
piątek, 30 grudnia 2016, 03:09

"Był on jednak zaskoczony, że hakerzy przy ataku na DNC wykorzystali te same adresy IP, usług URL czy spreparowane, fałszywe wiadomości poczty elektronicznej. Jego zdaniem takie niedbalstwo było celowe. Chcieli oni zademonstrować światu, że nie obawiają się nikogo ani niczego, ponieważ wspiera ich Rosja." Oczywiście, jakież to proste... Rzeczywiście false-flagiem zalatuje na kilometr, ale nie wiem czy rosyjskim.

@DonkeyJJLove
niedziela, 29 stycznia 2017, 07:12

— Rosja dysponuje przede wszystkim nie armią cyfrową, choć ta jest skutkiem, a rynkiem, który stymuluje społeczeństwo do działań ofensywnych. Na pograniczu służb specjalnych(GRU), biznesu oligarchów(RBN) i rządu wytworzono sektor rynku obrotu nielegalną informacją i technologią. Zrobiono to już w czasach zimnej wojny. Z czasem zaś, przekuto go (bo to jest kontrolowane służbami), z uwagi na zmiany na świecie w szpiegostwo cyfrowe. . — Wprowadzono go już z okazji technologi jądrowych, odświeżono przez Putina zaś, dzięki doktrynom, które w obrazowy sposób (jak sprawa Snowden) tworzą potężną propagandę. . — Teza jest prosta. Kradnij i sprzedawaj rządowi, bądź oligarchom — a my Cię ochronimy i dobrze Ci zapłacimy. . — Tak powstała piramidalna mechanika społeczna produkująca hackerów, którzy z jej szczytu trafią w szeregi armii, głownie gospodarczych ale i tzw. rządowej armii. . — Tu stymulujący to działanie rząd i wykonujące to w jego myśl służby zyskały samokształcącą się politykę kadrową, sposób rekrutacji ale przede wszystkim tak Cyfrowa Rosja stała się miejscem, gdzie każdy młody człowiek mający komputer wie, co będzie robić. Będzie kraść i będzie miał "Lamborghini". Tak jak ikony APT prezentujące się na ВКонтакте jako IT rządu oligarchów. . — Największym zagrożeniem dla Nas nie jest to czy tamto APT /7 /9 ale to, że Rosja w tydzień jest wstanie zmobilizować społeczeństwo około IT w gigantyczną Armię Cyfrową. . — Stałym zagrożeniem jest mechanika obrotu nielegalną informacją, która powoduje iż ta społeczność około IT, atakuje codziennie, z zamiarem pozyskania wszelkiego typu danych. . — Skutkiem zaś jest poziom technologiczny, który w walce przez poszczególne poziomy piramidy, poprzez postępujące względem tego finansowanie produkuje doskonałe merytorycznie i wyśmienicie wyposażone i finansowane grupy nowoczesnych szpiegów cyfrowych, zarówno gospodarczych, jak i politycznych i dalej tworzy trzon cyfrowego GRU.

edi
czwartek, 29 grudnia 2016, 15:46

Rosja strzeliła sobie w stopę bo REPUBLIKANIE nie są pacyfistami jak DEMOKRACI i będzie boleć jak za RR czy GB.

olo
czwartek, 29 grudnia 2016, 15:41

Kto mu mordę zepsuł powinien iść na SYBIR.

Aaaa
czwartek, 29 grudnia 2016, 23:04

Respekt dla Rosji. Nieźle namieszali

Geoffrey
czwartek, 29 grudnia 2016, 15:08

Bardzo ciekawa jest ta nowa rosyjska taktyka propagandowa: z jednej strony oficjalne zaprzeczanie jakimkolwiek agresywnym działaniom Rosji ( skierowane do jej zwolenników i "pożytecznych idiotów"), a z drugiej strony bezczelna jawność agresji wobec tych, którzy stawiają opór. "patrzcie, robimy z wami co chcemy, a wasze społeczeństwa i tak myślą, że to nie my". Daje to efekt głębokich podziałów wewnątrz atakowanego społeczeństwa, oraz zastraszania tych, którzy stawiają opór. Przykładem jest np. agresja na Ukrainę - Rosja nie ma możliwości zatajenia, że jest tam jest 600 rosyjskich czołgów, ale większość świata wierzy w rosyjską bajkę o "separatystach". Albo sprawa katastrofy smoleńskiej - gdy już zaczynała przycichać, na rosyjskich serwerach pojawiły się zdjęcia z katastrofy. Oficjalnie to nie my, ale nawet jeśli to my, to co nam zrobicie? To samo z cyberatakami.

Szyderca
czwartek, 29 grudnia 2016, 14:44

Proponuję USA by Microsoft robił oprogramowanie bez dziur i backdoorów to rosyjscy hakerzy wiele nie zdziałają... Amerykańscy również i pewnie z uwagi na ten ostatni fakt Windows są takie dziurawe...

Gucio
czwartek, 29 grudnia 2016, 20:09

Ruskie śmiecie zaśmiecają eter

elektronik
piątek, 30 grudnia 2016, 11:13

Geoffrey - to w końcu w co mamy wierzyć twoim zdaniem , w zacofanie , bankructwo , nie moc ? Podaj przykład tych trzech możliwości - skoro w koło twierdzi się że " CO ZŁE - TO KREML i PUTIN " . Wojna w USA - TRAMP , OBAMA - można przypuszczać iż za tym stoi - PUTIN ?