טפרי הסייבר הקטלניים של הדוב הרוסי פוגעים ביעדים צבאיים ואזרחיים כאחד. עלייתו הבלתי ניתנת לעצירה של דובי מפואר למרחב הסייבר

(של סירו מטגיאטה)

16/04/18

היקום של קבוצות של האקר הוא עצום מאוד ומגוון. כפי שצוין במאמרים קודמים, בעוד "טוב" אלה, שנקרא כובע לבן o האקר האתי, מהווים משאב אמיתי עבור אבטחת המחשב, עם זאת, מעולם לא ניצלו מספיק, זעם "רע" זה במרחב הקיברנטי לגרום נזק כי לפעמים גדול מאוד. יתר על כן, האחרונים, המשתפים פעולה לעתים קרובות זה עם זה, תומכים בפעילויות של ארגונים פליליים, תנועות פוליטיות או טרוריסטיות או, שוב, של גורמים ממשלתיים או פרטיים מודיעין, ביטחון או הגנה. בפרט, יש קבוצה של האקר אשר במשך מספר שנים היה נושא מחקר נרחב וחקירה של מדינות רבות וחברות אבטחה, כפי שהוא יהיה קשור בדרך כלשהי לממשלת רוסיה, במיוחד, שירותי המודיעין הצבאי החזקים שלה (Glavnoje Razvedyvatel'noje Upravlenije - GRU). תא זה, אשר שמות הקוד של דובי מפואר, APT28, סטארם, קבוצת סופסי, Sednit e סטרונציום זה נחשב להיות פעיל ביותר ויעיל בעולם. גם ההיסטוריה שלה, כמו של קבוצת המשוואה (נ. מאמר), קשורה קשר הדוק לאירועים פוליטיים וצבאיים בעלי היקף בינלאומי, אך לא רק. כפי שתראה מאוחר יותר, ב "viewfinder" של דובי מפואר גם דמויות פוליטיות רבות בממשלת רוסיה היו מסתיימות.

אנו מגיעים למאפיינים המבדילים את הקבוצה הנדונה. איך המשוואה, הדוב המפואר הוא התמחה בפעילויות של מודיעין שנערך במרחב הקיברנטי, באמצעות מסעות מתוחכמים של איום מתמיד מתקדם (APT). אז האקרים אפילו בקבוצה זו הם nell'introdursi מאוד מיומן רשתות של אנשים אחרים, הניצול הפגיע (במקרה זה, במיוחד כאלו שלא ידועים גם על המפיקים חומרה / תוכנה - מה שנקרא פגיעויות אפס-יום) ולבצע פעולות ריגול ארוכות טווח מבלי שיתגלו.

"הקורבנות האהובים" של דובי מפואר הם חברות וארגונים הפועלים בחלל, אנרגיה, הגנה, מידע, סוכנויות ממשלתיות ומתנגדים פוליטיים נגד ממשלת רוסיה. רוב המטרות מרוכזות ברפובליקות הסובייטיות לשעבר, אך התא פועל גם בעולם, ומוביל קמפיינים עם תוצאות מהדהדות לפעמים. האנלוגיות עם הקבוצה היריבה האמריקאית המשוואה הם רבים, ביניהם לפחות שלושה אחרים בולטים:

דובי מפואר פועלת לפחות מ 2004, כך התא הזה זכה גם ניסיון רב בביצוע פעולות במרחב הקיברנטי.
פעולות הקבוצה מבוססות על ארגון שיכול להתקיים רק על ידי מדינה המסוגלת להקדיש לה משאבים רבים, הן פיננסיים והן אישיים. בנוסף לאלו המבצעיים סייבר אז אמיתי, פעולות של דובי מפואר הם בהחלט כרוך שירות של מודיעין מאובזר עם כוח אדם וכלים לנתח את כמות עצומה של נתונים זה נמשך מן רבים יעד.
התא הרוסי אינו חסין מפני שגיאות, כך שאחד, בפרט, יכול להיות יקר מאוד.

לפני שתחזור על מעשיהם דובי מפואר זה הכרחי כדי להפוך את הנחת הרגיל, אם כי נכון יותר מתמיד כאשר מדובר בקבוצה של האקר התמחה בקמפיינים של APT. למעשה, במקרה זה, גם הקושי לייחס את ההתקפות הוא הוסיף כי לא להיות מסוגל לקבוע במדויק את היכרויות. באופן כללי, אם וכאשר ניתן לזהות קמפיין APT של קבוצה זו, ישנם קשיים רבים לחזור לרגע המדויק שבו הוא התחיל. יתר על כן, ככלל, סוג זה של התקפה נמשך חודשים או אפילו שנים, ולכן קשה מאוד לכמת את הנזק שנגרם, כלומר הנתונים שנרכשו על ידי דובי מפואר ואת התועלת שהביאו למי שהצליחו לנצלם. לבסוף, במקרה אחד לפחות ניסתה הקבוצה בכוונה לפגוע בהתקף תא אחר סייבר, בניסיון להפוך את החקירות אף יותר מורכבות. לכן אנו רואים סיכום לא ממצה של הפעולות העיקריות של דובי מפואר.

ב 2008, בהקשר של המשבר בין רוסיה וג'ורג'יה, הקבוצה הייתה קודמת ומלווה את כניסתם של כוחות רוסים לשטח זר, משיקה סדרה של התקפות על רשתות גאורגיות רבות ואתרי הממשלה. עובדה זו, בנוסף על יצירת מהלומה בקרב האוכלוסייה המקומית, השפיעה באופן חלקי גם על פעולתן של כמה יחידות צבאיות בג'ורג'יה.

מאוחר יותר, בין 2014 לבין 2017 דובי מפואר אחד הוא "מעוניין" מאוד בסדרה של אישים עוינים למדיניות הממשלה הרוסית. בין אלה מיכאיל חודורקובסקי, ראש קבוצת אנרגיה תעשייתית (שנמצאת בגלות לאחר עשור שנות מאסר) שתמך בעבר בממשלה ואחר כך התנגד לו, מריה אלצ'ינה, חברה בקבוצה המוסיקלית Pussy התפרעות עוינת לקרמלין ואלכסיי נבאלני, מנהיג מפלגת השחיתות ש"אתגר "את פוטין בבחירות האחרונות לנשיאות, וכן את כל סגל. פעולותיהם של אנשים אלה ופעילים פוליטיים אחרים היו "מנוטרים" ללא הרף על ידי התא, מתפשרים ושולטים במכשירי ה- IT שלהם חשבון דואר אלקטרוני, של רשת חברתית ויישומי תקשורת אחרים באמצעות האינטרנט.

בחודש דצמבר של 2014, עם זאת, נקבע כי דובי מפואר הוא הצליח לפרוץ לרשתות של הפרלמנט הגרמני, ובמשך שישה חודשים חקר כמות נתונים שלא נמדדה.

באפריל של 2015, עם זאת, הקבוצה הפכה את הגיבור של חבלה אמיתית, עם קווי המתאר עדיין לא הובהר במלואו. על ידי העמדת פנים שהוא תא רפאים של האקר דל ח'ליפות Cyber, טען כי ההתקפה הובילה לחסימה מוחלטת של פעילותם של תריסר ערוצי לוויין של הקבוצה הצרפתית TV5 Monde, כתגמול על שימוש בכוחות ברחבי הרי האלפים במאבק נגד דא"ש. במשך יותר משלוש שעות היו הערוצים מוסתרים, מחשבונות פייסבוק וטוויטר של הטלוויזיה נשלחו כמה חדשות משתאות, משבחים את המאבק נגד הכופרים. ההתקפה נחקרה היטב והוכנה, וגרמה נזק כזה, כי TV5 היה על סף סגירת הדלתות. מאוחר יותר, חקירות עומק העלו כי תשתית הפיקוד והבקרה ניתנת למעקב ללא כל ספק דובי מפואר. אבל למה הקבוצה היתה פועלת כך? האם הוא השתמש במוטיב הכוזב של הטרור כדי לכסות "מבחן כללי" על התקפה יותר הרסנית או על יעד משלם יותר? אף אחד עדיין לא יכול לדעת את זה. העובדה היא כי בשלב זה התא הראה את כל היכולת שלו לחדור לרשת כדי להפוך את כל המכשירים לחלוטין לא שמיש (נראה את הקבוצה במהלך התקיפה ואף הצליח גם להשתלט על מצלמות אוטומטיות ב אולפני טלוויזיה).

בחודש מאי של השנה הבאה, דובי מפואר בנקים מאוגדים במספר מדינות ובאוגוסט פתחו במבצע נגד נאט"ו והבית הלבן, תוך מיקוד אלמנטים עם אי-מיילים. תקשורת זו הכילה קובץ מצורף שהיה למעשה א תוכנות זדוניות שנועדו להתגבר על הגנות ה- IT של הרשתות ולפתוח ערוץ תקשורת עם יחידת הבקרה והפיקוח של הקבוצה.

ב 2016 WADA הוא המליץ על השעיית ספורטאים רוסים באולימפיאדה, בעקבות הגילוי של מה שנקרא קמפיין מסיבי של "סימום מדינה." בתגובה, באוגוסט, הרשת של הסוכנות היתה נושא לפלישה של דובי מפואר, אשר מפיצים באינטרנט שורה של מידע על ספורטאים בארה"ב אשר הוענקו, מטעמי בריאות, כמה חריגים בשימוש בסמים שימוש בסמים.

באותה שנה ניסתה הקבוצה להכות הן את העיתונאי והן את סוכנות הבטיחות הגרמנית, שחקרו את הפחתת טיסות 17 של מלזיה איירליינס על פני שמים אוקראינים. באופן ספציפי, באותה תקופה הצליחו שניהם לאסוף סימני אשמה חשובים נגד ממשלת רוסיה. נושא זה עדיין שנוי במחלוקת, אך בכל מקרה, החקירה על התאונה מעולם לא נפגעה דובי מפואר.

ואז היה מה עשוי להיחשב, ובצדק, את הטוב ביותר "פגע" של הקבוצה: ההתקפה על הליבה של המערכת הדמוקרטית של ממשלת מעצמת יריבת המועצות לשעבר, לרגל הבחירות לנשיאות ארה"ב 2016. כבר כתבנו על הסיפור הזה, מדגישים את ההשפעה הפוטנציאלית שהוא יכול היה לשחק במירוץ הבית הלבן (נ. מאמר) וכעת נוספה חתיכה אשר, אם יאושר, ידגיש את האחריות של GRU ו, סביר להניח, של דובי מפואר. בקיץ של 2016, בקמפיין הבחירות מלא, מ שרת דל הקונגרס הלאומי הדמוקרטי (DNC) כמות עצומה של נתונים נאסף, כולל אלפי הודעות דוא"ל מחובר למועמדת הילארי קלינטון ואת תיקי מידע על דונלד טראמפ מכן מתחרה. ללא קשר להשפעות הריאליות על מערכת הבחירות (המתעוררות באיטיות), פעולת הסייבר היתה הצלחה אסטרטגית בלתי מעורערת. עם זאת, כמה טעויות טקטיות שנעשו על ידי האקרים אפשרו לחוקרים לייחס להם אבהות דובי מפואר. אם זה יצא כמעט מיד (כמו גם את העובדה כי קבוצה רוסית נוספת - דוב חמים, היה מבצע פעולה מקבילה בו זמנית כדי לפגוע DNC) הוא רק לפני כמה שבועות את גילוי מה שנקרא "אקדח מעשן", המהווה עדות למעורבות ישירה של GRU בפרשה. התובע המיוחד שמנהל חקירות הידועות כ Russiagate, על ההתערבות לכאורה של הקרמלין בבחירות בארה"ב ועל תפקיד טראמפ ופמלייתו, רכשה את הראיות שנאספו על ידי חברת אבטחה, שפורסמה לאחרונה על ידי אתר מקוון, אשר יציג את מעורבות מלאה של המודיעין הרוסי בהתקפה על DNC . באופן ספציפי, חקירות כאלה יוכיחו שהמידע שנלקח מהשרתים הדמוקרטיים יועבר על ידי נציג של ג.ר.ו. ליועצת למה שייעשה זמן קצר לאחר מכן לנשיא ארה"ב. ואם זה נכון דובי מפואר קשורה ל- GRU, נובע מכך שהתא הזה מילא תפקיד מרכזי בנושא.

עם זאת, הקבוצה לא במקום יעד רק מבחינה פוליטית, כלכלית או כספית, עד כדי כך, שבהיותה קשורה לענף הצבאי של המודיעין הרוסי, לפחות בשתי נסיבות היא היתה נוקטת פעולות בהקשר של משברים שראו את השימוש בכוחות המזוינים. באופן ספציפי, כפי שהוזכר לעיל, זה קרה בגאורגיה ב 2008 ולאחרונה במהלך תקופת שנתיים 2014-2016 באוקראינה. המקרה השני הוא סמל: למד כי צבא הרפובליקה הסובייטית לשעבר השתמש בו האפליקציה עצמית המופקת על בסיס מערכת ההפעלה אנדרואיד, על מנת לכוון את הירי של D-30 הישן hitzers המיוצר במהלך המלחמה הקרה, דובי מפואר הוא היה מפרסם גרסה אד-הוק מתוקנת. האפליקציה לא מקורי, בנוסף לכאורה לבצע את אותן פונקציות כמו האמיתי, במציאות זה גם בתקשורת עמדות עמדות הארטילריה למרכז השליטה והפיקוח ברוסיה. תוצאה: על 20% של ארסנל כולו של האוקראיני שמנים נסחף בדייקנות "בלתי מוסברת".

אפילו לאחרונה, בשנה שעברה דובי מפואר הוא היה אשם בהפצת כופר NotPetya, אשר כבר כתבנו בעבר (נ. מאמר). זהו אחד ההתקפות הגרועות ביותר בכל הזמנים, אשר מאז המטרה המקורית הראשונה שלה, שוב אוקראינה, התפשט במהירות ללא שליטה גלובלית, גרימת נזק של כמה מיליוני דולרים (נ. מאמר).

לבסוף, בחודש פברואר השנה, עם התקרב אולימפיאדת החורף, סוכנות נגד שימוש בסמים העולמי היתה יעד להתקפה חדשה, דומה לזו של 2016, על ידי הקבוצה הרוסית. גם בנסיבות אלה, המניע היה התגמול על ההדרה של תחרות הספורט של הספורטאים הרוסים.

לסיכום, דובי מפואר זה בהחלט אחת הקבוצות של האקר פעיל יותר הן בחזית הפנימית והן בחיצונית אל ארץ הייחוס. יתר על כן, הוא גם אחד התאים הבולטים בעולם, בשל תהודה של הקמפיינים שלה סייבר ואת הערך הגבוה של מטרות פגע. יתר על כן, אם מצד אחד דובי מפואר היא אינה גמישה במיוחד בטכניקות, טקטיקות ונהלים המשמשים את פעילותה, מאידך גיסא, הדיווחים הראשונים של השנה שהופקו על ידי חברות האבטחה מראים כי הקבוצה זוקקת במידה ניכרת את המכשירים שלה סייבר, מה שהופך אותם אפילו יותר מתוחכם. בקיצור, הדוב מחדד את ציפורניו ומצד שני, כמו שאומרים, "אל תתבדחי עם הדוב, אם אתה לא רוצה להיות נשך"!

מקורות עיקריים:

https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

http://www.chicagotribune.com/news/nationworld/ct-russian-hacking-20171102-story.html

https://researchcenter.paloaltonetworks.com/2018/02/unit42-sofacy-attacks-multiple-government-entities/

https://www.eset.com/int/about/newsroom/press-releases/research/fancy-bear-continues-to-spy-in-2017-eset-researchers-report/

https://www.welivesecurity.com/2016/11/11/sednit-a-very-digested-read/

https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html

http://www.lastampa.it/2018/03/23/esteri/guccifer-che-hacker-le-mail-della-clinton-un-agente-ufficiale-dei-servizi-militari-russi-TLNJlIhYtjMXV9SmWXQOQK/pagina.html

https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-20-slipped-up-and-revealed-he-was-a-russian-intelligence-officer?ref=home

https://www.bleepingcomputer.com/news/security/uk-formally-accuses-russian-military-of-notpetya-ransomware-outbreak/

(צילום: האינטרנט / משרד החוץ הפד הרוסי)