stringtranslate.com

oso de lujo

Fancy Bear , también conocido como APT28 (por Mandiant ), Pawn Storm , Sofacy Group (por Kaspersky ), Sednit , Tsar Team (por FireEye ) y STRONTIUM o Forest Blizzard (por Microsoft ), [2] [4] es un cibernético ruso. grupo de espionaje . La empresa de ciberseguridad CrowdStrike ha dicho con un nivel medio de confianza que está asociada con la agencia de inteligencia militar rusa GRU . [5] [6] El Ministerio de Asuntos Exteriores y de la Commonwealth del Reino Unido [7] , así como las empresas de seguridad SecureWorks , [8] ThreatConnect , [9] y Mandiant , [10] también han dicho que el grupo está patrocinado por el gobierno ruso. En 2018, una acusación del Fiscal Especial de los Estados Unidos identificó a Fancy Bear como la Unidad GRU 26165 . [3] [2] Esto se refiere a su Número de Unidad Militar unificado de los regimientos del ejército ruso. El cuartel general de Fancy Bear y toda la unidad militar, que supuestamente se especializa en ciberataques patrocinados por el Estado y en el descifrado de datos pirateados, [11] fueron atacados por drones ucranianos el 24 de julio de 2023, como resultado de lo cual el techo de uno de los edificios se derrumbó. de la explosión. [12]

Fancy Bear está clasificado por FireEye como una amenaza persistente avanzada . [10] Entre otras cosas, utiliza exploits de día cero , phishing y malware para comprometer los objetivos. El grupo promueve los intereses políticos del gobierno ruso y es conocido por piratear los correos electrónicos del Comité Nacional Demócrata para intentar influir en el resultado de las elecciones presidenciales de Estados Unidos de 2016.

El nombre "Fancy Bear" proviene de un sistema de codificación que el investigador de seguridad Dmitri Alperovitch utiliza para identificar a los piratas informáticos. [13]

Probablemente operando desde mediados de la década de 2000, los métodos de Fancy Bear son consistentes con las capacidades de los actores estatales. El grupo tiene como objetivo organizaciones gubernamentales, militares y de seguridad, especialmente Estados transcaucásicos y alineados con la OTAN . Se cree que Fancy Bear es responsable de ciberataques al parlamento alemán , al parlamento noruego , a la cadena de televisión francesa TV5Monde , a la Casa Blanca , a la OTAN, al Comité Nacional Demócrata , a la Organización para la Seguridad y la Cooperación en Europa y a la campaña de El candidato presidencial francés Emmanuel Macron . [14]

Informes de descubrimiento y seguridad.

Trend Micro designó a los actores detrás del malware Sofacy como Operación Pawn Storm el 22 de octubre de 2014. [15] El nombre se debió al uso por parte del grupo de "dos o más herramientas/tácticas conectadas para atacar un objetivo específico similar a la estrategia del ajedrez, " [16] conocida como tormenta de peones .

La empresa de seguridad de redes FireEye publicó un informe detallado sobre Fancy Bear en octubre de 2014. El informe designó al grupo como "Amenaza persistente avanzada 28" (APT28) y describió cómo el grupo de piratas informáticos utilizó exploits de día cero del sistema operativo Microsoft Windows y Adobe Flash. . [17] El informe encontró detalles operativos que indican que la fuente es un "patrocinador del gobierno con sede en Moscú". La evidencia recopilada por FireEye sugirió que el malware de Fancy Bear se compiló principalmente en un entorno de compilación en idioma ruso y se produjo principalmente durante las horas de trabajo paralelas a la zona horaria de Moscú . [18] La directora de inteligencia de amenazas de FireEye, Laura Galante, se refirió a las actividades del grupo como "espionaje estatal" [19] y dijo que los objetivos también incluyen "medios de comunicación o personas influyentes". [20] [21]

El nombre "Fancy Bear" deriva del sistema de codificación que CrowdStrike , la empresa de Dmitri Alperovitch, utiliza para los grupos de hackers. "Oso" indica que los piratas informáticos son de Rusia. "Fancy" se refiere a "Sofacy", una palabra en el malware que le recordó al analista que lo encontró la canción " Fancy " de Iggy Azalea . [1]

Ataques

Los objetivos de Fancy Bear han incluido gobiernos y ejércitos de Europa del Este, el país de Georgia y el Cáucaso , Ucrania, [22] organizaciones relacionadas con la seguridad como la OTAN , así como los contratistas de defensa estadounidenses Academi (anteriormente conocidos como Blackwater y Xe Services), Science Applications International Corporation (SAIC), [23] Boeing, Lockheed Martin y Raytheon. [22] Fancy Bear también ha atacado a ciudadanos de la Federación Rusa que son enemigos políticos del Kremlin, incluido el ex magnate petrolero Mikhail Khodorkovsky y Maria Alekhina de la banda Pussy Riot . [22] SecureWorks, una empresa de ciberseguridad con sede en los Estados Unidos, concluyó que desde marzo de 2015 hasta mayo de 2016, la lista de objetivos de "Fancy Bear" incluía no solo al Comité Nacional Demócrata de los Estados Unidos y también al Comité Nacional Republicano, [24] sino decenas de miles de enemigos de Putin y el Kremlin en Estados Unidos, Ucrania, Rusia, Georgia y Siria. Sin embargo, sólo un puñado de republicanos fueron atacados. [25] Un análisis de AP de 4.700 cuentas de correo electrónico que habían sido atacadas por Fancy Bear concluyó que ningún país aparte de Rusia estaría interesado en piratear tantos objetivos tan diferentes que parecían no tener nada más en común aparte de ser de interés para el gobierno ruso. [22]

Fancy Bear también parece intentar influir en los acontecimientos políticos para que amigos o aliados del gobierno ruso ganen poder.

En 2011-2012, la primera etapa del malware de Fancy Bear fue el implante "Sofacy" o SOURFACE. Durante 2013, Fancy Bear agregó más herramientas y puertas traseras, incluidas CHOPSTICK, CORESHELL, JHUHUGIT y ADVSTORESHELL. [26]

Ataques a periodistas

Desde mediados de 2014 hasta el otoño de 2017, Fancy Bear apuntó a numerosos periodistas en Estados Unidos, Ucrania, Rusia, Moldavia, los países bálticos y otros países que habían escrito artículos sobre Vladimir Putin y el Kremlin. Según Associated Press y SecureWorks, este grupo de periodistas es el tercer grupo más grande al que se dirige Fancy Bear después del personal diplomático y los demócratas estadounidenses. La lista de objetivos de Fancy Bear incluye a Adrian Chen , la periodista armenia Maria Titizian, Eliot Higgins de Bellingcat , Ellen Barry y al menos otros 50 reporteros del New York Times , al menos 50 corresponsales extranjeros radicados en Moscú que trabajaron para medios de noticias independientes, Josh Rogin , un El columnista del Washington Post , Shane Harris , un escritor del Daily Beast que en 2015 cubrió temas de inteligencia, Michael Weiss , un analista de seguridad de CNN, Jamie Kirchick de la Brookings Institution , 30 objetivos de los medios en Ucrania, muchos de ellos en el Kyiv Post , reporteros que cubrieron la guerra rusa. respaldada por la guerra en el este de Ucrania , así como en Rusia, donde la mayoría de los periodistas atacados por los piratas informáticos trabajaban para noticias independientes (por ejemplo, Novaya Gazeta o Vedomosti ), como Ekaterina Vinokurova en Znak.com y las principales periodistas rusas Tina Kandelaki , Ksenia Sobchak , y el presentador de televisión ruso Pavel Lobkov, todos los cuales trabajaron para TV Rain . [27]

Ataques alemanes (desde 2014)

Se cree que Fancy Bear fue responsable de un ciberataque de seis meses de duración contra el parlamento alemán que comenzó en diciembre de 2014. [28] El 5 de mayo de 2020, los fiscales federales alemanes emitieron una orden de arresto contra Dimitri Badin en relación con el ataques. [29] El ataque paralizó completamente la infraestructura informática del Bundestag en mayo de 2015. Para resolver la situación, todo el parlamento tuvo que permanecer fuera de línea durante días. Los expertos en TI calculan que en el marco del ataque se descargaron del Parlamento un total de 16 gigabytes de datos. [30]

También se sospecha que el grupo está detrás de un ataque de phishing lanzado en agosto de 2016 contra miembros del Bundestag y múltiples partidos políticos como la líder de la facción Linken , Sahra Wagenknecht , la Unión Junge y la CDU del Sarre . [31] [32] [33] [34] Las autoridades temían que los piratas informáticos pudieran recopilar información confidencial para luego manipular al público antes de elecciones como las próximas elecciones federales de Alemania, que debían celebrarse en septiembre de 2017. [31]

Amenazas de muerte a esposas de militares estadounidenses (10 de febrero de 2015)

Cinco esposas de personal militar estadounidense recibieron amenazas de muerte de un grupo de piratas informáticos que se hace llamar "CyberCalifato", que afirma ser un afiliado del Estado Islámico, el 10 de febrero de 2015. [35] [36] [37] [38] Más tarde se descubrió que esto ha sido un ataque de bandera falsa por parte de Fancy Bear, cuando se descubrió que las direcciones de correo electrónico de las víctimas estaban en la lista de objetivos de phishing de Fancy Bear. [36] También se sabe que los trolls rusos de las redes sociales exageran y difunden rumores sobre la amenaza de posibles ataques terroristas del Estado Islámico en suelo estadounidense para sembrar miedo y tensión política. [36]

Hack de la televisión francesa (abril de 2015)

El 8 de abril de 2015, la cadena de televisión francesa TV5Monde fue víctima de un ciberataque por parte de un grupo de hackers autodenominado "CyberCalifato" y que afirmaba tener vínculos con la organización terrorista Estado Islámico de Irak y el Levante (ISIL). Posteriormente, los investigadores franceses descartaron la teoría de que militantes islamistas estuvieran detrás del ciberataque y sospecharon en cambio la participación de Fancy Bear. [39]

Los piratas informáticos violaron los sistemas internos de la red, posiblemente ayudados por contraseñas transmitidas abiertamente por TV5, [40] anulando la programación de transmisión de los 12 canales de la compañía durante más de tres horas. [41] El servicio se restableció sólo parcialmente en las primeras horas de la mañana siguiente y los servicios normales de transmisión se interrumpieron hasta bien entrado el 9 de abril. [41] Varios sistemas computarizados internos administrativos y de apoyo, incluido el correo electrónico, también estaban cerrados o eran inaccesibles debido a al ataque. [42] [41] Los piratas informáticos también secuestraron las páginas de Facebook y Twitter de TV5Monde para publicar información personal de familiares de soldados franceses que participan en acciones contra ISIS, junto con mensajes críticos con el presidente François Hollande , argumentando que los ataques terroristas de enero de 2015 fueron "regalos". " por su "error imperdonable" de participar en conflictos que "no sirven para nada". [43] [41]

El director general de TV5Monde, Yves Bigot, afirmó más tarde que el ataque casi destruyó la empresa; Si hubiera sido necesario más tiempo para restablecer la radiodifusión, los canales de distribución por satélite probablemente habrían cancelado sus contratos. El ataque fue diseñado para ser destructivo, tanto de los equipos como de la propia empresa, y no con fines propagandísticos o de espionaje, como había sido el caso con la mayoría de los otros ciberataques. El ataque fue cuidadosamente planeado; la primera penetración conocida en la red fue el 23 de enero de 2015. [44] Luego, los atacantes llevaron a cabo un reconocimiento de TV5Monde para comprender la forma en que transmite sus señales y construyeron software malicioso a medida para corromper y destruir el hardware conectado a Internet. que controlaban las operaciones de la estación de televisión, como los sistemas de codificación. Utilizaron siete puntos de entrada diferentes, no todos parte de TV5Monde ni siquiera en Francia; uno era una empresa con sede en los Países Bajos que suministraba las cámaras con control remoto utilizadas en los estudios de TV5. [44] Entre el 16 de febrero y el 25 de marzo, los atacantes recopilaron datos en las plataformas internas de TV5, incluido su Wiki interno de TI , y verificaron que las credenciales de inicio de sesión aún fueran válidas. [44] Durante el ataque, los piratas informáticos ejecutaron una serie de comandos extraídos de los registros TACACS para borrar el firmware de los conmutadores y enrutadores . [44]

Aunque el ataque supuestamente provenía del EI, la agencia cibernética francesa le dijo a Bigot que dijera sólo que los mensajes decían ser del EI. Más tarde le dijeron que se habían encontrado pruebas de que los atacantes eran el grupo de hackers rusos APT 28. No se encontró ningún motivo para atacar a TV5Monde, y se desconoce la fuente de la orden de ataque y su financiación. Se ha especulado que probablemente fue un intento de probar formas de armas cibernéticas. El costo se estimó en 5 millones de euros (5,6 millones de dólares; 4,5 millones de libras) en el primer año, seguido de un costo anual recurrente de más de 3 millones de euros (3,4 millones de dólares; 2,7 millones de libras) para nueva protección. La forma de trabajar de la empresa tuvo que cambiar, con autenticación del correo electrónico, control de las memorias USB antes de insertarlas, etc., en detrimento significativo de la eficiencia de una empresa de medios de comunicación que debe mover información. [45]

Informe root9B (mayo de 2015)

La empresa de seguridad root9B publicó un informe sobre Fancy Bear en mayo de 2015 anunciando el descubrimiento de un ataque de phishing dirigido a instituciones financieras. El informe enumera las instituciones bancarias internacionales que fueron atacadas, incluido el United Bank for Africa , el Bank of America , el TD Bank y el UAE Bank. Según root9B, los preparativos para los ataques comenzaron en junio de 2014 y el malware utilizado "tenía firmas específicas que históricamente han sido exclusivas de una sola organización, Sofacy". [46] El periodista de seguridad Brian Krebs cuestionó la exactitud de las afirmaciones de root9B, postulando que los ataques en realidad se habían originado en phishers nigerianos. [47] En junio de 2015, el respetado investigador de seguridad Claudio Guarnieri publicó un informe basado en su propia investigación de un exploit concurrente atribuido a SOFACY contra el Bundestag alemán [48] y le dio crédito a root9B por haber informado "la misma dirección IP utilizada como comando y control". servidor en el ataque contra el Bundestag (176.31.112.10)", y continuó diciendo que basándose en su examen del ataque del Bundestag, "al menos algunos" indicadores contenidos en el informe de root9B parecían precisos, incluida una comparación del hash del malware muestra de ambos incidentes. Más tarde, root9B publicó un informe técnico comparando el análisis de Claudio sobre el malware atribuido a SOFACY con su propia muestra, lo que aumenta la veracidad de su informe original. [49]

Parodia de la EFF, ataque a la Casa Blanca y la OTAN (agosto de 2015)

En agosto de 2015, Fancy Bear utilizó un exploit de día cero de Java , falsificando a la Electronic Frontier Foundation y lanzando ataques contra la Casa Blanca y la OTAN . Los piratas informáticos utilizaron un ataque de phishing, dirigiendo los correos electrónicos a la URL falsa electronicfrontierfoundation.org. [50] [51]

Agencia Mundial Antidopaje (agosto de 2016)

En agosto de 2016, la Agencia Mundial Antidopaje informó la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser comunicaciones oficiales de la AMA solicitando sus datos de inicio de sesión. Después de revisar los dos dominios proporcionados por la AMA, se descubrió que el registro de los sitios web y la información de alojamiento eran consistentes con los del grupo de piratería ruso Fancy Bear. [52] [53] Según la AMA, algunos de los datos que los piratas informáticos publicaron habían sido falsificados. [54]

Debido a la evidencia de dopaje generalizado por parte de los atletas rusos , la AMA recomendó que se prohibiera a los atletas rusos participar en los Juegos Olímpicos y Paralímpicos de Río 2016. Los analistas dijeron que creían que el ataque fue en parte un acto de represalia contra la atleta rusa Yuliya Stepanova , cuya información personal fue revelada durante la violación. [55] En agosto de 2016, la AMA reveló que sus sistemas habían sido vulnerados, explicando que los piratas informáticos de Fancy Bear habían utilizado una cuenta creada por el Comité Olímpico Internacional (COI) para obtener acceso a su base de datos del Sistema de Gestión y Administración Antidopaje (ADAMS). . [56] Luego, los piratas informáticos utilizaron el sitio web fancybear.net para filtrar lo que dijeron que eran los archivos de pruebas de drogas olímpicas de varios atletas que habían recibido exenciones de uso terapéutico, incluida la gimnasta Simone Biles , las tenistas Venus y Serena Williams y la jugadora de baloncesto Elena Delle Donne. . [57] Los piratas informáticos se centraron en los atletas a quienes la AMA había concedido exenciones por diversas razones. Las filtraciones posteriores incluyeron atletas de muchos otros países. [56]

Junta de Seguridad Holandesa y Bellingcat

Eliot Higgins y otros periodistas asociados con Bellingcat , un grupo que investiga el derribo del vuelo 17 de Malaysia Airlines sobre Ucrania, fueron blanco de numerosos correos electrónicos de phishing. Los mensajes eran avisos de seguridad falsos de Gmail con URL acortadas de Bit.ly y TinyCC. Según ThreatConnect , algunos de los correos electrónicos de phishing se originaron en servidores que Fancy Bear había utilizado en ataques anteriores en otros lugares. Bellingcat es conocido por haber demostrado que Rusia es culpable del derribo del MH17 y los medios rusos se burlan con frecuencia de él. [58] [59]

El grupo apuntó a la Junta de Seguridad Holandesa , el organismo que lleva a cabo la investigación oficial sobre el accidente, antes y después de la publicación del informe final de la junta. Configuraron servidores SFTP y VPN falsos para imitar los propios servidores de la placa, probablemente con el fin de realizar phishing de nombres de usuarios y contraseñas. [60] Un portavoz del OSD dijo que los ataques no tuvieron éxito. [61]

Comité Nacional Demócrata (2016)

Fancy Bear llevó a cabo ataques de phishing dirigidos a direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. [62] [63] El 10 de marzo, los correos electrónicos de phishing dirigidos principalmente a direcciones de correo electrónico antiguas del personal de la campaña demócrata de 2008 comenzaron a llegar. Es posible que una de estas cuentas haya generado listas de contactos actualizadas. Al día siguiente, los ataques de phishing se expandieron a direcciones de correo electrónico privadas de altos funcionarios del Partido Demócrata. Las direcciones de Hillaryclinton.com fueron atacadas, pero requirieron autenticación de dos factores para acceder. El ataque se redirigió a cuentas de Gmail el 19 de marzo. La cuenta de Gmail de Podesta fue vulnerada el mismo día y se robaron 50.000 correos electrónicos. Los ataques de phishing se intensificaron en abril, [63] aunque los piratas informáticos parecieron volverse repentinamente inactivos durante el día 15 de abril, que en Rusia era un feriado en honor a los servicios militares de guerra electrónica. [64] El malware utilizado en el ataque envió datos robados a los mismos servidores que se utilizaron para el ataque del grupo en 2015 al parlamento alemán . [1]

El 14 de junio, CrowdStrike publicó un informe dando a conocer el hackeo del Comité Nacional Demócrata e identificando a Fancy Bear como los culpables. Luego apareció una persona en línea, Guccifer 2.0 , reivindicando el crédito exclusivo por la infracción. [sesenta y cinco]

Otro sofisticado grupo de hackers atribuido a la Federación Rusa, apodado Cozy Bear , también estaba presente en los servidores del DNC al mismo tiempo. Sin embargo, los dos grupos parecían desconocer al otro, ya que cada uno de ellos robó de forma independiente las mismas contraseñas y duplicó sus esfuerzos. Cozy Bear parece ser una agencia diferente, más interesada en el espionaje tradicional a largo plazo. [64] Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red del DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. [1]

artillería ucraniana

Supuestamente se distribuyó a la artillería ucraniana una versión infectada de una aplicación para controlar el obús D-30

Según CrowdStrike, de 2014 a 2016, el grupo utilizó malware de Android para atacar las fuerzas de cohetes y la artillería del ejército ucraniano . Distribuyeron una versión infectada de una aplicación de Android cuyo propósito original era controlar los datos de orientación de la artillería del obús D-30 . La aplicación, utilizada por oficiales ucranianos, fue cargada con el software espía X-Agent y publicada en línea en foros militares. CrowdStrike afirmó inicialmente que más del 80% de los obuses D-30 ucranianos fueron destruidos en la guerra, el porcentaje más alto de pérdida de cualquier pieza de artillería en el ejército (un porcentaje que nunca se había informado anteriormente y que significaría la pérdida de casi todo el arsenal). de la mayor pieza de artillería de las Fuerzas Armadas de Ucrania [66] ). [67] Según el ejército ucraniano, las cifras de CrowdStrike eran incorrectas y que las pérdidas en armas de artillería "estuvieron muy por debajo de las reportadas" y que estas pérdidas "no tienen nada que ver con la causa declarada". [68] Desde entonces, CrowdStrike ha revisado este informe después de que el Instituto Internacional de Estudios Estratégicos (IISS) desautorizara su informe original, alegando que los ataques de malware resultaron en pérdidas del 15 al 20% en lugar de su cifra original del 80%. [69]

Día cero de Windows (octubre de 2016)

El 31 de octubre de 2016, el Grupo de Análisis de Amenazas de Google reveló una vulnerabilidad de día cero en la mayoría de las versiones de Microsoft Windows que es objeto de ataques activos de malware. El 1 de noviembre de 2016, el vicepresidente ejecutivo del grupo Windows y Dispositivos de Microsoft, Terry Myerson , publicó en el blog Threat Research & Response de Microsoft, reconociendo la vulnerabilidad y explicando que una "campaña de phishing de bajo volumen" dirigida a usuarios específicos había utilizado "dos Vulnerabilidades de día cero en Adobe Flash y el kernel de Windows de nivel inferior". Microsoft señaló a Fancy Bear como el actor de la amenaza, refiriéndose al grupo por su nombre clave interno STRONTIUM . [70]

Ministerios holandeses (febrero de 2017)

En febrero de 2017, el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos reveló que Fancy Bear y Cozy Bear habían realizado varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , director de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. [71]

En una sesión informativa ante el parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. [72]

Hack de la IAAF (febrero de 2017)

Los responsables de la Asociación Internacional de Federaciones de Atletismo (IAAF) declararon en abril de 2017 que sus servidores habían sido pirateados por el grupo "Fancy Bear". El ataque fue detectado por la empresa de ciberseguridad Context Information Security, que identificó que el 21 de febrero se había producido un acceso remoto no autorizado a los servidores de la IAAF. La IAAF afirmó que los piratas informáticos habían accedido a las aplicaciones de exención de uso terapéutico , necesarias para utilizar medicamentos prohibidos por la AMA. [73] [74]

Elecciones alemanas y francesas (2016-2017)

Investigadores de Trend Micro publicaron en 2017 un informe que describe los intentos de Fancy Bear de dirigirse a grupos relacionados con las campañas electorales de Emmanuel Macron y Angela Merkel . Según el informe, atacaron la campaña de Macron con phishing e intentaron instalar malware en su sitio. La agencia de ciberseguridad del gobierno francés, ANSSI, confirmó que estos ataques tuvieron lugar, pero no pudo confirmar la responsabilidad de APT28. [75] La campaña de Marine Le Pen no parece haber sido objetivo de APT28, lo que posiblemente indica la preferencia rusa por su campaña. Putin había promocionado previamente los beneficios para Rusia si Marine Le Pen fuera elegida. [76]

El informe dice que luego atacaron a la Fundación Alemana Konrad Adenauer y la Fundación Friedrich Ebert , grupos asociados con la Unión Demócrata Cristiana de Angela Merkel y el opositor Partido Socialdemócrata , respectivamente. Fancy Bear configuró servidores de correo electrónico falsos a finales de 2016 para enviar correos electrónicos de phishing con enlaces a malware. [77]

Comité Olímpico Internacional (2018)

El 10 de enero de 2018, la persona en línea "Fancy Bears Hack Team" filtró lo que parecían ser correos electrónicos robados del Comité Olímpico Internacional (COI) y del Comité Olímpico de EE. UU. , fechados entre finales de 2016 y principios de 2017, se filtraron en aparente represalia por la prohibición del COI. de atletas rusos de los Juegos Olímpicos de Invierno de 2018 como sanción por el programa de dopaje sistemático de Rusia . El ataque se parece a las filtraciones anteriores de la Agencia Mundial Antidopaje (AMA). No se sabe si los correos electrónicos son completamente auténticos, debido al historial de Fancy Bear de agregar desinformación a correos electrónicos robados. Tampoco se conocía el modo de ataque, pero probablemente fue phishing. [78] [79]

Los expertos en seguridad cibernética también han afirmado que los ataques también parecen haber estado dirigidos a la empresa embotelladora de pruebas de drogas deportivas profesionales conocida como Berlinger Group. [80]

Confederación Deportiva Sueca

La Confederación Deportiva Sueca informó que Fancy Bear fue responsable de un ataque a sus computadoras, dirigido a los registros de las pruebas de dopaje de los atletas. [81]

Grupos conservadores de Estados Unidos (2018)

La empresa de software Microsoft informó en agosto de 2018 que el grupo había intentado robar datos de organizaciones políticas como el Instituto Republicano Internacional y los think tanks del Instituto Hudson . Los ataques fueron frustrados cuando el personal de seguridad de Microsoft obtuvo el control de seis dominios de red . [82] En su anuncio, Microsoft informó que "actualmente no tenemos pruebas de que estos dominios se hayan utilizado en ningún ataque exitoso antes de que la DCU transfiriera el control de ellos, ni tenemos pruebas que indiquen la identidad de los objetivos finales de cualquier ataque planeado que involucre estos dominios". [83]

El Patriarcado Ecuménico y otros clérigos (agosto de 2018)

Según el informe de agosto de 2018 de Associated Press , Fancy Bear había estado apuntando durante años a la correspondencia por correo electrónico de los funcionarios del Patriarcado Ecuménico de Constantinopla encabezado por el Patriarca Ecuménico Bartolomé I. [84] La publicación apareció en un momento de intensas tensiones entre el Patriarcado Ecuménico, la más antigua de todas las Iglesias Ortodoxas Orientales , y la Iglesia Ortodoxa Rusa (el Patriarcado de Moscú) sobre la cuestión de la plena independencia eclesiástica ( autocefalia ) para los ortodoxos. Iglesia en Ucrania , buscada por el gobierno ucraniano. La publicación citó a expertos diciendo que la concesión de autocefalia a la Iglesia en Ucrania erosionaría el poder y el prestigio del Patriarcado de Moscú y socavaría sus pretensiones de jurisdicción transnacional. [84] Los ataques cibernéticos también se dirigieron a cristianos ortodoxos en otros países, así como a musulmanes, judíos y católicos en los Estados Unidos, Ummah, un grupo que agrupa a los musulmanes ucranianos, el nuncio papal en Kiev y Yosyp Zisels, quien dirige la Asociación de Organizaciones Judías de Ucrania. y Comunidades. [84]

Acusaciones en 2018

El FBI buscaba un cartel de los oficiales acusados ​​en relación con Fancy Bear

En octubre de 2018, se hizo pública una acusación presentada por un gran jurado federal de Estados Unidos contra siete hombres rusos, todos oficiales del GRU, en relación con los ataques. La acusación afirma que desde diciembre de 2014 hasta al menos mayo de 2018, los funcionarios del GRU conspiraron para realizar "intrusiones informáticas persistentes y sofisticadas que afectaron a personas estadounidenses, entidades corporativas, organizaciones internacionales y sus respectivos empleados ubicados en todo el mundo, en función de su interés estratégico en el gobierno ruso." [85] [86] El Departamento de Justicia de EE. UU. declaró que la conspiración, entre otros objetivos, tenía como objetivo "publicitar información robada como parte de una campaña de influencia y desinformación diseñada para socavar, tomar represalias y deslegitimar de otro modo" los esfuerzos del mundo. Agencia Antidopaje , una organización internacional antidopaje que había publicado el Informe McLaren , un informe que exponía el dopaje extensivo de los atletas rusos patrocinado por el gobierno ruso . [85] Los acusados ​​fueron acusados ​​de piratería informática , fraude electrónico , robo de identidad agravado y lavado de dinero . [85]

Ataques a think tanks de 2019

En febrero de 2019, Microsoft anunció que había detectado ataques de phishing de APT28, dirigidos a empleados del Fondo Marshall Alemán , el Instituto Aspen de Alemania y el Consejo Alemán de Relaciones Exteriores . [87] [88] Los piratas informáticos del grupo supuestamente enviaron correos electrónicos de phishing a 104 direcciones de correo electrónico en toda Europa en un intento de obtener acceso a las credenciales del empleador e infectar sitios con malware. [89] [90]

2019 institución checa estratégica

En 2020, la Agencia Nacional Checa de Seguridad Cibernética y de la Información  [cs] informó de un incidente de ciberespionaje en una institución estratégica no identificada, posiblemente el Ministerio de Asuntos Exteriores , [91] probablemente llevado a cabo por Fancy Bear. [92]

Ataque al Parlamento noruego de 2020

En agosto de 2020, el Storting noruego informó de un "ciberataque importante" a su sistema de correo electrónico. En septiembre de 2020, la ministra de Asuntos Exteriores de Noruega , Ine Marie Eriksen Søreide , acusó a Rusia del ataque. El Servicio de Seguridad de la Policía de Noruega concluyó en diciembre de 2020 que "los análisis muestran que es probable que la operación haya sido llevada a cabo por el actor cibernético al que se hace referencia en fuentes abiertas como APT28 y Fancy Bear", y que "se ha extraído contenido sensible de algunos de las cuentas de correo electrónico afectadas”. [93]

Características y técnicas

Diagrama que muestra el proceso de empleo de phishing por parte de Grizzly Steppe (Fancy Bear y Cozy Bear )

Fancy Bear emplea métodos avanzados consistentes con las capacidades de los actores estatales. [94] Utilizan correos electrónicos de phishing , sitios web de distribución de malware disfrazados de fuentes de noticias y vulnerabilidades de día cero . Un grupo de investigación de ciberseguridad observó el uso de seis exploits de día cero diferentes en 2015, una hazaña técnica que requeriría que un gran número de programadores buscaran vulnerabilidades previamente desconocidas en software comercial de primera línea. Esto se considera una señal de que Fancy Bear es un programa estatal y no una pandilla o un hacker solitario. [95] [96]

Uno de los objetivos preferidos de Fancy Bear son los servicios de correo electrónico basados ​​en web. Un compromiso típico consistirá en que los usuarios de correo electrónico basados ​​en la web reciban un correo electrónico solicitando urgentemente que cambien sus contraseñas para evitar ser pirateados. El correo electrónico contendrá un enlace a un sitio web falso diseñado para imitar una interfaz de correo web real, los usuarios intentarán iniciar sesión y sus credenciales serán robadas. La URL a menudo se oculta como un enlace bit.ly abreviado [97] para pasar los filtros de spam . Fancy Bear envía estos correos electrónicos de phishing principalmente los lunes y viernes. También envían correos electrónicos que supuestamente contienen enlaces a noticias, pero en su lugar enlazan a sitios de descarga de malware que instalan kits de herramientas en la computadora del objetivo. [95] Fancy Bear también registra dominios que se parecen a sitios web legítimos y luego crea una falsificación del sitio para robar las credenciales de sus víctimas. [65] Se sabe que Fancy Bear transmite su tráfico de comandos a través de redes proxy de víctimas que ha comprometido previamente. [98]

El software que ha utilizado Fancy Bear incluye ADVSTORESHELL, CHOPSTICK, JHUHUGIT y XTunnel. Fancy Bear utiliza varios implantes, incluidos Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy y DownRange. [65] Basándose en los tiempos de compilación, FireEye concluyó que Fancy Bear ha actualizado constantemente su malware desde 2007. [98] Para evitar la detección, Fancy Bear regresa al entorno para cambiar sus implantes, cambia sus canales de comando y control y modifica su sistema persistente. métodos. [94] El grupo de amenazas implementa técnicas de contraanálisis para ofuscar su código . Añaden datos basura a cadenas codificadas, lo que dificulta la decodificación sin el algoritmo de eliminación de basura. [98] Fancy Bear toma medidas para evitar el análisis forense de sus ataques, restableciendo las marcas de tiempo en los archivos y borrando periódicamente los registros de eventos. [sesenta y cinco]

Según una acusación del Fiscal Especial de los Estados Unidos, X-Agent fue "desarrollado, personalizado y supervisado" por el teniente capitán del GRU Nikolay Yuryevich Kozachek. [2]

Se sabe que Fancy Bear adapta los implantes a los entornos de destino, por ejemplo, reconfigurarlos para utilizar servidores de correo electrónico locales. [98] En agosto de 2015, Kaspersky Lab detectó y bloqueó una versión del implante ADVSTORESHELL que se había utilizado para atacar a contratistas de defensa. Una hora y media después del bloqueo, los actores de Fancy Bear habían compilado y entregado una nueva puerta trasera para el implante. [26]

Educación

La Unidad 26165 participó en el diseño del plan de estudios en varias escuelas públicas de Moscú, incluida la Escuela 1101. [99]

Personas relacionadas

Fancy Bear a veces crea personajes en línea para sembrar desinformación, desviar culpas y crear una negación plausible de sus actividades. [100]

Guccifer 2.0

Una persona en línea que apareció por primera vez y se atribuyó la responsabilidad de los ataques al Comité Nacional Demócrata el mismo día que se supo que Fancy Bear era el responsable. [101] Guccifer 2.0 afirma ser un hacker rumano , pero cuando lo entrevistó la revista Placa base , les hicieron preguntas en rumano y parecían no poder hablar el idioma. [102] Algunos documentos que han publicado parecen ser falsificaciones improvisadas a partir de material de ataques anteriores e información disponible públicamente, y luego sazonadas con desinformación. [102]

Equipo de pirateo de Fancy Bears

Un sitio web creado para filtrar documentos tomados en los ataques de la AMA y la IAAF fue presentado con un breve manifiesto fechado el 13 de septiembre de 2016, proclamando que el sitio es propiedad del "equipo de piratería de Fancy Bears", que, según decía, era un "equipo de piratería internacional". que "defienden el juego limpio y el deporte limpio". [103] El sitio asumió la responsabilidad de piratear la AMA y prometió que proporcionaría "pruebas sensacionales de atletas famosos que consumían sustancias dopantes", comenzando con el equipo olímpico de EE. UU., del que, según dijo, "deshonró su nombre con victorias manchadas". [103] La AMA dijo que algunos de los documentos filtrados bajo este nombre eran falsificaciones y que los datos habían sido modificados. [104] [103]

Anónimo Polonia

Una cuenta de Twitter denominada "Polonia anónima" (@anpoland) se atribuyó el ataque a la Agencia Mundial Antidopaje [105] y difundió datos robados del Tribunal de Arbitraje Deportivo , un objetivo secundario. [106] [107] ThreatConnect apoya la opinión de que Anonymous Polonia es un títere de Fancy Bear, y señala el cambio desde un enfoque histórico en la política interna. Un video de captura de pantalla subido por Anonymous Polonia muestra una cuenta con configuración de idioma polaco, pero el historial de su navegador mostró que habían realizado búsquedas en Google.ru (Rusia) y Google.com (EE. UU.), pero no en Google.pl (Polonia). . [106]

Ver también

Notas

1. ^ Según la empresa de ciberseguridad FireEye, Fancy Bear utiliza un conjunto de herramientas que se han actualizado con frecuencia desde 2007 o incluso 2004. [95] Trend Micro dijo que pueden rastrear las actividades de Pawn Storm hasta 2004. [108]
2. ^ Aleksei Sergeyevich Morenets (Моренец Алексей Сергеевич), Evgenii Mikhaylovich Serebriakov, Ivan Sergeyevich Yermakov (Ермаков Иван Сергеевич), Artem Andreyevich Malyshev (Малышев Артём Андреевич) ), Dmitriy Sergeyevich Badin (Бадин Дмитрий Сергеевич, Oleg Mikhaylovich Sotnikov (Олег Михайлович Сотников) , Alexey Valerevich Minin (Алексей Валерьевич Минин) [86]

Referencias

  1. ^ abcd Ward, Vicky (24 de octubre de 2016). "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin". Esquire.com . Archivado desde el original el 26 de enero de 2018 . Consultado el 13 de diciembre de 2016 .
  2. ^ abcd Poulson, Kevin (21 de julio de 2018). "Mueller finalmente resuelve los misterios sobre los piratas informáticos 'Fancy Bear' de Rusia". La bestia diaria . Archivado desde el original el 23 de julio de 2018 . Consultado el 21 de julio de 2018 .
  3. ^ ab "Acusar a 12 piratas informáticos rusos podría ser el mayor movimiento de Mueller hasta ahora". Cableado . Archivado desde el original el 13 de julio de 2018 . Consultado el 4 de octubre de 2018 .
  4. ^ DimitrisGritzalis, Marianthi Theocharidou, George Stergiopoulos (10 de enero de 2019). Seguridad y resiliencia de infraestructuras críticas: teorías, métodos, herramientas... Springer, 2019. ISBN 9783030000240.
  5. ^ "SEGURIDAD INTERNACIONAL Y ESTONIA" (PDF) . Valisluureamet.ee . 2018. Archivado desde el original (PDF) el 26 de octubre de 2020 . Consultado el 4 de octubre de 2018 .
  6. ^ "Conozca a Fancy Bear y Cozy Bear, grupos rusos culpados por el hackeo del DNC". El Monitor de la Ciencia Cristiana . 15 de junio de 2016. Archivado desde el original el 8 de abril de 2022 . Consultado el 4 de octubre de 2018 .
  7. ^ Wintour, Patrick (3 de octubre de 2018). "El Reino Unido acusa al Kremlin de ordenar una serie de ciberataques 'imprudentes'". el guardián . Archivado desde el original el 9 de julio de 2022 . Consultado el 4 de octubre de 2018 .
  8. ^ Threat Group-4127 apunta a la campaña presidencial de Hillary Clinton. Secureworks.com (Reporte). 16 de junio de 2016. Archivado desde el original el 20 de julio de 2016 . Consultado el 22 de diciembre de 2016 . y está recopilando información de inteligencia en nombre del gobierno ruso.
  9. ^ "Operaciones cibernéticas rusas con esteroides". Threatconnect.com . 19 de agosto de 2016. Archivado desde el original el 23 de diciembre de 2016 . Consultado el 22 de diciembre de 2016 . Tácticas rusas de FANCY BEAR
  10. ^ ab "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?". Fireeye.com . 27 de octubre de 2016. Archivado desde el original el 11 de septiembre de 2016 . Consultado el 1 de septiembre de 2015 . Consideramos que lo más probable es que APT28 esté patrocinado por el gobierno ruso.
  11. ^ "Investigación sobre unidades militares rusas involucradas en operaciones psicológicas (PSYOP) y ataques de piratería - Molfar". molfar.com . Consultado el 24 de julio de 2023 .
  12. ^ "Rusia acusa a Ucrania de ataques con aviones no tripulados en Moscú - DW - 24/07/2023" . dw.com . Consultado el 24 de julio de 2023 .
  13. ^ "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin". Esquire.com . 2016-10-24. Archivado desde el original el 26 de enero de 2018 . Consultado el 7 de mayo de 2017 .
  14. ^ Hern, Alex (8 de mayo de 2017). "Los piratas informáticos de Macron vinculados al grupo afiliado a Rusia detrás del ataque estadounidense". el guardián . Archivado desde el original el 13 de abril de 2018 . Consultado el 16 de marzo de 2018 .
  15. ^ Gogolinski, Jim (22 de octubre de 2014). "Operación Tormenta de Peones: El Rojo en SEDNIT". Tendencia Micro. Archivado desde el original el 8 de septiembre de 2015 . Consultado el 1 de septiembre de 2015 .
  16. ^ "Operación Pawn Storm: uso de señuelos para evadir la detección" (PDF) . Tendencia Micro. 2014. Archivado (PDF) desde el original el 13 de septiembre de 2016 . Consultado el 1 de septiembre de 2015 .
  17. ^ Menn, Joseph (18 de abril de 2015). "Los ciberatacantes rusos utilizaron dos fallas desconocidas: empresa de seguridad". Reuters . Archivado desde el original el 29 de junio de 2021 . Consultado el 5 de julio de 2021 .
  18. ^ Kumar, Mohit (30 de octubre de 2014). "APT28 - Grupo de hackers rusos patrocinado por el estado". Las noticias de los piratas informáticos . Archivado desde el original el 22 de octubre de 2015 . Consultado el 1 de septiembre de 2015 .
  19. ^ Mamiit, Aaron (30 de octubre de 2014). "Conozca APT28, malware respaldado por Rusia para recopilar inteligencia de gobiernos y ejércitos: informe". Tiempos tecnológicos . Archivado desde el original el 14 de agosto de 2016 . Consultado el 1 de septiembre de 2015 .
  20. ^ "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?". FireEye.com . 27 de octubre de 2014. Archivado desde el original el 11 de septiembre de 2016 . Consultado el 1 de septiembre de 2015 .
  21. ^ Weissman, Cale Guthrie (11 de junio de 2015). "Francia: piratas informáticos rusos se hicieron pasar por ISIS para piratear una emisora ​​de televisión francesa". Business Insider . Archivado desde el original el 16 de agosto de 2016 . Consultado el 1 de septiembre de 2015 .
  22. ^ abcd Satter, Rafael; Donn, Jeff; Myers, Justin (2 de noviembre de 2017). "La lista de objetivos digitales muestra que la piratería rusa fue mucho más allá de las elecciones estadounidenses". Tribuna de Chicago . AP. Archivado desde el original el 9 de noviembre de 2017 . Consultado el 10 de noviembre de 2017 .
  23. ^ Yadron, Danny (28 de octubre de 2014). "El rastro de la piratería conduce a Rusia, dicen los expertos". El periodico de Wall Street . Archivado desde el original el 19 de mayo de 2017 . Consultado el 7 de marzo de 2017 .
  24. ^ "Comey del FBI: los republicanos también fueron pirateados por Rusia | CNN Politics". CNN . 10 de enero de 2017.
  25. ^ SATTER, RAFAEL; DONN, JEFF (1 de noviembre de 2017). "Los piratas informáticos rusos persiguieron a los enemigos de Putin, no sólo a los demócratas estadounidenses". Informe mundial y de noticias de EE. UU . Associated Press . Archivado desde el original el 12 de diciembre de 2017 . Consultado el 2 de noviembre de 2017 .
  26. ^ ab Equipo de análisis e investigación global de Kaspersky Lab (4 de diciembre de 2015). "Sofacy APT alcanza objetivos de alto perfil con un conjunto de herramientas actualizado: Securelist". Lista segura . Archivado desde el original el 27 de mayo de 2017 . Consultado el 13 de diciembre de 2016 .
  27. ^ "Los piratas informáticos rusos cazaron periodistas en una campaña que duró años". Anunciante estrella . Honolulú. Associated Press. 22 de diciembre de 2017. Archivado desde el original el 23 de diciembre de 2017 . Consultado el 23 de diciembre de 2017 .
  28. ^ "Hackers rusos sospechosos de ciberataque al Parlamento alemán". Sureste de Londres . Noticias de la Alianza. 19 de junio de 2015. Archivado desde el original el 7 de marzo de 2016 . Consultado el 1 de septiembre de 2015 .
  29. ^ "Alemania emite orden de arresto para sospechoso ruso en hackeo al Parlamento: periódico". Los New York Times . Reuters. 5 de mayo de 2020. Archivado desde el original el 5 de mayo de 2020 . Consultado el 5 de mayo de 2020 .
  30. ^ Bennhold, Katrin (13 de mayo de 2020). "Merkel está 'indignada' por el hackeo ruso, pero lucha por responder". Los New York Times . Archivado desde el original el 14 de mayo de 2020 . Consultado el 14 de mayo de 2020 .
  31. ^ ab "Hackers al acecho, dijeron los parlamentarios". Deutsche Welle. Archivado desde el original el 21 de abril de 2021 . Consultado el 21 de septiembre de 2016 .
  32. ^ "Hackerangriff auf deutsche Parteien". Süddeutsche Zeitung . Archivado desde el original el 21 de abril de 2021 . Consultado el 21 de septiembre de 2016 .
  33. ^ Holanda, Martin (20 de septiembre de 2016). "Angeblich versuchter Hackerangriff auf Bundestag und Parteien". Heise. Archivado desde el original el 1 de abril de 2019 . Consultado el 21 de septiembre de 2016 .
  34. ^ "Wir haben Fingerabdrücke". Frankfurter Allgemeine . Archivado desde el original el 22 de marzo de 2019 . Consultado el 21 de septiembre de 2016 .
  35. ^ "Hackers rusos que se hicieron pasar por militantes de ISIS amenazaron a esposas de militares". Talkingpointsmemo.com . 8 de mayo de 2018. Archivado desde el original el 12 de julio de 2018 . Consultado el 4 de octubre de 2018 .
  36. ^ abc "Los piratas informáticos rusos se hicieron pasar por EI para amenazar a las esposas de militares". Tribuna de Chicago . Archivado desde el original el 12 de junio de 2018 . Consultado el 7 de junio de 2018 .
  37. ^ Brown, Jennings (8 de mayo de 2018). "Informe: Hackers rusos se hacen pasar por ISIS para atacar a esposas de militares estadounidenses". gizmodo.com . Archivado desde el original el 12 de junio de 2018 . Consultado el 4 de octubre de 2018 .
  38. ^ "Los piratas informáticos rusos se hicieron pasar por EI para amenazar a las esposas de militares". Apnews.com . 8 de mayo de 2018. Archivado desde el original el 17 de agosto de 2018 . Consultado el 4 de octubre de 2018 .
  39. ^ "Francia investiga el liderazgo ruso en el pirateo de TV5Monde: fuentes". Reuters . 10 de junio de 2015. Archivado desde el original el 19 de enero de 2016 . Consultado el 9 de julio de 2015 .
  40. ^ Red francesa pirateada expuso sus propias contraseñas durante una entrevista televisiva Archivado el 22 de julio de 2017 en Wayback Machine - arstechnica
  41. ^ abcd "Los piratas informáticos de Isil toman el control de la red TV5Monde de Francia en un ataque 'sin precedentes'". El Telégrafo diario . 9 de abril de 2015. Archivado desde el original el 9 de abril de 2015 . Consultado el 10 de abril de 2015 .
  42. ^ "Grupos de medios franceses celebrarán una reunión de emergencia después del ciberataque de Isis". El guardián . 9 de abril de 2015. Archivado desde el original el 10 de abril de 2015 . Consultado el 10 de abril de 2015 .
  43. ^ "La cadena de televisión francesa TV5Monde 'pirateada por el cibercalifato en un ataque sin precedentes' que reveló detalles personales de los soldados franceses". El independiente . 9 de abril de 2015. Archivado desde el original el 25 de septiembre de 2015 . Consultado el 9 de abril de 2015 .
  44. ^ abcd Suiche, Matt (10 de junio de 2017). "Lecciones del Hack de TV5Monde 2015". Tecnologías Comae. Archivado desde el original el 13 de junio de 2017.
  45. ^ Gordon Corera (10 de octubre de 2016). "Cómo TV5 de Francia casi fue destruida por 'hackers rusos'". Noticias de la BBC . Archivado desde el original el 25 de junio de 2018 . Consultado el 21 de julio de 2018 .
  46. ^ Walker, Danielle (13 de mayo de 2015). "APT28 orquestó ataques contra el sector bancario mundial, según la empresa". Revista SC . Archivado desde el original el 2 de marzo de 2018 . Consultado el 1 de septiembre de 2015 .
  47. ^ "Empresa de seguridad redefine APT: amenaza de phishing africana". Krebs sobre seguridad. 20 de mayo de 2015. Archivado desde el original el 18 de julio de 2015 . Consultado el 1 de septiembre de 2015 .
  48. ^ "Ataque digital al Parlamento alemán: informe de investigación sobre el hackeo de la infraestructura del partido de izquierda en el Bundestag". netzpolitik.org . 19 de junio de 2015. Archivado desde el original el 22 de marzo de 2018 . Consultado el 16 de marzo de 2018 .
  49. ^ "No se encontró nada para los productos Orkos Dfd" (PDF) . www.root9b.com . Archivado (PDF) desde el original el 1 de marzo de 2018 . Consultado el 4 de octubre de 2018 .
  50. ^ Doctorow, Cory (28 de agosto de 2015). "Los phishers con presuntos vínculos con el gobierno ruso falsifican el dominio EFF falso y atacan la Casa Blanca". Boing Boing . Archivado desde el original el 22 de marzo de 2019 . Consultado el 1 de septiembre de 2015 .
  51. ^ Quintin, Cooper (27 de agosto de 2015). "La nueva campaña de Spear Phishing pretende ser EFF". Eff.org . Archivado desde el original el 7 de agosto de 2019 . Consultado el 1 de septiembre de 2015 .
  52. Jacinto Mascarenhas (23 de agosto de 2016). "Los piratas informáticos rusos 'Fancy Bear' probablemente violaron la agencia olímpica de pruebas de drogas y el Comité Nacional Demócrata, dicen los expertos". Tiempos de negocios internacionales . Archivado desde el original el 21 de abril de 2021 . Consultado el 13 de septiembre de 2016 .
  53. ^ "Lo que sabemos sobre el equipo de piratería de Fancy Bears". Noticias de la BBC . Archivado desde el original el 22 de marzo de 2019 . Consultado el 17 de septiembre de 2016 .
  54. ^ Gallagher, Sean (6 de octubre de 2016). "Los investigadores encuentran datos falsos en el antidopaje olímpico, Guccifer 2.0 Clinton descarta". Ars Técnica . Archivado desde el original el 14 de julio de 2017 . Consultado el 26 de octubre de 2016 .
  55. ^ Thielman, Sam (22 de agosto de 2016). "Los mismos piratas informáticos rusos probablemente violaron la agencia olímpica de pruebas de drogas y el Comité Nacional Demócrata". El guardián . Archivado desde el original el 15 de diciembre de 2016 . Consultado el 11 de diciembre de 2016 .
  56. ^ ab Meyer, Josh (14 de septiembre de 2016). "Los piratas informáticos rusos publican supuestos expedientes médicos de Simone Biles y Serena Williams". Noticias NBC . Archivado desde el original el 7 de mayo de 2020 . Consultado el 17 de abril de 2020 .
  57. ^ "Atletas estadounidenses atrapados por dopaje". Fancybear.net . 13 de septiembre de 2016. Archivado desde el original el 24 de diciembre de 2017 . Consultado el 2 de noviembre de 2016 .
  58. ^ Nakashima, Ellen (28 de septiembre de 2016). "Los piratas informáticos rusos acosaron a los periodistas que investigaban el accidente aéreo de Malaysia Airlines". El Washington Post . Archivado desde el original el 23 de abril de 2019 . Consultado el 26 de octubre de 2016 .
  59. ^ ThreatConnect (28 de septiembre de 2016). "ThreatConnect revisa la actividad dirigida a Bellingcat, un colaborador clave en la investigación del MH17". Conexión de amenazas . Archivado desde el original el 21 de abril de 2021 . Consultado el 26 de octubre de 2016 .
  60. ^ Feike Hacquebord (22 de octubre de 2015). "Pawn Storm apunta al equipo de investigación del MH17". Tendencia Micro . Archivado desde el original el 10 de noviembre de 2016 . Consultado el 4 de noviembre de 2016 .
  61. ^ "Rusia 'intentó piratear el sistema de investigación del MH17'". AFP. 23 de octubre de 2015. Archivado desde el original el 21 de agosto de 2018 . Consultado el 4 de noviembre de 2016 .
  62. ^ Sanger, David E.; Corasaniti, Nick (14 de junio de 2016). "El Comité Nacional Demócrata dice que los piratas informáticos rusos penetraron en sus archivos, incluido el expediente sobre Donald Trump". Los New York Times . Archivado desde el original el 25 de julio de 2019 . Consultado el 26 de octubre de 2016 .
  63. ^ ab Satter, Rafael; Donn, Jeff; Day, Chad (4 de noviembre de 2017). "Historia interna: cómo los rusos piratearon los correos electrónicos de los demócratas". Noticias AP . Archivado desde el original el 6 de noviembre de 2017 . Consultado el 10 de noviembre de 2017 .
  64. ^ ab "Oso sobre oso". El economista . 22 de septiembre de 2016. Archivado desde el original el 20 de mayo de 2017 . Consultado el 14 de diciembre de 2016 .
  65. ^ abcd Alperovitch, Dmitri (15 de junio de 2016). "Osos en medio: Intrusión en el Comité Nacional Demócrata »". Crowdstrike.com . Archivado desde el original el 24 de mayo de 2019 . Consultado el 13 de diciembre de 2016 .
  66. ^ "El ejército de Ucrania niega el ataque de piratería ruso". Yahoo! Noticias . 6 de enero de 2017. Archivado desde el original el 7 de enero de 2017 . Consultado el 6 de enero de 2017 .
  67. ^ Meyers, Adam (22 de diciembre de 2016). "Peligro cercano: seguimiento de osos elegantes de unidades de artillería de campaña ucranianas". Crowdstrike.com . Archivado desde el original el 1 de enero de 2017 . Consultado el 22 de diciembre de 2016 .
  68. ^ "El Ministerio de Defensa niega los informes de supuestas pérdidas de artillería debido a la irrupción del software por parte de piratas informáticos rusos". Interfax-Ucrania . 6 de enero de 2017. Archivado desde el original el 7 de enero de 2017 . Consultado el 6 de enero de 2017 .
  69. ^ Kuzmenko, Oleksiy; Cobus, Pete. "La empresa cibernética reescribe parte del controvertido informe sobre piratería rusa". Voanews.com . Archivado desde el original el 22 de diciembre de 2021 . Consultado el 26 de marzo de 2017 .
  70. ^ Gallagher, Sean (1 de noviembre de 2016). "Windows de día cero explotado por el mismo grupo detrás del hackeo de DNC". Ars Técnica . Archivado desde el original el 2 de noviembre de 2016 . Consultado el 2 de noviembre de 2016 .
  71. ^ Modderkolk, Huib (4 de febrero de 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries". De Volkskrant (en holandés). Archivado desde el original el 4 de febrero de 2017 . Consultado el 4 de febrero de 2017 .
  72. ^ Cluskey, Peter (3 de febrero de 2017). "Los holandeses optan por el recuento manual tras los informes de piratería rusa". Los tiempos irlandeses . Archivado desde el original el 19 de septiembre de 2020 . Consultado el 20 de febrero de 2020 .
  73. ^ Rogers, James (3 de abril de 2017). "El organismo internacional de atletismo IAAF fue pirateado y advierte que los datos de los atletas pueden verse comprometidos". Fox News . Archivado desde el original el 17 de mayo de 2017 . Consultado el 14 de mayo de 2017 .
  74. ^ "La IAAF dice que ha sido pirateada y se ha accedido a la información médica del atleta". Voz de America. Associated Press. 3 de abril de 2017. Archivado desde el original el 17 de mayo de 2017 . Consultado el 14 de mayo de 2017 .
  75. ^ Eric Auchard (24 de abril de 2017). "La campaña de Macron fue objeto de ciberataques por parte de un grupo vinculado al espionaje". Reuters.com . Archivado desde el original el 26 de abril de 2017 . Consultado el 27 de abril de 2017 .
  76. ^ Seddon, Max; Stothard, Michael (4 de mayo de 2017). "Putin espera el retorno de la inversión de Le Pen". Tiempos financieros . Archivado desde el original el 5 de mayo de 2017.
  77. ^ "Los piratas informáticos vinculados a Rusia apuntan a fundaciones políticas alemanas". Handelsblatt. 26 de abril de 2017. Archivado desde el original el 12 de agosto de 2018 . Consultado el 26 de abril de 2017 .
  78. ^ Matsakis, Louise (10 de enero de 2018). "Resumen de piratería: piratas informáticos rusos publican aparentes correos electrónicos del COI a raíz de la prohibición de los Juegos Olímpicos". Cableado . Archivado desde el original el 13 de enero de 2018 . Consultado el 12 de enero de 2018 .
  79. ^ Rebecca R. Ruiz, Rebecca Hackers rusos publican correos electrónicos robados en un nuevo esfuerzo por socavar a los investigadores de dopaje Archivado el 13 de enero de 2018 en Wayback Machine , The New York Times (10 de enero de 2018).
  80. ^ Nick Griffin, Performanta,[1] Archivado el 6 de febrero de 2018 en Wayback Machine (26 de enero de 2018).
  81. ^ Johnson, Simón; Swahnberg, Olof (15 de mayo de 2018). Pollard, Niklas; Lawson, Hugh (eds.). "El organismo deportivo sueco dice que la unidad antidopaje fue afectada por un ataque de piratería". Reuters . Archivado desde el original el 25 de mayo de 2018 . Consultado el 24 de mayo de 2018 .
  82. ^ "Microsoft 'detiene el hackeo político ruso'". Noticias de la BBC . 2018-08-21. Archivado desde el original el 21 de agosto de 2018 . Consultado el 21 de agosto de 2018 .
  83. ^ Smith, Brad (21 de agosto de 2018). "Estamos tomando nuevas medidas contra las crecientes amenazas a la democracia". Microsoft . Archivado desde el original el 21 de agosto de 2018 . Consultado el 22 de agosto de 2018 .
  84. ^ abc Raphael Satter (27 de agosto de 2018). "Los ciberespías rusos pasaron años atacando al clero ortodoxo". Bloomberg. Associated Press. Archivado desde el original el 29 de agosto de 2018 . Consultado el 28 de agosto de 2018 .
  85. ^ abc "Estados Unidos acusa a oficiales rusos del GRU de piratería internacional y operaciones relacionadas de influencia y desinformación" (Presione soltar). Departamento de Justicia de los Estados Unidos. Archivado desde el original el 4 de octubre de 2018 . Consultado el 28 de noviembre de 2018 .
  86. ^ ab Brady, Scott W. "Acusación 7 oficiales de GRU_octubre de 2018" (PDF) . Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Pensilvania . Archivado (PDF) desde el original el 8 de junio de 2020 . Consultado el 8 de julio de 2018 .
  87. ^ Dwoskin, Elizabeth; Timberg, Craig (19 de febrero de 2019). "Microsoft dice que ha encontrado otra operación rusa dirigida a destacados grupos de expertos". El Washington Post . Archivado desde el original el 22 de febrero de 2019 . Consultado el 22 de febrero de 2019 . Los ataques de "phishing" (en los que los piratas informáticos envían correos electrónicos falsos destinados a engañar a las personas para que visiten sitios web que parecen auténticos pero que en realidad les permiten infiltrarse en los sistemas informáticos corporativos de sus víctimas) estaban vinculados al grupo de piratas informáticos APT28, una unidad de Inteligencia militar rusa que interfirió en las elecciones estadounidenses de 2016. El grupo se dirigió a más de 100 empleados europeos del Fondo Marshall Alemán, el Instituto Aspen de Alemania y el Consejo Alemán de Relaciones Exteriores, grupos influyentes que se centran en cuestiones de política transatlántica.
  88. ^ Burt, Tom (20 de febrero de 2019). "Nuevos pasos para proteger a Europa de las continuas amenazas cibernéticas". Microsoft . Archivado desde el original el 20 de febrero de 2019 . Consultado el 22 de febrero de 2019 . Los ataques contra estas organizaciones, que divulgamos con su permiso, se dirigieron a 104 cuentas pertenecientes a empleados de organizaciones ubicados en Bélgica, Francia, Alemania, Polonia, Rumania y Serbia. MSTIC continúa investigando las fuentes de estos ataques, pero estamos seguros de que muchos de ellos se originaron en un grupo que llamamos Estroncio. Los ataques ocurrieron entre septiembre y diciembre de 2018. Notificamos rápidamente a cada una de estas organizaciones cuando descubrimos que habían sido atacadas para que pudieran tomar medidas para proteger sus sistemas, y tomamos una variedad de medidas técnicas para proteger a los clientes de estos ataques.
  89. ^ Tucker, Patrick (20 de febrero de 2019). "Los ataques rusos afectaron los correos electrónicos de los think tanks europeos y estadounidenses, dice Microsoft". Defensa Uno . Archivado desde el original el 7 de abril de 2019 . Consultado el 7 de abril de 2019 .
  90. ^ "Microsoft dice que los piratas informáticos rusos apuntaron a los think tanks europeos". Bloomberg . 2019-02-20. Archivado desde el original el 7 de abril de 2019 . Consultado el 7 de abril de 2019 .
  91. ^ "Kyberútok na českou diplomacii způsobil cizí stát, potvrdil Senátu NÚKIB". iDNES.cz . 2019-08-13. Archivado desde el original el 6 de noviembre de 2020 . Consultado el 15 de septiembre de 2020 .
  92. ^ Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019 (PDF) . NÚKIB. 2020. Archivado (PDF) desde el original el 17 de septiembre de 2020 . Consultado el 15 de septiembre de 2020 .
  93. ^ "Noruega dice que hay grupos rusos 'probablemente' detrás del ciberataque al Parlamento". 8 de diciembre de 2020. Archivado desde el original el 16 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
  94. ^ ab Robinson, Teri (14 de junio de 2016). "Los piratas informáticos rusos acceden a los archivos de Trump en el hackeo del DNC". Revista SC EE. UU . Archivado desde el original el 20 de diciembre de 2016 . Consultado el 13 de diciembre de 2016 .
  95. ^ abc Thielman, Sam; Ackerman, Spencer (29 de julio de 2016). "Cozy Bear y Fancy Bear: ¿los rusos piratearon el partido demócrata y, de ser así, por qué?". El guardián . ISSN  0261-3077. Archivado desde el original el 15 de diciembre de 2016 . Consultado el 12 de diciembre de 2016 .
  96. ^ Cluley, Graham (20 de octubre de 2016). "Un nuevo artículo de investigación de ESET pone a Sednit bajo el microscopio". VivimosLaSeguridad . Archivado desde el original el 25 de octubre de 2016 . Consultado el 26 de octubre de 2016 .
  97. ^ Frenkel, Sheera (15 de octubre de 2016). "Conozca a Fancy Bear, el grupo ruso que piratea las elecciones estadounidenses". BuzzFeed . Archivado desde el original el 15 de junio de 2018 . Consultado el 2 de noviembre de 2016 .
  98. ^ abcd "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?" (PDF) . Fireeye.com . 2014. Archivado desde el original (PDF) el 10 de enero de 2017 . Consultado el 13 de diciembre de 2016 .
  99. ^ Troianovski, Antón ; Nakashima, Ellen ; Harris, Shane (28 de diciembre de 2018). "Cómo la agencia de inteligencia militar de Rusia se convirtió en el músculo encubierto en los duelos de Putin con Occidente". El Washington Post . Archivado desde el original el 29 de diciembre de 2018.
  100. ^ "Hacktivistas versus falsotivistas: osos elegantes disfrazados". Threatconnect.com . 13 de diciembre de 2016. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
  101. ^ Koebler, Jason (15 de junio de 2016). "'Guccifer 2.0 'se atribuye la responsabilidad del hackeo de DNC y publica documentos para demostrarlo ". Tarjeta madre . Archivado desde el original el 4 de noviembre de 2016 . Consultado el 3 de noviembre de 2016 .
  102. ^ ab Franceschi-Bicchierai, Lorenzo (4 de octubre de 2016). "'Guccifer 2.0 'nos está mintiendo sobre su presunto hackeo a la Fundación Clinton ". Tarjeta madre . Archivado desde el original el 4 de noviembre de 2016 . Consultado el 3 de noviembre de 2016 .
  103. ^ abc Bartlett, Evan (26 de marzo de 2018). "Fancy Bears: ¿Quiénes son el turbio grupo de hackers que expone el dopaje, el encubrimiento y la corrupción en el deporte?". El independiente. Archivado desde el original el 25 de mayo de 2018 . Consultado el 24 de mayo de 2018 .
  104. ^ BBC (5 de octubre de 2016). "Los datos de dopaje de Fancy Bears 'pueden haber sido modificados', dice Wada". BBC. Archivado desde el original el 4 de noviembre de 2016 . Consultado el 3 de noviembre de 2016 .
  105. ^ Nance, Malcolm (2016). El complot para piratear Estados Unidos: cómo los ciberespías de Putin y WikiLeaks intentaron robar las elecciones de 2016 . Publicación Skyhorse. ISBN 978-1-5107-2333-7.
  106. ^ ab Cimpanu, Catalin (23 de agosto de 2016). "Rusia detrás de los hackeos de la Agencia Mundial Antidopaje y las Cortes Deportivas Internacionales". Softpedia . Archivado desde el original el 21 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
  107. ^ "Sitio de la Agencia Mundial Antidopaje pirateado; miles de cuentas filtradas". HackLeer . 12 de agosto de 2016. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
  108. ^ Feike Hacquebord (2017). Dos años de tormenta de peones: examinando una amenaza cada vez más relevante (PDF) (Reporte). Tendencia Micro. Archivado (PDF) desde el original el 5 de julio de 2017 . Consultado el 27 de abril de 2017 .

enlaces externos