Iszlám Állam

A medvék Oroszország tipikus szimbólumai, ezért nem csoda, hogy a szakértők megnevezték a két legveszélyesebb orosz hackercsoportot - Fancy Bear és Cozy Bear. Mindkét egység tevékenysége során több műveletet írt jóvá, de a 2016-os amerikai elnökválasztás elleni közös támadásukra többnyire emlékeztek.

Az APT28, a Sofacy Group vagy ismertebb nevű Fancy Bear egy orosz hackercsoport, amely fejlett tartós fenyegetésként ismert és legalább 2007 óta fejleszti eszközeit. Legfontosabb termékei a SOURFACE/CORESHELL letöltő, valamint az EVILTOSS és a CHOPSTICK hátsó ajtók, amelyek folyamatosan fejlődnek és az első támadások óta használjuk. A közelmúltig ezekben a támadásokban volt egy közös vonás - az orosz kormány kritikusai és ellenzői lettek a célpontok.

E hackerek első áldozatai között voltak a világ minden tájáról érkező újságírók és bloggerek, akik orosz külpolitikai kérdésekkel foglalkoztak - különös tekintettel az ukrajnai konfliktusra, a Malaysia Airlines repülőgépének, az internetes "trollok" gyárának lezuhanására vagy a félretájékoztatások terjedésére. Nyilvánvaló, hogy a Kreml szempontjából érzékeny témákról volt szó, amelyek rontották az imázsát.

2014 körül ezért a hakerek szisztematikusan támadni kezdték a világ vezető (The Times, Washington Post, CNN) újságíróinak, valamint a helyi médiának (Novaja Gazeta, Vedomosti) újságíróinak e-mail fiókjait, ahol kompromittáló anyagokat kerestek ezek hiteltelenné tétele és megfélemlítése érdekében.

Pavel Lobkov, a Dožď televíziós újságírója esetében a támadók csak néhány nappal azután tették közzé a privát beszélgetését a Facebookról, hogy nyilvánosan beismerte a HIV-fertőzést. Ugyanakkor egyes jelentések erős szexuális aláfestéssel bírtak.

Hamis zászlóműveletek

Amikor az Iszlám Állam az erejének csúcsán állt 2015-ben, vele párhuzamosan egyre gyakrabban jelentek meg az úgynevezett CyberCaliphate kibertámadásai. A leghírhedtebb támadások, amelyek a csoport állítólag az ISIS-hez kapcsolódtak, egyes amerikai katonák feleségeivel szembeni fenyegetések és a TV5Monde francia televízió elleni támadások voltak. Az Iszlám Állam valóban felügyeli a hackercsoportok "egyesületét". De Egyesült Kiber-Kalifátusnak hívják, és csak egy hasonló név társítja az orosz alteregóval.

Az első esetben ennek az iszlamista terroristának tettetett csoport támadása legalább öt embert érintett, akik nyilvánosságra hozták tapasztalataikat is. Ennek eredményeként az ügy az Associated Press nyomozóinak kezébe került, akik kapcsolatot találtak az e támadásokban használt e-mail címek és az APT28 csoport egyéb támadásaiban használt e-mail címek között. A nyomozás során további kísérleteket jelentettek e-mail fiókok ellopására. A támadók motivációjáról azonban csak vitatkozni lehet. Csak két dolog kapcsolta össze az áldozatokat - házasok voltak katonákkal, és munkájuk röviden a katonasághoz kapcsolódott (blogok írása, egyesületekben való részvétel). Tehát a támadás valószínűleg csak az volt, hogy elterelje a figyelmét valami nagyobbról.

A CyberCaliphat néhány hónappal későbbi, nem feltűnő belépése a helyszínre felváltotta a támadást, amely megzavarta az adást és szinte megsemmisítette Franciaország egyik legnagyobb televízióját. 2015. január 23. óta, amikor a kezdeti behatolás megtörtént, a támadók feltérképezték a TV5Monde hálózatát és rendszereit, hogy testre szabják a káros kártevőket, amelyek kiküszöbölik a műsorszolgáltatáshoz szükséges internethez kapcsolt hardvereket (pl. Sugárzott átviteli kódoló rendszerek).

Az esemény április egyik este kezdődött, amikor 12 csatorna hirtelen abbahagyta a sugárzást. Perceken belül a rosszindulatú program átterjedt más eszközökre, aminek következtében az állomás egész éjszaka meghibásodott. A televízió szerencséjére abban az időben még voltak technikusok a központban. Egyiküknek sikerült azonosítani azt a számítógépet, amelyről a támadást irányították, és amely ezt követően levált az internetről. Az első csatornát másnap reggel öt órakor helyreállították. "Csak néhány óra választott el minket az állomás legvégétől" - mondta Yves Bigot vezérigazgató. A televíziónak az első évben ötmillió eurót kellett költenie a károk fedezésére, és évente mintegy hárommilliót kellett kiadnia a biztonság javítására.

Oroszország gyanússá vált, miután a FireEye kiberbiztonsági cég bebizonyította, hogy a használt infrastruktúra megegyezik a Fancy Bearéval. A CyberCaliphat webhely, ahol a támadók közzétették a támadás adatait, ugyanazzal az IP-címmel rendelkeztek, és ugyanazokon a szervereken működtek, mint az orosz hackerek. Habár nem ez okozta a támadást, nagy valószínűséggel Párizs és Moszkva közötti politikai megállapodás volt, amely között akkor feszült helyzet volt.

Franciaország bírálta Oroszországot a Krím bekebelezése miatt, ami végül leállította két hadihajó ellátását, amelyek francia hajógyárakat építettek az orosz flotta számára. A Kreml nyilvánvalóan bosszút állt, amelyet az Iszlám Állam zászlaja alá akart rejteni. 2015 elején ennek a csoportnak a terroristái megtámadták egy másik közeg (Charlie Hebdo magazin) szerkesztőségét, amelyben 12 embert öltek meg. A terrorista támadások sorozatának benyomását keltő kísérlet azonban kudarcot vallott.

Kémkedés és választási beavatkozás

Az újságírók megfélemlítése és képességeinek idegen néven történő tesztelése mellett Fancy Bear több vagy kevésbé sikeres támadást is folytatott politikusok, politikai pártok és kormányok ellen. Legalábbis 2014 óta, amikor a Krím annektálása miatt kritikahullám érkezett Oroszország ellen, a NATO és/vagy az EU tagjai vagy a posztszovjet térség országai lettek a célpontjai. Úgy tűnik, Németországnak van legnagyobb tapasztalata az orosz hackerekről. Csak az elmúlt négy évben négy olyan támadást tapasztaltak, amelyek viselték az APT28 jellemzőit.

2015-ben a támadók a Bundestag számítógépeit célozták meg, amelyekre kémprogramokat és hátsó ajtókat akartak telepíteni. A BfV (Szövetségi Alkotmányvédelmi Hivatal) titkosszolgálatának igazgatója szerint az állam kritikus infrastruktúrájával kapcsolatos információkat ellopták. Egy évvel később hasonló adathalász támadást próbáltak meg az uralkodó CDU ellen, de nem sikerült. A hackerek ugyanazon eredményével várták a Konrad-Adenauer-Stiftung (a CDU alá tartozó) és a Friedrich-Ebert-Stiftung (SPD) agytrösztök szervereinek kompromittálását 2017 áprilisában. Míg az első támadás látszólag elszigetelt, a fennmaradó kettő a politikai pártok és agytrösztjeik ellen valószínűleg a szövetségi közgyűlés 2017 szeptemberi választásainak befolyásolását tervezte.

Ez a minta Franciaország, Hollandia és az Egyesült Államok példáin is megfigyelhető, amelyek szintén hasonló esetekkel szembesültek a választások előtt.

Az amerikai példa ebben a tekintetben a képzeletbeli létra tetején áll. 2016 elején a Fancy Bear és a Cozy Bear tandemje megtámadta a Demokrata Párt szervereit és tagjainak e-mail fiókjait, amelyekből értékes adatokat szedett ki, és amelyeket később a WikiLeaks és a média közzétételére késztetett a Guccifer 2.0 hamis becenéven keresztül. . Kizárólag 50 000 e-mailt küldtek a támadók csak John Podestnek, Hillary Clinton tanácsadójának. A mai napig egyes szakértők és politikusok azt állítják, hogy Donald Trump győzelme mögött ez a támadás állt.

Újabb e-mailek szivárogtak az internetre Emmanuel Macron elnökjelölt és pártja, En Marche számára! mindössze két nappal a választások második fordulója előtt. Szerkesztett tartalmuk Marie Le Pen szavazatainak megszerzése volt. De ez nem történt meg, és Macron 10 millió szavazattal nyert.

Hollandiában ezzel szemben az Általános Ügyek Minisztériuma elleni, 2017. februári támadást követően a kormány úgy határozott, hogy minden szavazatot manuálisan számolnak az elektronikus szavazási rendszer esetleges manipulálásához. Ezek és más Magyarország, Lengyelország, Ukrajna és Grúzia elleni támadások a hosszú távú Zálogvihar művelet részét képezik, amely a politikai célokra összpontosít.

Az elkövetőket elítélték a használt felügyeleti kiszolgálóktól származó ismétlődő IP-címekért, ugyanazon ingyenes e-mail és webhosztok használatáért adathalász e-mailek küldésében, amelyek vagy elrejtették a Sourface kártevőket (más néven Sofacy), vagy egy hamisított webhelyre mutató linket. ahonnan bejelentkezési adatokat szereztek.

Technikák, eszközök és hozzárendelés

Három speciális eszköz létezik a Fancy Bear hackerek számára - a Sourface (és újabb verziója, a Coreshell), a Chopstick és az Eviltoss. Az első név az úgynevezett letöltő, amely a rendszerre való letöltés és telepítés után kapcsolatot létesít a támadó szerverével, amelytől további rosszindulatú programokat kér. A csapat vagy egy Eviltoss hátsó ajtó, vagy egy pálcika. Az Eviltoss lehetővé teszi a rendszerfájlokhoz és nyilvántartásokhoz való hozzáférést, a billentyűleütések rögzítését (hasonlóan a billentyűparancshoz) vagy rosszindulatú kód futtatását. A Chopstick viszont több modult tartalmaz, amelyeknek köszönhetően információkat gyűjthet az operációs rendszerről, a tűzfalról vagy a webböngésző beállításairól, de továbbíthatja a dokumentumokat a támadó számítógépére, vagy képernyőmentések formájában rögzítheti tevékenységét.

A rosszindulatú programok az adathalász e-mailek figyelmetlensége miatt jutnak el az áldozat számítógépéhez, akik vagy egy mellékletbe rejtik, vagy egy fertőzött webhelyen linkelnek rá. Ez az adathalászat a csoport egyik jellemzője. A kínai APT1 munkatársaival ellentétben az orosz e-maileket nem jellemzi a minőségi angol nyelv. A legkiválóbb azonban a dokumentumok és jelentések elkészítése, amelyek tükrözik az aktuális szakpolitikai fejleményeket, hitelességet és komolyságot adva az e-mailben.

Ezenkívül olyan címekről küldik őket, amelyek feltűnően hasonlítanak a nemzetközi szervezetek, kormányok vagy a média által használtakra. Ilyenek például a "qov.hu.com" domainek (a magyar kormány a "gov.hu" szót használja) vagy a "login-osce.org" (az EBESZ az "osce.org" domaineket használja).

Ennek a medvének az ereje azonban a nulla napos sebezhetőségek használatában is rejlik, amelyet maga keres. Néha a fertőzött dokumentum helyett elég egy hamis oldalra hivatkozni, amelyen egy Adobe Flash vagy Java biztonsági rés elvégzi a munkát.

A hackerek eredetéről a FireEye biztonsági cég beszámolója tett említést, amely szerint az eszközöket az orosz nyelvű fejlesztői környezetben állították össze, és csak Moszkvában a szokásos munkaidőben. Maguk a célok is elítélték őket, amelyekben egy közös vonás volt - bírálták az orosz kormányt kül- és belpolitikájáért. Néhányuk számára azonban végzetes lett a Demokrata Párt elleni támadás. 2018 nyarán a csoportot állítólag lefedő GRU katonai hírszerző szolgálat tizenkét tagját elítélték e-mailek feltörése miatt az elnökválasztás során.

A csoport azonban egy mulatságos történettel is társul. A Fancy Bear név azokból az álnevekből származik, amelyeket Dmitri Alperovitch, a kiberbiztonsági elemző országoknak tulajdonított. Az oroszok medvék voltak, a kínaiak pandák, az irániak pedig cicák voltak. A zenekar a melléknevét azután kapta, hogy felfedezték a "Sofacy" szót a Sourface-ben. Alperovitchra emlékeztette Iggy Azaley énekes és a Fancy Bear "Fancy" című dalát.

Fancy Bear ma

Azok a csoportok, amelyek nem félnek megszemélyesíteni a terroristákat, beavatkozni a választásokba vagy megfélemlíteni a médiát, még nem szabadultak meg a világtól. Éppen ellenkezőleg, az utóbbi években még taktikát is megváltoztatott, és ma sokféle célt találunk listáján. Célja a Doppingellenes Világügynökség, I. Bartholomew ökumenikus pátriárka vagy a német bel- és védelmi minisztérium volt. Aki a Kreml útjában áll, ennek a medvének áldozata lehet. Oroszország kiberfenyegetése rémré vált a nemzetközi politikában, és az államok tisztában vannak vele. Az Egyesült Királyság ezért a közelmúltban bejelentette, hogy létrehoz egy új számítógépes kommandót az ellene való küzdelem érdekében.