Fancy Bear , también conocido como APT28 (por Mandiant ), Pawn Storm , Sofacy Group (por Kaspersky ), Sednit , Tsar Team (por FireEye ) y STRONTIUM o Forest Blizzard (por Microsoft ), [2] [4] es un cibernético ruso. grupo de espionaje . La empresa de ciberseguridad CrowdStrike ha dicho con un nivel medio de confianza que está asociada con la agencia de inteligencia militar rusa GRU . [5] [6] El Ministerio de Asuntos Exteriores y de la Commonwealth del Reino Unido [7] , así como las empresas de seguridad SecureWorks , [8] ThreatConnect , [9] y Mandiant , [10] también han dicho que el grupo está patrocinado por el gobierno ruso. En 2018, una acusación del Fiscal Especial de los Estados Unidos identificó a Fancy Bear como la Unidad GRU 26165 . [3] [2] Esto se refiere a su Número de Unidad Militar unificado de los regimientos del ejército ruso. El cuartel general de Fancy Bear y toda la unidad militar, que supuestamente se especializa en ciberataques patrocinados por el Estado y en el descifrado de datos pirateados, [11] fueron atacados por drones ucranianos el 24 de julio de 2023, como resultado de lo cual el techo de uno de los edificios se derrumbó. de la explosión. [12]
Fancy Bear está clasificado por FireEye como una amenaza persistente avanzada . [10] Entre otras cosas, utiliza exploits de día cero , phishing y malware para comprometer los objetivos. El grupo promueve los intereses políticos del gobierno ruso y es conocido por piratear los correos electrónicos del Comité Nacional Demócrata para intentar influir en el resultado de las elecciones presidenciales de Estados Unidos de 2016.
El nombre "Fancy Bear" proviene de un sistema de codificación que el investigador de seguridad Dmitri Alperovitch utiliza para identificar a los piratas informáticos. [13]
Probablemente operando desde mediados de la década de 2000, los métodos de Fancy Bear son consistentes con las capacidades de los actores estatales. El grupo tiene como objetivo organizaciones gubernamentales, militares y de seguridad, especialmente Estados transcaucásicos y alineados con la OTAN . Se cree que Fancy Bear es responsable de ciberataques al parlamento alemán , al parlamento noruego , a la cadena de televisión francesa TV5Monde , a la Casa Blanca , a la OTAN, al Comité Nacional Demócrata , a la Organización para la Seguridad y la Cooperación en Europa y a la campaña de El candidato presidencial francés Emmanuel Macron . [14]
Trend Micro designó a los actores detrás del malware Sofacy como Operación Pawn Storm el 22 de octubre de 2014. [15] El nombre se debió al uso por parte del grupo de "dos o más herramientas/tácticas conectadas para atacar un objetivo específico similar a la estrategia del ajedrez, " [16] conocida como tormenta de peones .
La empresa de seguridad de redes FireEye publicó un informe detallado sobre Fancy Bear en octubre de 2014. El informe designó al grupo como "Amenaza persistente avanzada 28" (APT28) y describió cómo el grupo de piratas informáticos utilizó exploits de día cero del sistema operativo Microsoft Windows y Adobe Flash. . [17] El informe encontró detalles operativos que indican que la fuente es un "patrocinador del gobierno con sede en Moscú". La evidencia recopilada por FireEye sugirió que el malware de Fancy Bear se compiló principalmente en un entorno de compilación en idioma ruso y se produjo principalmente durante las horas de trabajo paralelas a la zona horaria de Moscú . [18] La directora de inteligencia de amenazas de FireEye, Laura Galante, se refirió a las actividades del grupo como "espionaje estatal" [19] y dijo que los objetivos también incluyen "medios de comunicación o personas influyentes". [20] [21]
El nombre "Fancy Bear" deriva del sistema de codificación que CrowdStrike , la empresa de Dmitri Alperovitch, utiliza para los grupos de hackers. "Oso" indica que los piratas informáticos son de Rusia. "Fancy" se refiere a "Sofacy", una palabra en el malware que le recordó al analista que lo encontró la canción " Fancy " de Iggy Azalea . [1]
Los objetivos de Fancy Bear han incluido gobiernos y ejércitos de Europa del Este, el país de Georgia y el Cáucaso , Ucrania, [22] organizaciones relacionadas con la seguridad como la OTAN , así como los contratistas de defensa estadounidenses Academi (anteriormente conocidos como Blackwater y Xe Services), Science Applications International Corporation (SAIC), [23] Boeing, Lockheed Martin y Raytheon. [22] Fancy Bear también ha atacado a ciudadanos de la Federación Rusa que son enemigos políticos del Kremlin, incluido el ex magnate petrolero Mikhail Khodorkovsky y Maria Alekhina de la banda Pussy Riot . [22] SecureWorks, una empresa de ciberseguridad con sede en los Estados Unidos, concluyó que desde marzo de 2015 hasta mayo de 2016, la lista de objetivos de "Fancy Bear" incluía no solo al Comité Nacional Demócrata de los Estados Unidos y también al Comité Nacional Republicano, [24] sino decenas de miles de enemigos de Putin y el Kremlin en Estados Unidos, Ucrania, Rusia, Georgia y Siria. Sin embargo, sólo un puñado de republicanos fueron atacados. [25] Un análisis de AP de 4.700 cuentas de correo electrónico que habían sido atacadas por Fancy Bear concluyó que ningún país aparte de Rusia estaría interesado en piratear tantos objetivos tan diferentes que parecían no tener nada más en común aparte de ser de interés para el gobierno ruso. [22]
Fancy Bear también parece intentar influir en los acontecimientos políticos para que amigos o aliados del gobierno ruso ganen poder.
En 2011-2012, la primera etapa del malware de Fancy Bear fue el implante "Sofacy" o SOURFACE. Durante 2013, Fancy Bear agregó más herramientas y puertas traseras, incluidas CHOPSTICK, CORESHELL, JHUHUGIT y ADVSTORESHELL. [26]
Desde mediados de 2014 hasta el otoño de 2017, Fancy Bear apuntó a numerosos periodistas en Estados Unidos, Ucrania, Rusia, Moldavia, los países bálticos y otros países que habían escrito artículos sobre Vladimir Putin y el Kremlin. Según Associated Press y SecureWorks, este grupo de periodistas es el tercer grupo más grande al que se dirige Fancy Bear después del personal diplomático y los demócratas estadounidenses. La lista de objetivos de Fancy Bear incluye a Adrian Chen , la periodista armenia Maria Titizian, Eliot Higgins de Bellingcat , Ellen Barry y al menos otros 50 reporteros del New York Times , al menos 50 corresponsales extranjeros radicados en Moscú que trabajaron para medios de noticias independientes, Josh Rogin , un El columnista del Washington Post , Shane Harris , un escritor del Daily Beast que en 2015 cubrió temas de inteligencia, Michael Weiss , un analista de seguridad de CNN, Jamie Kirchick de la Brookings Institution , 30 objetivos de los medios en Ucrania, muchos de ellos en el Kyiv Post , reporteros que cubrieron la guerra rusa. respaldada por la guerra en el este de Ucrania , así como en Rusia, donde la mayoría de los periodistas atacados por los piratas informáticos trabajaban para noticias independientes (por ejemplo, Novaya Gazeta o Vedomosti ), como Ekaterina Vinokurova en Znak.com y las principales periodistas rusas Tina Kandelaki , Ksenia Sobchak , y el presentador de televisión ruso Pavel Lobkov, todos los cuales trabajaron para TV Rain . [27]
Se cree que Fancy Bear fue responsable de un ciberataque de seis meses de duración contra el parlamento alemán que comenzó en diciembre de 2014. [28] El 5 de mayo de 2020, los fiscales federales alemanes emitieron una orden de arresto contra Dimitri Badin en relación con el ataques. [29] El ataque paralizó completamente la infraestructura informática del Bundestag en mayo de 2015. Para resolver la situación, todo el parlamento tuvo que permanecer fuera de línea durante días. Los expertos en TI calculan que en el marco del ataque se descargaron del Parlamento un total de 16 gigabytes de datos. [30]
También se sospecha que el grupo está detrás de un ataque de phishing lanzado en agosto de 2016 contra miembros del Bundestag y múltiples partidos políticos como la líder de la facción Linken , Sahra Wagenknecht , la Unión Junge y la CDU del Sarre . [31] [32] [33] [34] Las autoridades temían que los piratas informáticos pudieran recopilar información confidencial para luego manipular al público antes de elecciones como las próximas elecciones federales de Alemania, que debían celebrarse en septiembre de 2017. [31]
Cinco esposas de personal militar estadounidense recibieron amenazas de muerte de un grupo de piratas informáticos que se hace llamar "CyberCalifato", que afirma ser un afiliado del Estado Islámico, el 10 de febrero de 2015. [35] [36] [37] [38] Más tarde se descubrió que esto ha sido un ataque de bandera falsa por parte de Fancy Bear, cuando se descubrió que las direcciones de correo electrónico de las víctimas estaban en la lista de objetivos de phishing de Fancy Bear. [36] También se sabe que los trolls rusos de las redes sociales exageran y difunden rumores sobre la amenaza de posibles ataques terroristas del Estado Islámico en suelo estadounidense para sembrar miedo y tensión política. [36]
El 8 de abril de 2015, la cadena de televisión francesa TV5Monde fue víctima de un ciberataque por parte de un grupo de hackers autodenominado "CyberCalifato" y que afirmaba tener vínculos con la organización terrorista Estado Islámico de Irak y el Levante (ISIL). Posteriormente, los investigadores franceses descartaron la teoría de que militantes islamistas estuvieran detrás del ciberataque y sospecharon en cambio la participación de Fancy Bear. [39]
Los piratas informáticos violaron los sistemas internos de la red, posiblemente ayudados por contraseñas transmitidas abiertamente por TV5, [40] anulando la programación de transmisión de los 12 canales de la compañía durante más de tres horas. [41] El servicio se restableció sólo parcialmente en las primeras horas de la mañana siguiente y los servicios normales de transmisión se interrumpieron hasta bien entrado el 9 de abril. [41] Varios sistemas computarizados internos administrativos y de apoyo, incluido el correo electrónico, también estaban cerrados o eran inaccesibles debido a al ataque. [42] [41] Los piratas informáticos también secuestraron las páginas de Facebook y Twitter de TV5Monde para publicar información personal de familiares de soldados franceses que participan en acciones contra ISIS, junto con mensajes críticos con el presidente François Hollande , argumentando que los ataques terroristas de enero de 2015 fueron "regalos". " por su "error imperdonable" de participar en conflictos que "no sirven para nada". [43] [41]
El director general de TV5Monde, Yves Bigot, afirmó más tarde que el ataque casi destruyó la empresa; Si hubiera sido necesario más tiempo para restablecer la radiodifusión, los canales de distribución por satélite probablemente habrían cancelado sus contratos. El ataque fue diseñado para ser destructivo, tanto de los equipos como de la propia empresa, y no con fines propagandísticos o de espionaje, como había sido el caso con la mayoría de los otros ciberataques. El ataque fue cuidadosamente planeado; la primera penetración conocida en la red fue el 23 de enero de 2015. [44] Luego, los atacantes llevaron a cabo un reconocimiento de TV5Monde para comprender la forma en que transmite sus señales y construyeron software malicioso a medida para corromper y destruir el hardware conectado a Internet. que controlaban las operaciones de la estación de televisión, como los sistemas de codificación. Utilizaron siete puntos de entrada diferentes, no todos parte de TV5Monde ni siquiera en Francia; uno era una empresa con sede en los Países Bajos que suministraba las cámaras con control remoto utilizadas en los estudios de TV5. [44] Entre el 16 de febrero y el 25 de marzo, los atacantes recopilaron datos en las plataformas internas de TV5, incluido su Wiki interno de TI , y verificaron que las credenciales de inicio de sesión aún fueran válidas. [44] Durante el ataque, los piratas informáticos ejecutaron una serie de comandos extraídos de los registros TACACS para borrar el firmware de los conmutadores y enrutadores . [44]
Aunque el ataque supuestamente provenía del EI, la agencia cibernética francesa le dijo a Bigot que dijera sólo que los mensajes decían ser del EI. Más tarde le dijeron que se habían encontrado pruebas de que los atacantes eran el grupo de hackers rusos APT 28. No se encontró ningún motivo para atacar a TV5Monde, y se desconoce la fuente de la orden de ataque y su financiación. Se ha especulado que probablemente fue un intento de probar formas de armas cibernéticas. El costo se estimó en 5 millones de euros (5,6 millones de dólares; 4,5 millones de libras) en el primer año, seguido de un costo anual recurrente de más de 3 millones de euros (3,4 millones de dólares; 2,7 millones de libras) para nueva protección. La forma de trabajar de la empresa tuvo que cambiar, con autenticación del correo electrónico, control de las memorias USB antes de insertarlas, etc., en detrimento significativo de la eficiencia de una empresa de medios de comunicación que debe mover información. [45]
La empresa de seguridad root9B publicó un informe sobre Fancy Bear en mayo de 2015 anunciando el descubrimiento de un ataque de phishing dirigido a instituciones financieras. El informe enumera las instituciones bancarias internacionales que fueron atacadas, incluido el United Bank for Africa , el Bank of America , el TD Bank y el UAE Bank. Según root9B, los preparativos para los ataques comenzaron en junio de 2014 y el malware utilizado "tenía firmas específicas que históricamente han sido exclusivas de una sola organización, Sofacy". [46] El periodista de seguridad Brian Krebs cuestionó la exactitud de las afirmaciones de root9B, postulando que los ataques en realidad se habían originado en phishers nigerianos. [47] En junio de 2015, el respetado investigador de seguridad Claudio Guarnieri publicó un informe basado en su propia investigación de un exploit concurrente atribuido a SOFACY contra el Bundestag alemán [48] y le dio crédito a root9B por haber informado "la misma dirección IP utilizada como comando y control". servidor en el ataque contra el Bundestag (176.31.112.10)", y continuó diciendo que basándose en su examen del ataque del Bundestag, "al menos algunos" indicadores contenidos en el informe de root9B parecían precisos, incluida una comparación del hash del malware muestra de ambos incidentes. Más tarde, root9B publicó un informe técnico comparando el análisis de Claudio sobre el malware atribuido a SOFACY con su propia muestra, lo que aumenta la veracidad de su informe original. [49]
En agosto de 2015, Fancy Bear utilizó un exploit de día cero de Java , falsificando a la Electronic Frontier Foundation y lanzando ataques contra la Casa Blanca y la OTAN . Los piratas informáticos utilizaron un ataque de phishing, dirigiendo los correos electrónicos a la URL falsa electronicfrontierfoundation.org. [50] [51]
En agosto de 2016, la Agencia Mundial Antidopaje informó la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser comunicaciones oficiales de la AMA solicitando sus datos de inicio de sesión. Después de revisar los dos dominios proporcionados por la AMA, se descubrió que el registro de los sitios web y la información de alojamiento eran consistentes con los del grupo de piratería ruso Fancy Bear. [52] [53] Según la AMA, algunos de los datos que los piratas informáticos publicaron habían sido falsificados. [54]
Debido a la evidencia de dopaje generalizado por parte de los atletas rusos , la AMA recomendó que se prohibiera a los atletas rusos participar en los Juegos Olímpicos y Paralímpicos de Río 2016. Los analistas dijeron que creían que el ataque fue en parte un acto de represalia contra la atleta rusa Yuliya Stepanova , cuya información personal fue revelada durante la violación. [55] En agosto de 2016, la AMA reveló que sus sistemas habían sido vulnerados, explicando que los piratas informáticos de Fancy Bear habían utilizado una cuenta creada por el Comité Olímpico Internacional (COI) para obtener acceso a su base de datos del Sistema de Gestión y Administración Antidopaje (ADAMS). . [56] Luego, los piratas informáticos utilizaron el sitio web fancybear.net para filtrar lo que dijeron que eran los archivos de pruebas de drogas olímpicas de varios atletas que habían recibido exenciones de uso terapéutico, incluida la gimnasta Simone Biles , las tenistas Venus y Serena Williams y la jugadora de baloncesto Elena Delle Donne. . [57] Los piratas informáticos se centraron en los atletas a quienes la AMA había concedido exenciones por diversas razones. Las filtraciones posteriores incluyeron atletas de muchos otros países. [56]
Eliot Higgins y otros periodistas asociados con Bellingcat , un grupo que investiga el derribo del vuelo 17 de Malaysia Airlines sobre Ucrania, fueron blanco de numerosos correos electrónicos de phishing. Los mensajes eran avisos de seguridad falsos de Gmail con URL acortadas de Bit.ly y TinyCC. Según ThreatConnect , algunos de los correos electrónicos de phishing se originaron en servidores que Fancy Bear había utilizado en ataques anteriores en otros lugares. Bellingcat es conocido por haber demostrado que Rusia es culpable del derribo del MH17 y los medios rusos se burlan con frecuencia de él. [58] [59]
El grupo apuntó a la Junta de Seguridad Holandesa , el organismo que lleva a cabo la investigación oficial sobre el accidente, antes y después de la publicación del informe final de la junta. Configuraron servidores SFTP y VPN falsos para imitar los propios servidores de la placa, probablemente con el fin de realizar phishing de nombres de usuarios y contraseñas. [60] Un portavoz del OSD dijo que los ataques no tuvieron éxito. [61]
Fancy Bear llevó a cabo ataques de phishing dirigidos a direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. [62] [63] El 10 de marzo, los correos electrónicos de phishing dirigidos principalmente a direcciones de correo electrónico antiguas del personal de la campaña demócrata de 2008 comenzaron a llegar. Es posible que una de estas cuentas haya generado listas de contactos actualizadas. Al día siguiente, los ataques de phishing se expandieron a direcciones de correo electrónico privadas de altos funcionarios del Partido Demócrata. Las direcciones de Hillaryclinton.com fueron atacadas, pero requirieron autenticación de dos factores para acceder. El ataque se redirigió a cuentas de Gmail el 19 de marzo. La cuenta de Gmail de Podesta fue vulnerada el mismo día y se robaron 50.000 correos electrónicos. Los ataques de phishing se intensificaron en abril, [63] aunque los piratas informáticos parecieron volverse repentinamente inactivos durante el día 15 de abril, que en Rusia era un feriado en honor a los servicios militares de guerra electrónica. [64] El malware utilizado en el ataque envió datos robados a los mismos servidores que se utilizaron para el ataque del grupo en 2015 al parlamento alemán . [1]
El 14 de junio, CrowdStrike publicó un informe dando a conocer el hackeo del Comité Nacional Demócrata e identificando a Fancy Bear como los culpables. Luego apareció una persona en línea, Guccifer 2.0 , reivindicando el crédito exclusivo por la infracción. [sesenta y cinco]
Otro sofisticado grupo de hackers atribuido a la Federación Rusa, apodado Cozy Bear , también estaba presente en los servidores del DNC al mismo tiempo. Sin embargo, los dos grupos parecían desconocer al otro, ya que cada uno de ellos robó de forma independiente las mismas contraseñas y duplicó sus esfuerzos. Cozy Bear parece ser una agencia diferente, más interesada en el espionaje tradicional a largo plazo. [64] Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red del DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. [1]
Según CrowdStrike, de 2014 a 2016, el grupo utilizó malware de Android para atacar las fuerzas de cohetes y la artillería del ejército ucraniano . Distribuyeron una versión infectada de una aplicación de Android cuyo propósito original era controlar los datos de orientación de la artillería del obús D-30 . La aplicación, utilizada por oficiales ucranianos, fue cargada con el software espía X-Agent y publicada en línea en foros militares. CrowdStrike afirmó inicialmente que más del 80% de los obuses D-30 ucranianos fueron destruidos en la guerra, el porcentaje más alto de pérdida de cualquier pieza de artillería en el ejército (un porcentaje que nunca se había informado anteriormente y que significaría la pérdida de casi todo el arsenal). de la mayor pieza de artillería de las Fuerzas Armadas de Ucrania [66] ). [67] Según el ejército ucraniano, las cifras de CrowdStrike eran incorrectas y que las pérdidas en armas de artillería "estuvieron muy por debajo de las reportadas" y que estas pérdidas "no tienen nada que ver con la causa declarada". [68] Desde entonces, CrowdStrike ha revisado este informe después de que el Instituto Internacional de Estudios Estratégicos (IISS) desautorizara su informe original, alegando que los ataques de malware resultaron en pérdidas del 15 al 20% en lugar de su cifra original del 80%. [69]
El 31 de octubre de 2016, el Grupo de Análisis de Amenazas de Google reveló una vulnerabilidad de día cero en la mayoría de las versiones de Microsoft Windows que es objeto de ataques activos de malware. El 1 de noviembre de 2016, el vicepresidente ejecutivo del grupo Windows y Dispositivos de Microsoft, Terry Myerson , publicó en el blog Threat Research & Response de Microsoft, reconociendo la vulnerabilidad y explicando que una "campaña de phishing de bajo volumen" dirigida a usuarios específicos había utilizado "dos Vulnerabilidades de día cero en Adobe Flash y el kernel de Windows de nivel inferior". Microsoft señaló a Fancy Bear como el actor de la amenaza, refiriéndose al grupo por su nombre clave interno STRONTIUM . [70]
En febrero de 2017, el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos reveló que Fancy Bear y Cozy Bear habían realizado varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , director de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. [71]
En una sesión informativa ante el parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. [72]
Los responsables de la Asociación Internacional de Federaciones de Atletismo (IAAF) declararon en abril de 2017 que sus servidores habían sido pirateados por el grupo "Fancy Bear". El ataque fue detectado por la empresa de ciberseguridad Context Information Security, que identificó que el 21 de febrero se había producido un acceso remoto no autorizado a los servidores de la IAAF. La IAAF afirmó que los piratas informáticos habían accedido a las aplicaciones de exención de uso terapéutico , necesarias para utilizar medicamentos prohibidos por la AMA. [73] [74]
Investigadores de Trend Micro publicaron en 2017 un informe que describe los intentos de Fancy Bear de dirigirse a grupos relacionados con las campañas electorales de Emmanuel Macron y Angela Merkel . Según el informe, atacaron la campaña de Macron con phishing e intentaron instalar malware en su sitio. La agencia de ciberseguridad del gobierno francés, ANSSI, confirmó que estos ataques tuvieron lugar, pero no pudo confirmar la responsabilidad de APT28. [75] La campaña de Marine Le Pen no parece haber sido objetivo de APT28, lo que posiblemente indica la preferencia rusa por su campaña. Putin había promocionado previamente los beneficios para Rusia si Marine Le Pen fuera elegida. [76]
El informe dice que luego atacaron a la Fundación Alemana Konrad Adenauer y la Fundación Friedrich Ebert , grupos asociados con la Unión Demócrata Cristiana de Angela Merkel y el opositor Partido Socialdemócrata , respectivamente. Fancy Bear configuró servidores de correo electrónico falsos a finales de 2016 para enviar correos electrónicos de phishing con enlaces a malware. [77]
El 10 de enero de 2018, la persona en línea "Fancy Bears Hack Team" filtró lo que parecían ser correos electrónicos robados del Comité Olímpico Internacional (COI) y del Comité Olímpico de EE. UU. , fechados entre finales de 2016 y principios de 2017, se filtraron en aparente represalia por la prohibición del COI. de atletas rusos de los Juegos Olímpicos de Invierno de 2018 como sanción por el programa de dopaje sistemático de Rusia . El ataque se parece a las filtraciones anteriores de la Agencia Mundial Antidopaje (AMA). No se sabe si los correos electrónicos son completamente auténticos, debido al historial de Fancy Bear de agregar desinformación a correos electrónicos robados. Tampoco se conocía el modo de ataque, pero probablemente fue phishing. [78] [79]
Los expertos en seguridad cibernética también han afirmado que los ataques también parecen haber estado dirigidos a la empresa embotelladora de pruebas de drogas deportivas profesionales conocida como Berlinger Group. [80]
La Confederación Deportiva Sueca informó que Fancy Bear fue responsable de un ataque a sus computadoras, dirigido a los registros de las pruebas de dopaje de los atletas. [81]
La empresa de software Microsoft informó en agosto de 2018 que el grupo había intentado robar datos de organizaciones políticas como el Instituto Republicano Internacional y los think tanks del Instituto Hudson . Los ataques fueron frustrados cuando el personal de seguridad de Microsoft obtuvo el control de seis dominios de red . [82] En su anuncio, Microsoft informó que "actualmente no tenemos pruebas de que estos dominios se hayan utilizado en ningún ataque exitoso antes de que la DCU transfiriera el control de ellos, ni tenemos pruebas que indiquen la identidad de los objetivos finales de cualquier ataque planeado que involucre estos dominios". [83]
Según el informe de agosto de 2018 de Associated Press , Fancy Bear había estado apuntando durante años a la correspondencia por correo electrónico de los funcionarios del Patriarcado Ecuménico de Constantinopla encabezado por el Patriarca Ecuménico Bartolomé I. [84] La publicación apareció en un momento de intensas tensiones entre el Patriarcado Ecuménico, la más antigua de todas las Iglesias Ortodoxas Orientales , y la Iglesia Ortodoxa Rusa (el Patriarcado de Moscú) sobre la cuestión de la plena independencia eclesiástica ( autocefalia ) para los ortodoxos. Iglesia en Ucrania , buscada por el gobierno ucraniano. La publicación citó a expertos diciendo que la concesión de autocefalia a la Iglesia en Ucrania erosionaría el poder y el prestigio del Patriarcado de Moscú y socavaría sus pretensiones de jurisdicción transnacional. [84] Los ataques cibernéticos también se dirigieron a cristianos ortodoxos en otros países, así como a musulmanes, judíos y católicos en los Estados Unidos, Ummah, un grupo que agrupa a los musulmanes ucranianos, el nuncio papal en Kiev y Yosyp Zisels, quien dirige la Asociación de Organizaciones Judías de Ucrania. y Comunidades. [84]
En octubre de 2018, se hizo pública una acusación presentada por un gran jurado federal de Estados Unidos contra siete hombres rusos, todos oficiales del GRU, en relación con los ataques. La acusación afirma que desde diciembre de 2014 hasta al menos mayo de 2018, los funcionarios del GRU conspiraron para realizar "intrusiones informáticas persistentes y sofisticadas que afectaron a personas estadounidenses, entidades corporativas, organizaciones internacionales y sus respectivos empleados ubicados en todo el mundo, en función de su interés estratégico en el gobierno ruso." [85] [86] El Departamento de Justicia de EE. UU. declaró que la conspiración, entre otros objetivos, tenía como objetivo "publicitar información robada como parte de una campaña de influencia y desinformación diseñada para socavar, tomar represalias y deslegitimar de otro modo" los esfuerzos del mundo. Agencia Antidopaje , una organización internacional antidopaje que había publicado el Informe McLaren , un informe que exponía el dopaje extensivo de los atletas rusos patrocinado por el gobierno ruso . [85] Los acusados fueron acusados de piratería informática , fraude electrónico , robo de identidad agravado y lavado de dinero . [85]
En febrero de 2019, Microsoft anunció que había detectado ataques de phishing de APT28, dirigidos a empleados del Fondo Marshall Alemán , el Instituto Aspen de Alemania y el Consejo Alemán de Relaciones Exteriores . [87] [88] Los piratas informáticos del grupo supuestamente enviaron correos electrónicos de phishing a 104 direcciones de correo electrónico en toda Europa en un intento de obtener acceso a las credenciales del empleador e infectar sitios con malware. [89] [90]
En 2020, la Agencia Nacional Checa de Seguridad Cibernética y de la Información Ministerio de Asuntos Exteriores , [91] probablemente llevado a cabo por Fancy Bear. [92]
informó de un incidente de ciberespionaje en una institución estratégica no identificada, posiblemente elEn agosto de 2020, el Storting noruego informó de un "ciberataque importante" a su sistema de correo electrónico. En septiembre de 2020, la ministra de Asuntos Exteriores de Noruega , Ine Marie Eriksen Søreide , acusó a Rusia del ataque. El Servicio de Seguridad de la Policía de Noruega concluyó en diciembre de 2020 que "los análisis muestran que es probable que la operación haya sido llevada a cabo por el actor cibernético al que se hace referencia en fuentes abiertas como APT28 y Fancy Bear", y que "se ha extraído contenido sensible de algunos de las cuentas de correo electrónico afectadas”. [93]
Fancy Bear emplea métodos avanzados consistentes con las capacidades de los actores estatales. [94] Utilizan correos electrónicos de phishing , sitios web de distribución de malware disfrazados de fuentes de noticias y vulnerabilidades de día cero . Un grupo de investigación de ciberseguridad observó el uso de seis exploits de día cero diferentes en 2015, una hazaña técnica que requeriría que un gran número de programadores buscaran vulnerabilidades previamente desconocidas en software comercial de primera línea. Esto se considera una señal de que Fancy Bear es un programa estatal y no una pandilla o un hacker solitario. [95] [96]
Uno de los objetivos preferidos de Fancy Bear son los servicios de correo electrónico basados en web. Un compromiso típico consistirá en que los usuarios de correo electrónico basados en la web reciban un correo electrónico solicitando urgentemente que cambien sus contraseñas para evitar ser pirateados. El correo electrónico contendrá un enlace a un sitio web falso diseñado para imitar una interfaz de correo web real, los usuarios intentarán iniciar sesión y sus credenciales serán robadas. La URL a menudo se oculta como un enlace bit.ly abreviado [97] para pasar los filtros de spam . Fancy Bear envía estos correos electrónicos de phishing principalmente los lunes y viernes. También envían correos electrónicos que supuestamente contienen enlaces a noticias, pero en su lugar enlazan a sitios de descarga de malware que instalan kits de herramientas en la computadora del objetivo. [95] Fancy Bear también registra dominios que se parecen a sitios web legítimos y luego crea una falsificación del sitio para robar las credenciales de sus víctimas. [65] Se sabe que Fancy Bear transmite su tráfico de comandos a través de redes proxy de víctimas que ha comprometido previamente. [98]
El software que ha utilizado Fancy Bear incluye ADVSTORESHELL, CHOPSTICK, JHUHUGIT y XTunnel. Fancy Bear utiliza varios implantes, incluidos Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy y DownRange. [65] Basándose en los tiempos de compilación, FireEye concluyó que Fancy Bear ha actualizado constantemente su malware desde 2007. [98] Para evitar la detección, Fancy Bear regresa al entorno para cambiar sus implantes, cambia sus canales de comando y control y modifica su sistema persistente. métodos. [94] El grupo de amenazas implementa técnicas de contraanálisis para ofuscar su código . Añaden datos basura a cadenas codificadas, lo que dificulta la decodificación sin el algoritmo de eliminación de basura. [98] Fancy Bear toma medidas para evitar el análisis forense de sus ataques, restableciendo las marcas de tiempo en los archivos y borrando periódicamente los registros de eventos. [sesenta y cinco]
Según una acusación del Fiscal Especial de los Estados Unidos, X-Agent fue "desarrollado, personalizado y supervisado" por el teniente capitán del GRU Nikolay Yuryevich Kozachek. [2]
Se sabe que Fancy Bear adapta los implantes a los entornos de destino, por ejemplo, reconfigurarlos para utilizar servidores de correo electrónico locales. [98] En agosto de 2015, Kaspersky Lab detectó y bloqueó una versión del implante ADVSTORESHELL que se había utilizado para atacar a contratistas de defensa. Una hora y media después del bloqueo, los actores de Fancy Bear habían compilado y entregado una nueva puerta trasera para el implante. [26]
La Unidad 26165 participó en el diseño del plan de estudios en varias escuelas públicas de Moscú, incluida la Escuela 1101. [99]
Fancy Bear a veces crea personajes en línea para sembrar desinformación, desviar culpas y crear una negación plausible de sus actividades. [100]
Una persona en línea que apareció por primera vez y se atribuyó la responsabilidad de los ataques al Comité Nacional Demócrata el mismo día que se supo que Fancy Bear era el responsable. [101] Guccifer 2.0 afirma ser un hacker rumano , pero cuando lo entrevistó la revista Placa base , les hicieron preguntas en rumano y parecían no poder hablar el idioma. [102] Algunos documentos que han publicado parecen ser falsificaciones improvisadas a partir de material de ataques anteriores e información disponible públicamente, y luego sazonadas con desinformación. [102]
Un sitio web creado para filtrar documentos tomados en los ataques de la AMA y la IAAF fue presentado con un breve manifiesto fechado el 13 de septiembre de 2016, proclamando que el sitio es propiedad del "equipo de piratería de Fancy Bears", que, según decía, era un "equipo de piratería internacional". que "defienden el juego limpio y el deporte limpio". [103] El sitio asumió la responsabilidad de piratear la AMA y prometió que proporcionaría "pruebas sensacionales de atletas famosos que consumían sustancias dopantes", comenzando con el equipo olímpico de EE. UU., del que, según dijo, "deshonró su nombre con victorias manchadas". [103] La AMA dijo que algunos de los documentos filtrados bajo este nombre eran falsificaciones y que los datos habían sido modificados. [104] [103]
Una cuenta de Twitter denominada "Polonia anónima" (@anpoland) se atribuyó el ataque a la Agencia Mundial Antidopaje [105] y difundió datos robados del Tribunal de Arbitraje Deportivo , un objetivo secundario. [106] [107] ThreatConnect apoya la opinión de que Anonymous Polonia es un títere de Fancy Bear, y señala el cambio desde un enfoque histórico en la política interna. Un video de captura de pantalla subido por Anonymous Polonia muestra una cuenta con configuración de idioma polaco, pero el historial de su navegador mostró que habían realizado búsquedas en Google.ru (Rusia) y Google.com (EE. UU.), pero no en Google.pl (Polonia). . [106]
y está recopilando información de inteligencia en nombre del gobierno ruso.
Tácticas rusas de FANCY BEAR
Consideramos que lo más probable es que APT28 esté patrocinado por el gobierno ruso.
Los ataques de "phishing" (en los que los piratas informáticos envían correos electrónicos falsos destinados a engañar a las personas para que visiten sitios web que parecen auténticos pero que en realidad les permiten infiltrarse en los sistemas informáticos corporativos de sus víctimas) estaban vinculados al grupo de piratas informáticos APT28, una unidad de Inteligencia militar rusa que interfirió en las elecciones estadounidenses de 2016.
El grupo se dirigió a más de 100 empleados europeos del Fondo Marshall Alemán, el Instituto Aspen de Alemania y el Consejo Alemán de Relaciones Exteriores, grupos influyentes que se centran en cuestiones de política transatlántica.
Los ataques contra estas organizaciones, que divulgamos con su permiso, se dirigieron a 104 cuentas pertenecientes a empleados de organizaciones ubicados en Bélgica, Francia, Alemania, Polonia, Rumania y Serbia.
MSTIC continúa investigando las fuentes de estos ataques, pero estamos seguros de que muchos de ellos se originaron en un grupo que llamamos Estroncio.
Los ataques ocurrieron entre septiembre y diciembre de 2018. Notificamos rápidamente a cada una de estas organizaciones cuando descubrimos que habían sido atacadas para que pudieran tomar medidas para proteger sus sistemas, y tomamos una variedad de medidas técnicas para proteger a los clientes de estos ataques.