Oso de lujo

Grupo de ciberespionaje patrocinado por el Estado ruso

Fancy Bear ^[b] es un grupo ruso de ciberespionaje . La firma de ciberseguridad CrowdStrike ha dicho con un nivel medio de confianza que está asociada con la agencia de inteligencia militar rusa GRU . ^{[7] [8]} El Ministerio de Relaciones Exteriores y de la Commonwealth del Reino Unido ^[9], así como las firmas de seguridad SecureWorks , ^[10] ThreatConnect , ^[11] y Mandiant , ^{[12] también han dicho que el grupo está patrocinado por el gobierno ruso. En 2018, una acusación formal del} Fiscal Especial de los Estados Unidos identificó a Fancy Bear como la Unidad GRU 26165. ^{[5] [4] Esto se refiere a su} Número de Unidad Militar unificado de los regimientos del ejército ruso. La sede de Fancy Bear y toda la unidad militar, que supuestamente se especializa en ciberataques patrocinados por el estado y descifrado de datos pirateados, [ ^13] fueron atacados por drones ucranianos el 24 de julio de 2023, el techo de un edificio adyacente se derrumbó como resultado de la explosión. ^{[14] [15]}

FireEye clasifica a Fancy Bear como una amenaza persistente avanzada . ^[12] Entre otras cosas, utiliza exploits de día cero , phishing selectivo y malware para comprometer objetivos. El grupo promueve los intereses políticos del gobierno ruso y es conocido por piratear correos electrónicos del Comité Nacional Demócrata para intentar influir en el resultado de las elecciones presidenciales de Estados Unidos de 2016.

El nombre "Fancy Bear" proviene de un sistema de codificación que el investigador de seguridad Dmitri Alperovitch utiliza para identificar a los piratas informáticos. ^[16]

Es probable que Fancy Bear haya estado en activo desde mediados de la década de 2000 y sus métodos son compatibles con las capacidades de los actores estatales. El grupo tiene como blanco a organizaciones gubernamentales, militares y de seguridad, especialmente a los estados de Transcaucasia y alineados con la OTAN . Se cree que Fancy Bear es responsable de ciberataques al parlamento alemán , al parlamento noruego , a la cadena de televisión francesa TV5Monde , a la Casa Blanca , a la OTAN, al Comité Nacional Demócrata , a la Organización para la Seguridad y la Cooperación en Europa y a la campaña del candidato presidencial francés Emmanuel Macron . ^[17]

Informes de descubrimiento y seguridad

Trend Micro designó a los actores detrás del malware Sofacy como Operation Pawn Storm el 22 de octubre de 2014. ^[18] El nombre se debió al uso por parte del grupo de "dos o más herramientas/tácticas conectadas para atacar un objetivo específico similar a la estrategia del ajedrez", ^[19] conocida como pawn storm .

La empresa de seguridad de redes FireEye publicó un informe detallado sobre Fancy Bear en octubre de 2014. El informe designó al grupo como "Advanced Persistent Threat 28" (APT28) y describió cómo el grupo de piratas informáticos utilizó exploits de día cero del sistema operativo Microsoft Windows y Adobe Flash . ^[20] El informe encontró detalles operativos que indicaban que la fuente es un "patrocinador del gobierno con sede en Moscú". La evidencia recopilada por FireEye sugirió que el malware de Fancy Bear se compiló principalmente en un entorno de compilación en idioma ruso y se produjo principalmente durante las horas de trabajo paralelas a la zona horaria de Moscú . ^[21] La directora de inteligencia de amenazas de FireEye, Laura Galante, se refirió a las actividades del grupo como "espionaje estatal" ^[22] y dijo que los objetivos también incluyen "medios de comunicación o personas influyentes". ^{[23] [24]}

El nombre "Fancy Bear" deriva del sistema de codificación que la empresa CrowdStrike de Dmitri Alperovitch utiliza para los grupos de hackers. "Bear" indica que los hackers son de Rusia. "Fancy" hace referencia a "Sofacy", una palabra del malware que le recordó al analista que lo encontró la canción " Fancy " de Iggy Azalea . ^[3]

Ataques

Los objetivos de Fancy Bear han incluido a los gobiernos y ejércitos de Europa del Este, el país de Georgia y el Cáucaso , Ucrania, ^[25] organizaciones relacionadas con la seguridad como la OTAN , así como a los contratistas de defensa estadounidenses Academi (antes conocida como Blackwater y Xe Services), Science Applications International Corporation (SAIC), ^[26] Boeing, Lockheed Martin y Raytheon. ^[25] Fancy Bear también ha atacado a ciudadanos de la Federación Rusa que son enemigos políticos del Kremlin, incluido el ex magnate petrolero Mikhail Khodorkovsky y Maria Alekhina de la banda Pussy Riot . ^[25] SecureWorks, una empresa de ciberseguridad con sede en los Estados Unidos, concluyó que desde marzo de 2015 hasta mayo de 2016, la lista de objetivos de "Fancy Bear" incluía no solo al Comité Nacional Demócrata de los Estados Unidos y también al Comité Nacional Republicano, ^[27] sino también a decenas de miles de enemigos de Putin y el Kremlin en los Estados Unidos, Ucrania, Rusia, Georgia y Siria. Sin embargo, solo un puñado de republicanos fueron atacados. ^[28] Un análisis de AP de 4.700 cuentas de correo electrónico que habían sido atacadas por Fancy Bear concluyó que ningún otro país además de Rusia estaría interesado en hackear tantos objetivos tan diferentes que parecían no tener nada más en común que el hecho de ser de interés para el gobierno ruso. ^[25]

Fancy Bear también parece intentar influir en los acontecimientos políticos para que los amigos o aliados del gobierno ruso ganen poder.

Entre 2011 y 2012, el malware de primera etapa de Fancy Bear fue el implante "Sofacy" o SOURFACE. Durante 2013, Fancy Bear agregó más herramientas y puertas traseras, entre ellas CHOPSTICK, CORESHELL, JHUHUGIT y ADVSTORESHELL. ^[29]

Ataques a periodistas

Desde mediados de 2014 hasta el otoño de 2017, Fancy Bear atacó a numerosos periodistas de Estados Unidos, Ucrania, Rusia, Moldavia, los países bálticos y otros países que habían escrito artículos sobre Vladimir Putin y el Kremlin. Según Associated Press y SecureWorks, este grupo de periodistas es el tercer grupo más grande atacado por Fancy Bear después del personal diplomático y los demócratas estadounidenses. La lista de objetivos de Fancy Bear incluye a Adrian Chen , la periodista armenia Maria Titizian, Eliot Higgins de Bellingcat , Ellen Barry y al menos otros 50 periodistas del New York Times , al menos 50 corresponsales extranjeros con base en Moscú que trabajaban para medios de comunicación independientes, Josh Rogin , un columnista del Washington Post , Shane Harris , un escritor del Daily Beast que en 2015 cubrió temas de inteligencia, Michael Weiss , un analista de seguridad de CNN, Jamie Kirchick de la Brookings Institution , 30 medios de comunicación en Ucrania, muchos de ellos en el Kyiv Post , periodistas que cubrieron la guerra respaldada por Rusia en el este de Ucrania , así como en Rusia, donde la mayoría de los periodistas atacados por los piratas informáticos trabajaban para noticias independientes (por ejemplo, Novaya Gazeta o Vedomosti ), como Ekaterina Vinokurova en Znak.com y los periodistas rusos convencionales Tina Kandelaki , Ksenia Sobchak y el presentador de televisión ruso Pavel Lobkov, todos los cuales trabajaban para TV Rain . ^[30]

Ataques alemanes (desde 2014)

Se cree que Fancy Bear fue responsable de un ciberataque de seis meses de duración contra el parlamento alemán que comenzó en diciembre de 2014. ^[31] El 5 de mayo de 2020, los fiscales federales alemanes emitieron una orden de arresto contra Dimitri Badin en relación con los ataques. ^[32] El ataque paralizó por completo la infraestructura informática del Bundestag en mayo de 2015. Para resolver la situación, todo el parlamento tuvo que desconectarse durante días. Los expertos en informática estiman que se descargaron un total de 16 gigabytes de datos del Parlamento como parte del ataque. ^[33]

También se sospecha que el grupo está detrás de un ataque de phishing en agosto de 2016 contra miembros del Bundestag y varios partidos políticos como el líder de la facción Linken, Sahra Wagenknecht , Junge Union y la CDU de Saarland . ^{[34] [35] [36] [37]} Las autoridades temían que los piratas informáticos pudieran recopilar información confidencial para luego manipular al público antes de elecciones como las próximas elecciones federales de Alemania, que se celebrarían en septiembre de 2017. ^[34]

Amenazas de muerte a esposas de militares estadounidenses (10 de febrero de 2015)

Cinco esposas de militares estadounidenses recibieron amenazas de muerte de un grupo de hackers que se autodenomina "CyberCaliphate", que afirma ser un afiliado del Estado Islámico, el 10 de febrero de 2015. ^{[38] [39] [40] [41]} Más tarde se descubrió que se trataba de un ataque de falsa bandera por parte de Fancy Bear, cuando se descubrió que las direcciones de correo electrónico de las víctimas estaban en la lista de objetivos de phishing de Fancy Bear. ^[39] También se sabe que los trolls rusos de las redes sociales exageran y difunden rumores sobre la amenaza de posibles ataques terroristas del Estado Islámico en suelo estadounidense para sembrar miedo y tensión política. ^[39]

Hackeo de la televisión francesa (abril de 2015)

El 8 de abril de 2015, la cadena de televisión francesa TV5Monde fue víctima de un ciberataque por parte de un grupo de piratas informáticos que se autodenominaba "CyberCaliphate" y que afirmaba tener vínculos con la organización terrorista Estado Islámico de Irak y el Levante (EIIL). Los investigadores franceses descartaron posteriormente la teoría de que los islamistas militantes estuvieran detrás del ciberataque y sospecharon en su lugar de la participación de Fancy Bear. ^[42]

Los piratas informáticos violaron los sistemas internos de la red, posiblemente con la ayuda de contraseñas difundidas abiertamente por TV5, ^[43] anulando la programación de transmisión de los 12 canales de la compañía durante más de tres horas. ^[44] El servicio solo se restableció parcialmente en las primeras horas de la mañana siguiente y los servicios de transmisión normales se interrumpieron hasta bien entrada la noche del 9 de abril. ^[44] Varios sistemas administrativos y de soporte internos informatizados, incluido el correo electrónico, también seguían cerrados o eran inaccesibles debido al ataque. ^{[45] [44]} Los piratas informáticos también secuestraron las páginas de Facebook y Twitter de TV5Monde para publicar información personal de familiares de soldados franceses que participaban en acciones contra ISIS, junto con mensajes críticos con el presidente François Hollande , argumentando que los ataques terroristas de enero de 2015 fueron "regalos" por su "error imperdonable" de participar en conflictos que "no sirven para nada". ^{[46] [44]}

El director general de TV5Monde, Yves Bigot, dijo más tarde que el ataque casi destruyó la empresa; si hubiera tardado más en restablecer las transmisiones, los canales de distribución por satélite probablemente habrían cancelado sus contratos. El ataque fue diseñado para ser destructivo, tanto de los equipos como de la propia empresa, en lugar de para la propaganda o el espionaje, como había sido el caso de la mayoría de los otros ataques cibernéticos. El ataque fue cuidadosamente planeado; la primera penetración conocida en la red fue el 23 de enero de 2015. ^[47] Los atacantes luego llevaron a cabo un reconocimiento de TV5Monde para comprender cómo transmitía sus señales, y construyeron un software malicioso a medida para corromper y destruir el hardware conectado a Internet que controlaba las operaciones de la estación de televisión, como los sistemas de codificación. Utilizaron siete puntos de entrada diferentes, no todos parte de TV5Monde o incluso en Francia: uno era una empresa con sede en los Países Bajos que suministraba las cámaras controladas a distancia utilizadas en los estudios de TV5. ^[47] Entre el 16 de febrero y el 25 de marzo, los atacantes recopilaron datos en las plataformas internas de TV5, incluida su Wiki interna de TI , y verificaron que las credenciales de inicio de sesión aún eran válidas. ^[47] Durante el ataque, los piratas informáticos ejecutaron una serie de comandos extraídos de los registros TACACS para borrar el firmware de los conmutadores y enrutadores . ^[47]

Aunque el ataque supuestamente procedía del EI, la agencia cibernética francesa le dijo a Bigot que dijera únicamente que los mensajes supuestamente procedían del EI. Más tarde le dijeron que se habían encontrado pruebas de que los atacantes eran el grupo de piratas informáticos rusos APT 28. No se encontró ninguna razón para el ataque a TV5Monde, y se desconoce la fuente de la orden de ataque y la financiación del mismo. Se ha especulado que probablemente se trataba de un intento de probar formas de ciberarmamento. El coste se estimó en 5 millones de euros (5,6 millones de dólares; 4,5 millones de libras esterlinas) en el primer año, seguido de un coste anual recurrente de más de 3 millones de euros (3,4 millones de dólares; 2,7 millones de libras esterlinas) para una nueva protección. La forma de trabajar de la empresa tuvo que cambiar, con la autenticación del correo electrónico, la comprobación de las unidades flash antes de la inserción, etc., en detrimento significativo de la eficiencia para una empresa de medios de comunicación que debe mover información. ^[48]

Informe de root9B (mayo de 2015)

La empresa de seguridad root9B publicó un informe sobre Fancy Bear en mayo de 2015 en el que anunciaba su descubrimiento de un ataque de phishing dirigido a instituciones financieras. El informe enumeraba las instituciones bancarias internacionales que fueron atacadas, entre ellas United Bank for Africa , Bank of America , TD Bank y UAE Bank. Según root9B, los preparativos para los ataques comenzaron en junio de 2014 y el malware utilizado "tenía firmas específicas que históricamente han sido exclusivas de una sola organización, Sofacy". ^[49] El periodista de seguridad Brian Krebs cuestionó la precisión de las afirmaciones de root9B, postulando que los ataques en realidad se habían originado a partir de phishers nigerianos. ^[50] En junio de 2015, el respetado investigador de seguridad Claudio Guarnieri publicó un informe basado en su propia investigación de un exploit atribuido a SOFACY contra el Bundestag alemán ^[51] y atribuyó a root9B el haber informado "la misma dirección IP utilizada como servidor de Comando y Control en el ataque contra el Bundestag (176.31.112.10)", y continuó diciendo que, según su examen del ataque al Bundestag, "al menos algunos" indicadores contenidos en el informe de root9B parecían precisos, incluida una comparación del hash de la muestra de malware de ambos incidentes. root9B publicó más tarde un informe técnico que comparaba el análisis de Claudio del malware atribuido a SOFACY con su propia muestra, lo que aumenta la veracidad de su informe original. ^[52]

Parodia de la EFF, la Casa Blanca y el ataque de la OTAN (agosto de 2015)

En agosto de 2015, Fancy Bear utilizó un exploit de día cero de Java , suplantando a la Electronic Frontier Foundation y lanzó ataques contra la Casa Blanca y la OTAN . Los piratas informáticos utilizaron un ataque de phishing dirigido, dirigiendo correos electrónicos a la URL falsa electronicfrontierfoundation.org. ^{[53] [54]}

Agencia Mundial Antidopaje (agosto de 2016)

En agosto de 2016, la Agencia Mundial Antidopaje informó de la recepción de correos electrónicos de phishing enviados a los usuarios de su base de datos que afirmaban ser comunicaciones oficiales de la AMA y solicitaban sus datos de acceso. Tras revisar los dos dominios proporcionados por la AMA, se descubrió que la información de registro y alojamiento de los sitios web coincidía con la del grupo de piratas informáticos ruso Fancy Bear. ^{[55] [56]} Según la AMA, algunos de los datos que los piratas informáticos publicaron habían sido falsificados. ^[57]

Debido a la evidencia de dopaje generalizado por parte de atletas rusos , la AMA recomendó que se prohibiera a los atletas rusos participar en los Juegos Olímpicos y Paralímpicos de Río 2016. Los analistas dijeron que creían que el hackeo fue en parte un acto de represalia contra la atleta rusa denunciante Yuliya Stepanova , cuya información personal fue revelada en la violación. ^[58] En agosto de 2016, la AMA reveló que sus sistemas habían sido violados, explicando que los piratas informáticos de Fancy Bear habían utilizado una cuenta creada por el Comité Olímpico Internacional (COI) para obtener acceso a su base de datos del Sistema de Administración y Gestión Antidopaje (ADAMS). ^[59] Luego, los piratas informáticos utilizaron el sitio web fancybear.net para filtrar lo que dijeron que eran los archivos de pruebas de drogas olímpicas de varios atletas que habían recibido exenciones de uso terapéutico, incluida la gimnasta Simone Biles , las tenistas Venus y Serena Williams y la jugadora de baloncesto Elena Delle Donne . ^[60] Los piratas informáticos se centraron en los atletas a los que la AMA les había concedido exenciones por diversas razones. Las filtraciones posteriores incluyeron a atletas de muchos otros países. ^[59]

Junta de Seguridad Holandesa y Bellingcat

Eliot Higgins y otros periodistas asociados con Bellingcat , un grupo que investiga el derribo del vuelo 17 de Malaysia Airlines sobre Ucrania, fueron el objetivo de numerosos correos electrónicos de phishing. Los mensajes eran avisos de seguridad falsos de Gmail con URL acortadas de Bit.ly y TinyCC. Según ThreatConnect , algunos de los correos electrónicos de phishing se habían originado en servidores que Fancy Bear había utilizado en ataques anteriores en otros lugares. Bellingcat es conocido por haber demostrado que Rusia es culpable del derribo del MH17, y los medios rusos lo ridiculizan con frecuencia. ^{[61] [62]}

El grupo atacó a la Junta de Seguridad Holandesa , el organismo que lleva a cabo la investigación oficial sobre el accidente, antes y después de la publicación del informe final de la junta. Configuraron servidores SFTP y VPN falsos para imitar los propios servidores de la junta, probablemente con el propósito de suplantar nombres de usuario y contraseñas. ^[63] Un portavoz de la DSB dijo que los ataques no tuvieron éxito. ^[64]

Comité Nacional Demócrata (2016)

Fancy Bear llevó a cabo ataques de phishing dirigidos a direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. ^{[65] [66]} El 10 de marzo, comenzaron a llegar correos electrónicos de phishing que estaban dirigidos principalmente a direcciones de correo electrónico antiguas de miembros del personal de la campaña demócrata de 2008. Una de estas cuentas puede haber proporcionado listas de contactos actualizadas. Al día siguiente, los ataques de phishing se expandieron a las direcciones de correo electrónico no públicas de funcionarios de alto nivel del Partido Demócrata. Las direcciones de Hillaryclinton.com fueron atacadas, pero requerían autenticación de dos factores para acceder. El ataque se redirigió a las cuentas de Gmail el 19 de marzo. La cuenta de Gmail de Podesta fue violada el mismo día, con 50.000 correos electrónicos robados. Los ataques de phishing se intensificaron en abril, ^[66] aunque los piratas informáticos parecieron volverse repentinamente inactivos durante el día 15 de abril, que en Rusia era un feriado en honor a los servicios de guerra electrónica del ejército. ^[67] El malware utilizado en el ataque envió datos robados a los mismos servidores que se utilizaron para el ataque del grupo en 2015 al parlamento alemán . ^[3]

El 14 de junio, CrowdStrike publicó un informe en el que publicitaba el ataque al DNC e identificaba a Fancy Bear como el culpable. Luego apareció un personaje en línea, Guccifer 2.0 , que se atribuyó el mérito exclusivo de la violación de datos. ^[68]

Otro sofisticado grupo de piratas informáticos atribuido a la Federación Rusa, apodado Cozy Bear , también estaba presente en los servidores del DNC al mismo tiempo. Sin embargo, los dos grupos parecían no tener conocimiento del otro, ya que cada uno robaba independientemente las mismas contraseñas y duplicaba sus esfuerzos. Cozy Bear parece ser una agencia diferente, una más interesada en el espionaje tradicional a largo plazo. ^[67] Un equipo forense de CrowdStrike determinó que, mientras que Cozy Bear había estado en la red del DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. ^[3]

Artillería ucraniana

Una versión infectada de una aplicación para controlar el obús D-30 habría sido distribuida a la artillería ucraniana

Según CrowdStrike, entre 2014 y 2016, el grupo utilizó malware para Android para atacar a las Fuerzas de Cohetes y Artillería del Ejército de Ucrania . Distribuyeron una versión infectada de una aplicación para Android cuyo propósito original era controlar los datos de selección de objetivos para la artillería del obús D-30 . La aplicación, utilizada por oficiales ucranianos, estaba cargada con el software espía X-Agent y publicada en línea en foros militares. CrowdStrike afirmó inicialmente que más del 80% de los obuses D-30 ucranianos fueron destruidos en la guerra, el porcentaje más alto de pérdida de cualquier pieza de artillería en el ejército (un porcentaje que nunca se había informado anteriormente y significaría la pérdida de casi todo el arsenal de la pieza de artillería más grande de las Fuerzas Armadas de Ucrania ^[69] ). ^[70] Según el ejército ucraniano, los números de CrowdStrike eran incorrectos y que las pérdidas en armas de artillería "estaban muy por debajo de las informadas" y que estas pérdidas "no tienen nada que ver con la causa declarada". ^[71] CrowdStrike ha revisado este informe después de que el Instituto Internacional de Estudios Estratégicos (IISS) desmintiera su informe original, alegando que los ataques de malware resultaron en pérdidas de entre el 15 y el 20 % en lugar de la cifra original del 80 %. ^[72]

Día cero de Windows (octubre de 2016)

El 31 de octubre de 2016, el Grupo de Análisis de Amenazas de Google reveló una vulnerabilidad de día cero en la mayoría de las versiones de Microsoft Windows que es objeto de ataques de malware activos. El 1 de noviembre de 2016, el vicepresidente ejecutivo del Grupo de Windows y Dispositivos de Microsoft, Terry Myerson, publicó en el Blog de Investigación y Respuesta a Amenazas de Microsoft, reconociendo la vulnerabilidad y explicando que una "campaña de phishing de bajo volumen" dirigida a usuarios específicos había utilizado "dos vulnerabilidades de día cero en Adobe Flash y el kernel de Windows de nivel inferior". Microsoft señaló a Fancy Bear como el actor de la amenaza, refiriéndose al grupo por su nombre en código interno STRONTIUM . ^[73]

Ministerios holandeses (febrero de 2017)

En febrero de 2017, el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos reveló que Fancy Bear y Cozy Bear habían intentado varias veces hackear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , director del AIVD, dijo en EenVandaag que los hackers eran rusos y habían intentado acceder a documentos secretos del gobierno. ^[74]

En una reunión informativa con el Parlamento, el Ministro del Interior y de Relaciones con el Reino de los Países Bajos, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. ^[75]

Hackeo de la IAAF (febrero de 2017)

Los funcionarios de la Asociación Internacional de Federaciones de Atletismo (IAAF) declararon en abril de 2017 que sus servidores habían sido pirateados por el grupo "Fancy Bear". El ataque fue detectado por la empresa de ciberseguridad Context Information Security, que identificó que el 21 de febrero se había producido un acceso remoto no autorizado a los servidores de la IAAF. La IAAF declaró que los piratas informáticos habían accedido a las solicitudes de Autorización de Uso Terapéutico , necesarias para utilizar medicamentos prohibidos por la AMA. ^{[76] [77]}

Elecciones alemanas y francesas (2016-2017)

En 2017, los investigadores de Trend Micro publicaron un informe que describe los intentos de Fancy Bear de atacar a grupos relacionados con las campañas electorales de Emmanuel Macron y Angela Merkel . Según el informe, atacaron la campaña de Macron con phishing e intentaron instalar malware en su sitio. La agencia de ciberseguridad del gobierno francés ANSSI confirmó que estos ataques tuvieron lugar, pero no pudo confirmar la responsabilidad de APT28. ^{[78] La campaña de} Marine Le Pen no parece haber sido el objetivo de APT28, lo que posiblemente indica la preferencia rusa por su campaña. Putin había promocionado anteriormente los beneficios para Rusia si Marine Le Pen fuera elegida. ^[79]

El informe dice que luego atacaron a la Fundación Konrad Adenauer y a la Fundación Friedrich Ebert , grupos asociados con la Unión Demócrata Cristiana de Angela Merkel y el Partido Socialdemócrata de la oposición , respectivamente. Fancy Bear instaló servidores de correo electrónico falsos a fines de 2016 para enviar correos electrónicos de phishing con enlaces a malware. ^[80]

Comité Olímpico Internacional (2018)

El 10 de enero de 2018, el personaje en línea "Fancy Bears Hack Team" filtró lo que parecían ser correos electrónicos robados del Comité Olímpico Internacional (COI) y del Comité Olímpico de los Estados Unidos , fechados entre fines de 2016 y principios de 2017, que se filtraron en aparente represalia por la prohibición del COI de los atletas rusos de los Juegos Olímpicos de Invierno de 2018 como sanción por el programa sistemático de dopaje de Rusia . El ataque se parece a las filtraciones anteriores de la Agencia Mundial Antidopaje (AMA). No se sabe si los correos electrónicos son completamente auténticos, debido al historial de Fancy Bear de salar correos electrónicos robados con desinformación. El modo de ataque tampoco se conocía, pero probablemente fue phishing. ^{[81] [82]}

Los expertos en seguridad cibernética también han afirmado que los ataques parecen haber tenido como objetivo a la empresa embotelladora de pruebas de drogas para deportes profesionales conocida como Berlinger Group. ^[83]

Confederación Sueca de Deportes

La Confederación Sueca de Deportes informó que Fancy Bear fue responsable de un ataque a sus computadoras, cuyo objetivo eran los registros de las pruebas de dopaje de los atletas. ^[84]

Grupos conservadores de Estados Unidos (2018)

La empresa de software Microsoft informó en agosto de 2018 que el grupo había intentado robar datos de organizaciones políticas como el Instituto Republicano Internacional y los centros de estudios Hudson Institute . Los ataques fueron frustrados cuando el personal de seguridad de Microsoft obtuvo el control de seis dominios de red . ^[85] En su anuncio, Microsoft informó que "actualmente no tenemos evidencia de que estos dominios se usaran en ningún ataque exitoso antes de que la DCU transfiriera el control de ellos, ni tenemos evidencia que indique la identidad de los objetivos finales de ningún ataque planificado que involucre a estos dominios". ^[86]

El Patriarcado Ecuménico y otros clérigos (agosto de 2018)

Según el informe de agosto de 2018 de Associated Press , Fancy Bear había estado apuntando durante años a la correspondencia por correo electrónico de los funcionarios del Patriarcado Ecuménico de Constantinopla encabezado por el Patriarca Ecuménico Bartolomé I. [ ^87] La ​​publicación apareció en un momento de mayores tensiones entre el Patriarcado Ecuménico, la más importante de todas las Iglesias Ortodoxas Orientales , y la Iglesia Ortodoxa Rusa (el Patriarcado de Moscú) sobre la cuestión de la plena independencia eclesiástica ( autocefalia ) para la Iglesia Ortodoxa en Ucrania , solicitada por el gobierno ucraniano. La publicación citó a expertos que dijeron que la concesión de la autocefalia a la Iglesia en Ucrania erosionaría el poder y el prestigio del Patriarcado de Moscú y socavaría sus reclamos de jurisdicción transnacional. ^[87] Los ataques cibernéticos también tuvieron como objetivo a cristianos ortodoxos en otros países, así como a musulmanes, judíos y católicos en los Estados Unidos, Ummah, un grupo paraguas para musulmanes ucranianos, el nuncio papal en Kiev y Yosyp Zisels, quien dirige la Asociación de Organizaciones y Comunidades Judías de Ucrania. ^[87]

Acusaciones en 2018

Cartel de búsqueda del FBI con oficiales acusados ​​en relación con Fancy Bear

En octubre de 2018, un gran jurado federal de Estados Unidos hizo pública una acusación formal contra siete hombres rusos, todos ^ellos oficiales del GRU, en relación con los ataques. La acusación formal establece que desde diciembre de 2014 hasta al menos mayo de 2018, los oficiales del GRU conspiraron para llevar a cabo "intrusiones informáticas persistentes y sofisticadas que afectaron a personas estadounidenses, entidades corporativas, organizaciones internacionales y sus respectivos empleados ubicados en todo el mundo, en función de su interés estratégico para el gobierno ruso". ^{[88] [89]} El Departamento de Justicia de Estados Unidos declaró que la conspiración, entre otros objetivos, tenía como objetivo "publicitar información robada como parte de una campaña de influencia y desinformación diseñada para socavar, tomar represalias y deslegitimar de otro modo" los esfuerzos de la Agencia Mundial Antidopaje , una organización internacional antidopaje que había publicado el Informe McLaren , un informe que expuso el dopaje extensivo de atletas rusos patrocinados por el gobierno ruso . ^[88] Los acusados ​​fueron acusados ​​de piratería informática , fraude electrónico , robo de identidad agravado y lavado de dinero . ^[88]

Ataques a centros de investigación en 2019

En febrero de 2019, Microsoft anunció que había detectado ataques de phishing de APT28, dirigidos a empleados del German Marshall Fund , Aspen Institute Germany y el German Council on Foreign Relations . ^{[90] [91]} Los piratas informáticos del grupo supuestamente enviaron correos electrónicos de phishing a 104 direcciones de correo electrónico en toda Europa en un intento de obtener acceso a las credenciales de los empleadores e infectar sitios con malware. ^{[92] [93]}

Institución estratégica checa 2019

En 2020, la Agencia Nacional de Seguridad Cibernética y de la Información checa  [cs] informó sobre un incidente de ciberespionaje en una institución estratégica no identificada, posiblemente el Ministerio de Asuntos Exteriores , ^[94] muy probablemente llevado a cabo por Fancy Bear. ^[95]

Ataque al Parlamento noruego en 2020

En agosto de 2020, el Storting noruego informó de un "ciberataque significativo" a su sistema de correo electrónico. En septiembre de 2020, la ministra de Asuntos Exteriores de Noruega , Ine Marie Eriksen Søreide , acusó a Rusia del ataque. El Servicio de Seguridad de la Policía de Noruega concluyó en diciembre de 2020 que "los análisis muestran que es probable que la operación haya sido realizada por el actor cibernético al que se hace referencia en fuentes abiertas como APT28 y Fancy Bear", y que "se ha extraído contenido sensible de algunas de las cuentas de correo electrónico afectadas". ^[96]

Características y técnicas

Diagrama que muestra el proceso de Grizzly Steppe (Fancy Bear y Cozy Bear ) para emplear spear phishing

Fancy Bear emplea métodos avanzados acordes con las capacidades de los actores estatales. ^[97] Utilizan correos electrónicos de phishing selectivo , sitios web de descarga de malware camuflados en fuentes de noticias y vulnerabilidades de día cero . Un grupo de investigación de ciberseguridad observó que en 2015 habían utilizado seis exploits de día cero diferentes, una hazaña técnica que requeriría que un gran número de programadores buscaran vulnerabilidades previamente desconocidas en software comercial de primera línea. Esto se considera una señal de que Fancy Bear es un programa dirigido por el estado y no una pandilla o un hacker solitario. ^{[1] [98]}

Uno de los objetivos preferidos de Fancy Bear son los servicios de correo electrónico basados ​​en la web. Un ataque típico consiste en que los usuarios de correo electrónico basados ​​en la web reciben un correo electrónico solicitando urgentemente que cambien sus contraseñas para evitar ser pirateados. El correo electrónico contendrá un enlace a un sitio web falso que está diseñado para imitar una interfaz de correo web real, los usuarios intentarán iniciar sesión y sus credenciales serán robadas. La URL a menudo se oculta como un enlace bit.ly acortado ^[99] para pasar los filtros de spam . Fancy Bear envía estos correos electrónicos de phishing principalmente los lunes y viernes. También envían correos electrónicos que supuestamente contienen enlaces a artículos de noticias, pero en su lugar enlazan a sitios de descarga de malware que instalan kits de herramientas en la computadora del objetivo. ^[1] Fancy Bear también registra dominios que se parecen a sitios web legítimos, luego crea una falsificación del sitio para robar credenciales de sus víctimas. ^[68] Se sabe que Fancy Bear retransmite su tráfico de comandos a través de redes proxy de víctimas que ha comprometido previamente. ^[100]

El software que Fancy Bear ha utilizado incluye ADVSTORESHELL, CHOPSTICK, JHUHUGIT y XTunnel. Fancy Bear utiliza una serie de implantes, incluidos Foozer, WinIDS, X-Agent , X-Tunnel, Sofacy y los droppers DownRange. ^[68] Basándose en los tiempos de compilación, FireEye concluyó que Fancy Bear ha actualizado constantemente su malware desde 2007. ^[100] Para evitar la detección, Fancy Bear regresa al entorno para cambiar sus implantes, cambia sus canales de comando y control y modifica sus métodos persistentes. ^[97] El grupo de amenazas implementa técnicas de contraanálisis para ofuscar su código . Añaden datos basura a las cadenas codificadas, lo que dificulta la decodificación sin el algoritmo de eliminación de basura. ^[100] Fancy Bear toma medidas para evitar el análisis forense de sus ataques, restableciendo las marcas de tiempo en los archivos y borrando periódicamente los registros de eventos. ^[68]

Según una acusación formal del fiscal especial de los Estados Unidos, el X-Agent fue "desarrollado, personalizado y monitoreado" por el teniente capitán del GRU Nikolay Yuryevich Kozachek. ^[4]

Se sabe que Fancy Bear adapta los implantes a los entornos de destino, por ejemplo, reconfigurándolos para que utilicen servidores de correo electrónico locales. ^[100] En agosto de 2015, Kaspersky Lab detectó y bloqueó una versión del implante ADVSTORESHELL que se había utilizado para atacar a contratistas de defensa. Una hora y media después del bloqueo, los actores de Fancy Bear habían compilado y distribuido una nueva puerta trasera para el implante. ^[29]

Educación

La Unidad 26165 participó en el diseño del plan de estudios en varias escuelas públicas de Moscú, incluida la Escuela 1101. ^[101]

Personajes relacionados

Fancy Bear a veces crea personajes en línea para sembrar desinformación, desviar culpas y crear una negación plausible de sus actividades. ^[102]

Guccifer 2.0

Un personaje en línea que apareció por primera vez y se atribuyó la responsabilidad de los ataques al DNC el mismo día en que se conoció la historia de que Fancy Bear era el responsable. ^[103] Guccifer 2.0 afirma ser un hacker rumano , pero cuando fue entrevistado por la revista Motherboard , le hicieron preguntas en rumano y parecía no poder hablar el idioma. ^[104] Algunos documentos que han publicado parecen ser falsificaciones improvisadas a partir de material de ataques anteriores e información disponible públicamente, y luego aderezadas con desinformación. ^[104]

El equipo de hackers de Fancy Bears

Un sitio web creado para filtrar documentos tomados en los ataques a la AMA y la IAAF fue presentado con un breve manifiesto fechado el 13 de septiembre de 2016, proclamando que el sitio es propiedad del "equipo de hackers de Fancy Bears", que dijo es un "equipo de hackers internacional" que "defiende el juego limpio y el deporte limpio". ^[105] El sitio se responsabilizó de hackear a la AMA y prometió que proporcionaría "pruebas sensacionales de atletas famosos que tomaron sustancias dopantes", comenzando con el equipo olímpico de EE. UU., que dijo "deshonró su nombre con victorias manchadas". ^[105] La AMA dijo que algunos de los documentos filtrados bajo este nombre eran falsificaciones y que los datos habían sido cambiados. ^{[106] [105]}

Anónimo Polonia

Una cuenta de Twitter llamada "Anonymous Poland" (@anpoland) se atribuyó la responsabilidad del ataque a la Agencia Mundial Antidopaje ^[107] y publicó datos robados del Tribunal de Arbitraje Deportivo , un objetivo secundario. ^{[108] [109]} ThreatConnect apoya la opinión de que Anonymous Poland es un títere de Fancy Bear, y señala el cambio de un enfoque histórico en la política interna. Un video de captura de pantalla subido por Anonymous Poland muestra una cuenta con configuración de idioma polaco, pero el historial de su navegador mostró que habían realizado búsquedas en Google.ru (Rusia) y Google.com (EE. UU.), pero no en Google.pl (Polonia). ^[108]

Véase también

• BTC-e
• La ciberguerra en Rusia
• Dmitri Serguéievich Badin
• El espionaje ruso en Estados Unidos
• La participación de Rusia en el cambio de régimen
• Trolls de Olgino
• Equipo Sandworm , término utilizado para referirse a la Unidad 74455
• El complot para hackear América

Notas

1. Según la empresa de ciberseguridad FireEye, Fancy Bear utiliza un conjunto de herramientas que se ha actualizado con frecuencia desde 2007, o quizás incluso 2004. ^[1] Trend Micro dijo que pueden rastrear las actividades de Pawn Storm hasta 2004. ^[2]
2. También conocido como APT28 (por Mandiant ), Pawn Storm , Sofacy Group (por Kaspersky ), Sednit , Tsar Team (por FireEye ) y STRONTIUM o Forest Blizzard (por Microsoft ). ^{[4] [6]}
3. Aleksei Sergeyevich Morenets (Алексей Сергеевич Моренец), Evgenii Mikhaylovich Serebriakov (Евгений Михайлович Серебряков), Ivan Sergeyevich Yermakov (Иван Сергеевич Ермаков), Artem Andreyevich (Артём Андреевич Малышев), Dmitriy Sergeyevich Badin (Дмитрий Сергеевич Бадин), Oleg Mikhaylovich Sotnikov (Олег Михайлович Сотников) y Alexey Valerevich Minin (Алексей Валерьевич Минин).

Referencias

1. Thielman, Sam; Ackerman, Spencer (29 de julio de 2016). "Cozy Bear y Fancy Bear: ¿los rusos hackearon el Partido Demócrata y, de ser así, por qué?". The Guardian . ISSN  0261-3077. Archivado desde el original el 15 de diciembre de 2016. Consultado el 12 de diciembre de 2016 .
2. Feike Hacquebord (2017). Dos años de Pawn Storm: análisis de una amenaza cada vez más relevante (PDF) (Informe). Trend Micro. Archivado (PDF) del original el 5 de julio de 2017. Consultado el 27 de abril de 2017 .
3. Ward, Vicky (24 de octubre de 2016). "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin". Esquire.com . Archivado desde el original el 26 de enero de 2018. Consultado el 13 de diciembre de 2016 .
4. Poulson, Kevin (21 de julio de 2018). «Mueller finalmente resuelve los misterios sobre los piratas informáticos rusos del 'Fancy Bear'». The Daily Beast . Archivado desde el original el 23 de julio de 2018. Consultado el 21 de julio de 2018 .
5. "Acusar a 12 piratas informáticos rusos podría ser la mayor maniobra de Mueller hasta el momento". Wired . Archivado desde el original el 13 de julio de 2018 . Consultado el 4 de octubre de 2018 .
6. DimitrisGritzalis, Marianthi Theocharidou, George Stergiopoulos (10 de enero de 2019). Seguridad y resiliencia de infraestructuras críticas: teorías, métodos, herramientas... Springer, 2019. ISBN 9783030000240.
7. "SEGURIDAD INTERNACIONAL Y ESTONIA" (PDF) . Valisluureamet.ee . 2018. Archivado desde el original (PDF) el 26 de octubre de 2020 . Consultado el 4 de octubre de 2018 .
8. "Conoce a Fancy Bear y Cozy Bear, grupos rusos acusados ​​de hackear al DNC". The Christian Science Monitor . 15 de junio de 2016. Archivado desde el original el 8 de abril de 2022. Consultado el 4 de octubre de 2018 .
9. Wintour, Patrick (3 de octubre de 2018). «Reino Unido acusa al Kremlin de ordenar una serie de ciberataques 'imprudentes'». The Guardian . Archivado desde el original el 9 de julio de 2022. Consultado el 4 de octubre de 2018 .
10. El grupo de amenazas 4127 ataca la campaña presidencial de Hillary Clinton. Secureworks.com (informe). 16 de junio de 2016. Archivado desde el original el 20 de julio de 2016. Consultado el 22 de diciembre de 2016. y está recopilando información en nombre del gobierno ruso.
11. "Operaciones cibernéticas rusas con esteroides". Threatconnect.com . 19 de agosto de 2016. Archivado desde el original el 23 de diciembre de 2016. Consultado el 22 de diciembre de 2016. Tácticas rusas de FANCY BEAR
12. "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?". Fireeye.com . 27 de octubre de 2016. Archivado desde el original el 11 de septiembre de 2016. Consultado el 1 de septiembre de 2015. Evaluamos que lo más probable es que APT28 esté patrocinado por el gobierno ruso .
13. "Investigación sobre unidades militares rusas involucradas en operaciones psicológicas (PSYOP) y ataques de piratería informática — Molfar". molfar.com . Consultado el 24 de julio de 2023 .
14. "Rusia acusa a Ucrania de ataques con drones en Moscú – DW – 24/07/2023". dw.com . Consultado el 24/07/2023 .
15. Robin, Sébastien (25 de julio de 2023). "Los drones ucranianos atacaron a los espías rusos en Moscú y 'habrá más de eso'". ca.news.yahoo.com . Consultado el 4 de mayo de 2024 .
16. "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin". Esquire.com . 24 de octubre de 2016. Archivado desde el original el 26 de enero de 2018. Consultado el 7 de mayo de 2017 .
17. Hern, Alex (8 de mayo de 2017). «Hackers de Macron vinculados a un grupo afiliado a Rusia detrás del ataque estadounidense». The Guardian . Archivado desde el original el 13 de abril de 2018. Consultado el 16 de marzo de 2018 .
18. Gogolinski, Jim (22 de octubre de 2014). "Operación Pawn Storm: El rojo en SEDNIT". Trend Micro. Archivado desde el original el 8 de septiembre de 2015. Consultado el 1 de septiembre de 2015 .
19. "Operación Pawn Storm: uso de señuelos para evadir la detección" (PDF) . Trend Micro. 2014. Archivado (PDF) desde el original el 13 de septiembre de 2016 . Consultado el 1 de septiembre de 2015 .
20. Menn, Joseph (18 de abril de 2015). «Los ciberatacantes rusos utilizaron dos fallos desconocidos: una empresa de seguridad». Reuters . Archivado desde el original el 29 de junio de 2021. Consultado el 5 de julio de 2021 .
21. Kumar, Mohit (30 de octubre de 2014). «APT28: grupo de hackers rusos patrocinado por el Estado». The Hacker News . Archivado desde el original el 22 de octubre de 2015. Consultado el 1 de septiembre de 2015 .
22. Mamiit, Aaron (30 de octubre de 2014). "Conoce a APT28, un malware respaldado por Rusia para recopilar información de gobiernos y ejércitos: Informe". Tech Times . Archivado desde el original el 14 de agosto de 2016. Consultado el 1 de septiembre de 2015 .
23. "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?". FireEye.com . 27 de octubre de 2014. Archivado desde el original el 11 de septiembre de 2016. Consultado el 1 de septiembre de 2015 .
24. Weissman, Cale Guthrie (11 de junio de 2015). «Francia: piratas informáticos rusos se hicieron pasar por ISIS para piratear una cadena de televisión francesa». Business Insider . Archivado desde el original el 16 de agosto de 2016. Consultado el 1 de septiembre de 2015 .
25. Satter, Raphael; Donn, Jeff; Myers, Justin (2 de noviembre de 2017). «Digital hitlist shows Russian hacking went well beyond US election» (Lista negra digital muestra que el hackeo ruso fue mucho más allá de las elecciones estadounidenses). Chicago Tribune . AP. Archivado desde el original el 9 de noviembre de 2017 . Consultado el 10 de noviembre de 2017 .
26. Yadron, Danny (28 de octubre de 2014). "Los expertos dicen que el rastro de los hackers lleva a Rusia". The Wall Street Journal . Archivado desde el original el 19 de mayo de 2017. Consultado el 7 de marzo de 2017 .
27. "Comey del FBI: los republicanos también fueron hackeados por Rusia | CNN Politics". CNN . 10 de enero de 2017.
28. SATTER, RAPHAEL; DONN, JEFF (1 de noviembre de 2017). "Los piratas informáticos rusos persiguieron a los enemigos de Putin, no solo a los demócratas estadounidenses". US News & World Report . Associated Press . Archivado desde el original el 12 de diciembre de 2017 . Consultado el 2 de noviembre de 2017 .
29. Equipo de análisis e investigación global de Kaspersky Lab (4 de diciembre de 2015). "APT Sofacy ataca objetivos de alto perfil con un conjunto de herramientas actualizado - Securelist". Securelist . Archivado desde el original el 27 de mayo de 2017. Consultado el 13 de diciembre de 2016 .
30. "Los piratas informáticos rusos cazaron a periodistas en una campaña que duró años". Star-Advertiser . Honolulu. Associated Press. 22 de diciembre de 2017. Archivado desde el original el 23 de diciembre de 2017 . Consultado el 23 de diciembre de 2017 .
31. "Se sospecha que piratas informáticos rusos han participado en un ciberataque al Parlamento alemán". Londres Sureste . Alliance News. 19 de junio de 2015. Archivado desde el original el 7 de marzo de 2016. Consultado el 1 de septiembre de 2015 .
32. "Alemania emite orden de arresto contra sospechoso ruso de hackeo al Parlamento: periódico". The New York Times . Reuters. 5 de mayo de 2020. Archivado desde el original el 5 de mayo de 2020 . Consultado el 5 de mayo de 2020 .
33. Bennhold, Katrin (13 de mayo de 2020). «Merkel está 'indignada' por el ataque informático ruso, pero le cuesta responder». The New York Times . Archivado desde el original el 14 de mayo de 2020. Consultado el 14 de mayo de 2020 .
34. "Los piratas informáticos están al acecho, advierten los parlamentarios". Deutsche Welle. Archivado desde el original el 21 de abril de 2021. Consultado el 21 de septiembre de 2016 .
35. "Hackerangriff auf deutsche Parteien". Süddeutsche Zeitung . Archivado desde el original el 21 de abril de 2021 . Consultado el 21 de septiembre de 2016 .
36. Holanda, Martin (20 de septiembre de 2016). "Angeblich versuchter Hackerangriff auf Bundestag und Parteien". Heise. Archivado desde el original el 1 de abril de 2019 . Consultado el 21 de septiembre de 2016 .
37. "Wir haben Fingerabdrücke". Frankfurter Allgemeine . Archivado desde el original el 22 de marzo de 2019 . Consultado el 21 de septiembre de 2016 .
38. "Hackers rusos que se hicieron pasar por militantes del ISIS amenazaron a esposas de militares". Talkingpointsmemo.com . 8 de mayo de 2018. Archivado desde el original el 12 de julio de 2018 . Consultado el 4 de octubre de 2018 .
39. «Hackers rusos se hicieron pasar por miembros del EI para amenazar a esposas de militares». Chicago Tribune . Archivado desde el original el 12 de junio de 2018 . Consultado el 7 de junio de 2018 .
40. Brown, Jennings (8 de mayo de 2018). «Informe: piratas informáticos rusos se hicieron pasar por ISIS para atacar a esposas de militares estadounidenses». gizmodo.com . Archivado desde el original el 12 de junio de 2018. Consultado el 4 de octubre de 2018 .
41. "Hackers rusos se hicieron pasar por miembros del EI para amenazar a esposas de militares". Apnews.com . 8 de mayo de 2018. Archivado desde el original el 17 de agosto de 2018 . Consultado el 4 de octubre de 2018 .
42. "Francia investiga el papel de Rusia en el hackeo de TV5Monde: fuentes". Reuters . 10 de junio de 2015. Archivado desde el original el 19 de enero de 2016 . Consultado el 9 de julio de 2015 .
43. Una red francesa hackeada expuso sus propias contraseñas durante una entrevista televisiva Archivado el 22 de julio de 2017 en Wayback Machine - arstechnica
44. «Hackers del EI se hacen con el control de la cadena francesa TV5Monde en un ataque 'sin precedentes'». The Daily Telegraph . 9 de abril de 2015. Archivado desde el original el 9 de abril de 2015 . Consultado el 10 de abril de 2015 .
45. "Grupos de medios franceses celebrarán una reunión de emergencia tras el ciberataque de ISIS". The Guardian . 9 de abril de 2015. Archivado desde el original el 10 de abril de 2015 . Consultado el 10 de abril de 2015 .
46. "La cadena de televisión francesa TV5Monde 'hackeada por un califato cibernético en un ataque sin precedentes' que reveló detalles personales de soldados franceses". The Independent . 9 de abril de 2015. Archivado desde el original el 25 de septiembre de 2015. Consultado el 9 de abril de 2015 .
47. Suiche, Matt (10 de junio de 2017). "Lecciones del hackeo de TV5Monde 2015". Comae Technologies. Archivado desde el original el 13 de junio de 2017.
48. Gordon Corera (10 de octubre de 2016). «Cómo la cadena francesa TV5 estuvo a punto de ser destruida por los 'piratas rusos'». BBC News . Archivado desde el original el 25 de junio de 2018. Consultado el 21 de julio de 2018 .
49. Walker, Danielle (13 de mayo de 2015). «APT28 organizó ataques contra el sector bancario global, según una empresa». Revista SC . Archivado desde el original el 2 de marzo de 2018. Consultado el 1 de septiembre de 2015 .
50. "Firma de seguridad redefine APT: amenaza de phishing africana". Krebs on Security. 20 de mayo de 2015. Archivado desde el original el 18 de julio de 2015. Consultado el 1 de septiembre de 2015 .
51. "Ataque digital al Parlamento alemán: informe de investigación sobre el hackeo de la infraestructura del partido de izquierda en el Bundestag". netzpolitik.org . 19 de junio de 2015. Archivado desde el original el 22 de marzo de 2018 . Consultado el 16 de marzo de 2018 .
52. "No se ha encontrado nada para Productos Orkos Dfd" (PDF) . www.root9b.com . Archivado (PDF) del original el 1 de marzo de 2018 . Consultado el 4 de octubre de 2018 .
53. Doctorow, Cory (28 de agosto de 2015). "Spear phishers con presuntos vínculos con el gobierno ruso falsifican un dominio de la EFF y atacan la Casa Blanca". Boing Boing . Archivado desde el original el 22 de marzo de 2019 . Consultado el 1 de septiembre de 2015 .
54. Quintin, Cooper (27 de agosto de 2015). «Nueva campaña de phishing se hace pasar por EFF». Eff.org . Archivado desde el original el 7 de agosto de 2019. Consultado el 1 de septiembre de 2015 .
55. Hyacinth Mascarenhas (23 de agosto de 2016). "Los piratas informáticos rusos 'Fancy Bear' probablemente violaron la agencia de control de dopaje olímpica y el Comité Nacional Demócrata, dicen los expertos". International Business Times . Archivado desde el original el 21 de abril de 2021 . Consultado el 13 de septiembre de 2016 .
56. "Lo que sabemos sobre el equipo de hackers de Fancy Bears". BBC News . Archivado desde el original el 22 de marzo de 2019. Consultado el 17 de septiembre de 2016 .
57. Gallagher, Sean (6 de octubre de 2016). «Investigadores encuentran datos falsos en el antidopaje olímpico, Clinton revela Guccifer 2.0». Ars Technica . Archivado desde el original el 14 de julio de 2017. Consultado el 26 de octubre de 2016 .
58. Thielman, Sam (22 de agosto de 2016). "Los mismos piratas informáticos rusos probablemente violaron la seguridad de la agencia de control de dopaje olímpica y del Comité Nacional Demócrata". The Guardian . Archivado desde el original el 15 de diciembre de 2016. Consultado el 11 de diciembre de 2016 .
59. Meyer, Josh (14 de septiembre de 2016). «Hackers rusos publican supuestos expedientes médicos de Simone Biles y Serena Williams». NBC News . Archivado desde el original el 7 de mayo de 2020. Consultado el 17 de abril de 2020 .
60. "Atletas estadounidenses fueron descubiertos dopándose". Fancybear.net . 13 de septiembre de 2016. Archivado desde el original el 24 de diciembre de 2017 . Consultado el 2 de noviembre de 2016 .
61. Nakashima, Ellen (28 de septiembre de 2016). «Hackers rusos acosaron a periodistas que estaban investigando el accidente aéreo de Malaysia Airlines». The Washington Post . Archivado desde el original el 23 de abril de 2019. Consultado el 26 de octubre de 2016 .
62. ThreatConnect (28 de septiembre de 2016). «ThreatConnect analiza la actividad dirigida contra Bellingcat, un colaborador clave en la investigación del MH17». ThreatConnect . Archivado desde el original el 21 de abril de 2021 . Consultado el 26 de octubre de 2016 .
63. Feike Hacquebord (22 de octubre de 2015). «Pawn Storm Targets MH17 Investigation Team». Trend Micro . Archivado desde el original el 10 de noviembre de 2016. Consultado el 4 de noviembre de 2016 .
64. "Rusia 'intentó hackear el sistema de investigación del MH17'". AFP. 23 de octubre de 2015. Archivado desde el original el 21 de agosto de 2018. Consultado el 4 de noviembre de 2016 .
65. Sanger, David E.; Corasaniti, Nick (14 de junio de 2016). «DNC Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump» (El Comité Nacional Demócrata afirma que piratas informáticos rusos penetraron en sus archivos, incluido un expediente sobre Donald Trump). The New York Times . Archivado desde el original el 25 de julio de 2019. Consultado el 26 de octubre de 2016 .
66. Satter, Raphael; Donn, Jeff; Day, Chad (4 de noviembre de 2017). "Inside story: How Russians hacked the Democrats' emails" (Historia interna: cómo los rusos hackearon los correos electrónicos de los demócratas). AP News . Archivado desde el original el 6 de noviembre de 2017. Consultado el 10 de noviembre de 2017 .
67. "Bear on bear". The Economist . 22 de septiembre de 2016. Archivado desde el original el 20 de mayo de 2017 . Consultado el 14 de diciembre de 2016 .
68. Alperovitch, Dmitri (15 de junio de 2016). «Bears in the Midst: Intrusion into the Democratic National Committee»». Crowdstrike.com . Archivado desde el original el 24 de mayo de 2019. Consultado el 13 de diciembre de 2016 .
69. "El ejército ucraniano niega el ataque ruso". Yahoo! Noticias . 6 de enero de 2017. Archivado desde el original el 7 de enero de 2017 . Consultado el 6 de enero de 2017 .
70. Meyers, Adam (22 de diciembre de 2016). «Danger Close: Fancy Bear Tracking of Ukrainian Field Artillery Units» (Peligro cercano: seguimiento de unidades de artillería de campo ucranianas por parte de un oso de lujo). Crowdstrike.com . Archivado desde el original el 1 de enero de 2017. Consultado el 22 de diciembre de 2016 .
71. "El Ministerio de Defensa desmiente los informes sobre supuestas pérdidas de artillería debido a la intrusión de piratas informáticos rusos en el software". Interfax-Ucrania . 6 de enero de 2017. Archivado desde el original el 7 de enero de 2017. Consultado el 6 de enero de 2017 .
72. Kuzmenko, Oleksiy; Cobus, Pete. "Una empresa cibernética reescribe parte de un controvertido informe sobre piratería informática rusa". Voanews.com . Archivado desde el original el 22 de diciembre de 2021. Consultado el 26 de marzo de 2017 .
73. Gallagher, Sean (1 de noviembre de 2016). «El mismo grupo que está detrás del ataque a la Convención Nacional Demócrata explota un ataque de día cero en Windows». Ars Technica . Archivado desde el original el 2 de noviembre de 2016 . Consultado el 2 de noviembre de 2016 .
74. Modderkolk, Huib (4 de febrero de 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries". De Volkskrant (en holandés). Archivado desde el original el 4 de febrero de 2017 . Consultado el 4 de febrero de 2017 .
75. Cluskey, Peter (3 de febrero de 2017). «Los holandeses optan por el recuento manual tras los informes de piratería rusa». The Irish Times . Archivado desde el original el 19 de septiembre de 2020. Consultado el 20 de febrero de 2020 .
76. Rogers, James (3 de abril de 2017). «Hackean a la IAAF, organismo internacional de atletismo, y advierten que los datos de los atletas pueden verse comprometidos». Fox News . Archivado desde el original el 17 de mayo de 2017. Consultado el 14 de mayo de 2017 .
77. "IAAF dice que ha sido hackeada y se ha accedido a información médica de atletas". Voice of America. Associated Press. 3 de abril de 2017. Archivado desde el original el 17 de mayo de 2017. Consultado el 14 de mayo de 2017 .
78. Eric Auchard (24 de abril de 2017). «La campaña de Macron fue blanco de ciberataques por parte de un grupo vinculado al espionaje». Reuters.com . Archivado desde el original el 26 de abril de 2017. Consultado el 27 de abril de 2017 .
79. Seddon, Max; Stothard, Michael (4 de mayo de 2017). "Putin espera el retorno de la inversión de Le Pen". Financial Times . Archivado desde el original el 5 de mayo de 2017.
80. "Hackers vinculados a Rusia atacan a fundaciones políticas alemanas". Handelsblatt. 26 de abril de 2017. Archivado desde el original el 12 de agosto de 2018. Consultado el 26 de abril de 2017 .
81. Matsakis, Louise (10 de enero de 2018). "Informe sobre piratería informática: piratas informáticos rusos publican correos electrónicos del COI tras la prohibición de los Juegos Olímpicos". Wired . Archivado desde el original el 13 de enero de 2018. Consultado el 12 de enero de 2018 .
82. Rebecca R. Ruiz, Rebecca Hackers rusos publican correos electrónicos robados en un nuevo esfuerzo por socavar a los investigadores de dopaje Archivado el 13 de enero de 2018 en Wayback Machine , The New York Times (10 de enero de 2018).
83. Nick Griffin, Performanta,[1] Archivado el 6 de febrero de 2018 en Wayback Machine . (26 de enero de 2018).
84. Johnson, Simon; Swahnberg, Olof (15 de mayo de 2018). Pollard, Niklas; Lawson, Hugh (eds.). "El organismo deportivo sueco afirma que una unidad antidopaje fue atacada por piratas informáticos". Reuters . Archivado desde el original el 25 de mayo de 2018. Consultado el 24 de mayo de 2018 .
85. "Microsoft 'detiene el hackeo político ruso'". BBC News . 2018-08-21. Archivado desde el original el 2018-08-21 . Consultado el 2018-08-21 .
86. Smith, Brad (21 de agosto de 2018). «Estamos tomando nuevas medidas contra las crecientes amenazas a la democracia». Microsoft . Archivado desde el original el 21 de agosto de 2018. Consultado el 22 de agosto de 2018 .
87. Raphael Satter (27 de agosto de 2018). "Los ciberespías rusos pasaron años apuntando al clero ortodoxo". Bloomberg. Associated Press. Archivado desde el original el 29 de agosto de 2018. Consultado el 28 de agosto de 2018 .
88. "EE.UU. acusa a oficiales del GRU ruso de piratería informática internacional y operaciones relacionadas con la influencia y la desinformación" (Comunicado de prensa). Departamento de Justicia de los Estados Unidos. Archivado desde el original el 4 de octubre de 2018. Consultado el 28 de noviembre de 2018 .
89. Brady, Scott W. "Indictment 7 GRU Officers_Oct2018" (PDF) . Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Pensilvania . Archivado (PDF) del original el 8 de junio de 2020 . Consultado el 8 de julio de 2018 .
90. Dwoskin, Elizabeth; Timberg, Craig (19 de febrero de 2019). "Microsoft dice que ha encontrado otra operación rusa dirigida a importantes centros de estudios". The Washington Post . Archivado desde el original el 22 de febrero de 2019. Consultado el 22 de febrero de 2019. Los ataques de "spear-phishing" —en los que los piratas informáticos envían correos electrónicos falsos destinados a engañar a las personas para que visiten sitios web que parecen auténticos pero que, de hecho, les permiten infiltrarse en los sistemas informáticos corporativos de sus víctimas— estaban vinculados al grupo de piratas informáticos APT28, una unidad de inteligencia militar rusa que interfirió en las elecciones estadounidenses de 2016. El grupo tenía como objetivo a más de 100 empleados europeos del German Marshall Fund, el Aspen Institute Germany y el German Council on Foreign Relations, grupos influyentes que se centran en cuestiones de política transatlántica.
91. Burt, Tom (20 de febrero de 2019). "Nuevos pasos para proteger a Europa de las continuas amenazas cibernéticas". Microsoft . Archivado del original el 20 de febrero de 2019 . Consultado el 22 de febrero de 2019 . Los ataques contra estas organizaciones, que revelamos con su permiso, apuntaron a 104 cuentas pertenecientes a empleados de la organización ubicados en Bélgica, Francia, Alemania, Polonia, Rumania y Serbia. MSTIC continúa investigando las fuentes de estos ataques, pero estamos seguros de que muchos de ellos se originaron en un grupo al que llamamos Strontium. Los ataques ocurrieron entre septiembre y diciembre de 2018. Notificamos rápidamente a cada una de estas organizaciones cuando descubrimos que eran el objetivo para que pudieran tomar medidas para proteger sus sistemas, y tomamos una variedad de medidas técnicas para proteger a los clientes de estos ataques.
92. Tucker, Patrick (20 de febrero de 2019). "Los ataques rusos afectaron a los correos electrónicos de los centros de estudios estadounidenses y europeos, dice Microsoft". Defense One . Archivado desde el original el 7 de abril de 2019. Consultado el 7 de abril de 2019 .
93. "Microsoft dice que los piratas informáticos rusos atacaron a los think tanks europeos". Bloomberg . 20 de febrero de 2019. Archivado desde el original el 7 de abril de 2019. Consultado el 7 de abril de 2019 .
94. "Kyberútok na českou diplomacii způsobil cizí stát, potvrdil Senátu NÚKIB". iDNES.cz . 2019-08-13. Archivado desde el original el 6 de noviembre de 2020 . Consultado el 15 de septiembre de 2020 .
95. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019 (PDF) . NÚKIB. 2020. Archivado (PDF) desde el original el 17 de septiembre de 2020 . Consultado el 15 de septiembre de 2020 .
96. "Noruega dice que grupos rusos 'probablemente' están detrás del ciberataque al Parlamento". 8 de diciembre de 2020. Archivado desde el original el 16 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
97. Robinson, Teri (14 de junio de 2016). «Hackers rusos acceden a archivos de Trump en ataque al DNC». SC Magazine US . Archivado desde el original el 20 de diciembre de 2016. Consultado el 13 de diciembre de 2016 .
98. Cluley, Graham (20 de octubre de 2016). «New ESET research paper puts Sednit under the survey» (Nuevo artículo de investigación de ESET pone a Sednit bajo el microscopio). WeLiveSecurity . Archivado desde el original el 25 de octubre de 2016. Consultado el 26 de octubre de 2016 .
99. Frenkel, Sheera (15 de octubre de 2016). «Conoce a Fancy Bear, el grupo ruso que está hackeando las elecciones estadounidenses». BuzzFeed . Archivado desde el original el 15 de junio de 2018. Consultado el 2 de noviembre de 2016 .
100. "APT28: ¿Una ventana a las operaciones de ciberespionaje de Rusia?" (PDF) . Fireeye.com . 2014. Archivado desde el original (PDF) el 2017-01-10 . Consultado el 2016-12-13 .
101. Troianovski, Anton ; Nakashima, Ellen ; Harris, Shane (28 de diciembre de 2018). «Cómo la agencia de inteligencia militar de Rusia se convirtió en el músculo encubierto de los duelos de Putin con Occidente». The Washington Post . Archivado desde el original el 29 de diciembre de 2018.
102. "Hacktivistas vs. Faketivistas: Osos de lujo disfrazados". Threatconnect.com . 13 de diciembre de 2016. Archivado desde el original el 20 de diciembre de 2016. Consultado el 15 de diciembre de 2016 .
103. Koebler, Jason (15 de junio de 2016). «'Guccifer 2.0' se atribuye la responsabilidad del hackeo del DNC y publica documentos para demostrarlo». Motherboard . Archivado desde el original el 4 de noviembre de 2016 . Consultado el 3 de noviembre de 2016 .
104. Franceschi-Bicchierai, Lorenzo (4 de octubre de 2016). «'Guccifer 2.0' nos está mintiendo sobre su supuesto hackeo a la Fundación Clinton». Motherboard . Archivado desde el original el 4 de noviembre de 2016 . Consultado el 3 de noviembre de 2016 .
105. Bartlett, Evan (26 de marzo de 2018). "Fancy Bears: ¿Quiénes son el grupo de piratas informáticos que expone el dopaje, los encubrimientos y la corrupción en el deporte?". The Independent. Archivado desde el original el 25 de mayo de 2018. Consultado el 24 de mayo de 2018 .
106. BBC (5 de octubre de 2016). «Los datos de dopaje de los Fancy Bears «pueden haber sido modificados», afirma la AMA». BBC. Archivado desde el original el 4 de noviembre de 2016. Consultado el 3 de noviembre de 2016 .
107. Nance, Malcolm (2016). El complot para hackear a Estados Unidos: cómo los ciberespías de Putin y WikiLeaks intentaron robar las elecciones de 2016. Skyhorse Publishing. ISBN 978-1-5107-2333-7.
108. Cimpanu, Catalin (23 de agosto de 2016). "Rusia detrás de los ataques a la Agencia Mundial Antidopaje y a los tribunales deportivos internacionales". Softpedia . Archivado desde el original el 21 de diciembre de 2016. Consultado el 15 de diciembre de 2016 .
109. "Hackean sitio web de la Agencia Mundial Antidopaje; se filtran miles de cuentas". HackRead . 12 de agosto de 2016. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .

Enlaces externos

• "Informe de inteligencia de seguridad de Microsoft: Strontium". Centro de protección contra malware de Microsoft. 15 de noviembre de 2015.