Fancy Bear – Die GRU – Hacking – Abteilung Unter Der Lupe

Fancy Bear APT Uses New Cannon Trojan to Target Government Entities

Fancy Bear (auch bekannt als APT28 (von Mandiant), Pawn Storm, Sofacy Group (von Kaspersky), Sednit, Tsar Team (von FireEye) und STRONTIUM (von Microsoft)) ist eine russische Cyberspionagegruppe. Das Cybersicherheitsunternehmen CrowdStrike hat analysiert, dass es mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Das britische Außen- und Commonwealth-Amt sowie die Sicherheitsfirmen SecureWorks ThreatConnect und Fireeyes Mandiant haben ebenfalls erklärt, dass die Gruppe von der russischen Regierung gesponsert wird. Im Jahr 2018 identifizierte eine Anklage des United States Special Counsel Fancy Bear als zwei GRU-Einheiten, bekannt als Unit 26165 und Unit 74455.

Der Name “Fancy Bear” stammt von einem Sicherheitsforscher des Codierungssystems, mit dem Dmitri Alperovitch Hacker identifiziert.

Die Methoden von Fancy Bear, die wahrscheinlich seit Mitte der 2000er Jahre in Betrieb sind, stimmen mit den Fähigkeiten staatlicher Akteure überein. Die Gruppe richtet sich gegen Regierungs-, Militär- und Sicherheitsorganisationen, insbesondere an transkaukasische und NATO-ausgerichtete Staaten. Fancy Bear soll für Cyber-Angriffe auf das deutsche Parlament, den französischen Fernsehsender TV5Monde, das Weiße Haus, die NATO, das Demokratische Nationalkomitee, die Organisation für Sicherheit und Zusammenarbeit in Europa und die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron verantwortlich sein.

Die Gruppe fördert die politischen Interessen der russischen Regierung und ist dafür bekannt, E-Mails des Demokratischen Nationalkomitees hehackt zu haben, um zu versuchen, das Ergebnis der Präsidentschaftswahlen 2016 in den USA zu beeinflussen.

Fancy Bear wird von Fireeye als fortgeschrittene, anhaltende Bedrohung eingestuft. Unter anderem werden Zero-Day-Exploits, Spear-Phishing und Malware verwendet, um Zielpersonen zu gefährden.

Trend Micro hat die Akteure hinter der Sofacy-Malware am 22. Oktober 2014 als Operation Pawn Storm bezeichnet. Der Name war darauf zurückzuführen, dass die Gruppe “zwei oder mehr verbundene Werkzeuge / Taktiken einsetzte, um ein bestimmtes Ziel anzugreifen, das der Schachstrategie ähnelt”, das als Bauernsturm bekannt ist.

Das Netzwerksicherheitsunternehmen FireEye veröffentlichte im Oktober 2014 einen detaillierten Bericht über Fancy Bear. In dem Bericht wurde die Gruppe als “Advanced Persistent Threat 28” (APT28) bezeichnet und beschrieben, wie die Hacking-Gruppe Zero-Day-Exploits des Microsoft Windows-Betriebssystems und von Adobe Flash verwendete. Der Bericht enthielt betriebliche Details, die darauf hinweisen, dass die Quelle ein “Regierungsgesponsor mit Sitz in Moskau” ist. Von FireEye gesammelte Beweise deuten darauf hin, dass die Malware von Fancy Bear hauptsächlich in einer russischsprachigen Build-Umgebung kompiliert wurde und hauptsächlich während der Arbeitszeit parallel zur Moskauer Zeitzone auftrat. Laura Galante, Direktorin für Bedrohungsinformationen bei FireEye, bezeichnete die Aktivitäten der Gruppe als “Staatsspionage” und sagte, dass zu den Zielen auch “Medien oder Influencer” gehören.

Der Name “Fancy Bear” leitet sich von dem Codierungssystem ab, das Dmitri Alperovitch für Hacker-Gruppen verwendet. “Bär” zeigt an, dass die Hacker aus Russland stammen. Fancy bezieht sich auf “Sofacy”, ein Wort in der Malware, das den Analysten, der es gefunden hat, an Iggy Azaleas Song “Fancy” erinnerte.

Zu den Zielen von Fancy Bear gehörten osteuropäische Regierungen und Militärs, das Land Georgien und der Kaukasus, die Ukraine, sicherheitsrelevante Organisationen wie die NATO sowie US-amerikanische Verteidigungsunternehmen Academi (früher bekannt als Blackwater) und Science Applications International Corporation (SAIC), Boeing, Lockheed Martin und Raytheon. Fancy Bear hat auch Bürger der Russischen Föderation angegriffen, die politische Feinde des Kremls sind, darunter den ehemaligen Ölmagnaten Mikhail Khodorkovsky und Maria Alekhina von der Band Pussy Riot. SecureWorks, ein Cybersicherheitsunternehmen mit Hauptsitz in den USA, kam zu dem Schluss, dass die Zielliste “Fancy Bear” von März 2015 bis Mai 2016 nicht nur das Demokratische Nationalkomitee der USA, sondern Zehntausende Feinde Putins und des Kremls in den USA umfasste USA, Ukraine, Russland, Georgien und Syrien. Es wurden jedoch nur eine Handvoll Republikaner ins Visier genommen. Eine AP-Analyse von 4.700 E-Mail-Konten, die von Fancy Bear angegriffen worden waren, ergab, dass kein anderes Land als Russland daran interessiert sein würde, so viele sehr unterschiedliche Ziele zu hacken, die nichts anderes gemeinsam zu haben schienen, als dass sie für die russische Regierung von Interesse waren.

The West fights back against Putin's cyber war - NEWSCABAL

Fancy Bear scheint auch zu versuchen, politische Ereignisse zu beeinflussen, damit Freunde oder Verbündete der russischen Regierung an die Macht kommen.

In den Jahren 2011–2012 war die Malware von Fancy Bear in der ersten Phase das Implantat “Sofacy” oder SOURFACE. Im Jahr 2013 fügte Fancy Bear weitere Werkzeuge und Hintertüren hinzu, darunter CHOPSTICK, CORESHELL, JHUHUGIT und ADVSTORESHELL.

Von Mitte 2014 bis Herbst 2017 richtete sich Fancy Bear gegen zahlreiche Journalisten in den USA, der Ukraine, Russland, Moldawien, dem Baltikum und anderen Ländern, die Artikel zur Diskreditierung Putins und des Kremls veröffentlicht hatten. Laut AP und SecureWorks ist diese Gruppe von Journalisten nach diplomatischem Personal und US-Demokraten die drittgrößte Gruppe, auf die Fancy Bear abzielt. Auf der Zielliste von Fancy Bear stehen Adrian Chen, die armenische Journalistin Maria Titizian, Eliot Higgins von Bellingcat, Ellen Barry und mindestens 50 andere Reporter der New York Times, mindestens 50 in Moskau ansässige Auslandskorrespondenten, die für unabhängige Nachrichtenagenturen arbeiteten, Josh Rogin, der Kolumnist der Washington Post, Shane Harris, ein Daily Beast-Autor, der 2015 über Geheimdienstfragen berichtete, Michael Weiss, ein CNN-Sicherheitsanalyst, Jamie Kirchick von der Brookings Institution, 30 Medienziele in der Ukraine, viele von der Kyiv Post, Reporter, die über den Russen berichteten -unterstützter Krieg in der Ostukraine sowie in Russland, wo die Mehrheit der von den Hackern angegriffenen Journalisten für unabhängige Nachrichten (z. B. Novaya Gazeta oder Vedomosti) wie Ekaterina Vinokurova bei Znak.com und die russischen Mainstream-Journalisten Tina Kandelaki, Ksenia Sobchak, arbeitete. und der russische Fernsehmoderator Pavel Lobkov, der alle für Dozhd arbeitete.

DMITRIY SERGEYEVICH BADIN — FBI

Fancy Bear soll für einen sechsmonatigen Cyber-Angriff auf das deutsche Parlament verantwortlich gewesen sein, der im Dezember 2014 begann. Am 5. Mai 2020 erließ die deutsche Bundesanwaltschaft im Zusammenhang mit den Anschlägen einen Haftbefehl gegen Dmitry Badin. Der Angriff hat die IT-Infrastruktur des Bundestages im Mai 2015 vollständig gelähmt. Um ihn zu stoppen, musste das gesamte Parlament tagelang offline geschaltet werden. IT-Experten schätzen, dass im Rahmen des Angriffs insgesamt 16 Gigabyte Daten aus dem Parlament heruntergeladen wurden.

Es wird auch vermutet, dass die Gruppe im August 2016 hinter einem Spear-Phishing-Angriff auf Mitglieder des Bundestages und mehrere politische Parteien wie die Linken-Fraktionsführerin Sahra Wagenknecht, die Junge Union und die CDU des Saarlandes steckt. Die Behörden befürchteten, dass Hacker sensible Informationen sammeln könnten, um die Öffentlichkeit später vor Wahlen wie den nächsten Bundestagswahlen in Deutschland, die im September 2017 stattfinden sollten, zu manipulieren.

CYBER-STASI – Page 10 – BERNDPULCH.ORG – BERND-PULCH.ORG – Stasi ...

Zudem scheint Fancy Bear wohl auch mit der berüchtigten Neo-STASI-Organisation “GoMoPa” zu kooperieren, speziell mit dem in Berlin ansässigen und in Dresden geborenen Sven Schmidt (Eagle IT).

 

Weitere Attacken von Fancy Bear:

Fünf Ehefrauen von US-Militärangehörigen erhielten am 10. Februar 2015 Morddrohungen von einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, eine Tochtergesellschaft des islamischen Staates zu sein. Später wurde festgestellt, dass dies ein Angriff unter falscher Flagge von Fancy Bear war, als festgestellt wurde, dass die E-Mail-Adressen der Opfer in der Phishing-Zielliste von Fancy Bear enthalten waren. Es ist auch bekannt, dass russische Social-Media-Trolle die Gefahr potenzieller Terroranschläge des islamischen Staates auf US-amerikanischem Boden übertreiben und Gerüchte verbreiten, um Angst und politische Spannungen zu säen.

Am 8. April 2015 wurde das französische Fernsehsender TV5Monde Opfer eines Cyber-Angriffs einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, Verbindungen zur Terrororganisation Islamischer Staat Irak und Levante (ISIL) zu haben. Französische Ermittler lehnten später die Theorie ab, dass militante Islamisten hinter dem Cyberangriff stecken, und vermuteten stattdessen die Beteiligung von Fancy Bear.

Hacker verstießen gegen die internen Systeme des Netzwerks, möglicherweise unterstützt durch Passwörter, die offen von TV5 ausgestrahlt wurden, und überschrieben das Rundfunkprogramm der 12 Kanäle des Unternehmens über drei Stunden lang. Der Dienst wurde in den frühen Morgenstunden des folgenden Morgens nur teilweise wiederhergestellt, und die normalen Rundfunkdienste wurden bis spät in den 9. April unterbrochen. Verschiedene computergestützte interne Verwaltungs- und Support-Systeme, einschließlich E-Mail, wurden aufgrund des Angriffs ebenfalls immer noch heruntergefahren oder waren auf andere Weise nicht zugänglich. Die Hacker entführten auch die Facebook- und Twitter-Seiten von TV5Monde, um die persönlichen Informationen von Verwandten französischer Soldaten, die an Aktionen gegen ISIS beteiligt waren, sowie Nachrichten zu veröffentlichen, die Präsident François Hollande kritisierten, und argumentierten, dass die Terroranschläge vom Januar 2015 “Geschenke” für seinen “unverzeihlichen Fehler” seien “an Konflikten teilzunehmen, die” keinen Zweck erfüllen “.

Der Generaldirektor von TV5Monde, Yves Bigot, sagte später, dass der Angriff das Unternehmen fast zerstört hätte: Wenn die Wiederherstellung des Rundfunks länger gedauert hätte, hätten Satellitenvertriebskanäle wahrscheinlich ihre Verträge gekündigt. Der Angriff sollte sowohl die Ausrüstung als auch das Unternehmen selbst zerstören und nicht wie die meisten anderen Cyber-Angriffe Propaganda oder Spionage betreiben. Der Angriff wurde sorgfältig geplant; Die erste bekannte Durchdringung des Netzwerks erfolgte am 23. Januar 2015. Die Angreifer führten dann eine Aufklärung von TV5Monde durch, um die Art und Weise zu verstehen, in der sie ihre Signale sendeten, und entwickelten maßgeschneiderte schädliche Software, um die mit dem Internet verbundene Hardware, die den Betrieb des Fernsehsenders kontrollierte, wie z. B. die Encodersysteme, zu beschädigen und zu zerstören. Sie verwendeten sieben verschiedene Einstiegspunkte, nicht alle Teil von TV5Monde oder sogar in Frankreich – einer war ein in den Niederlanden ansässiges Unternehmen, das die ferngesteuerten Kameras lieferte, die in den Studios von TV5 verwendet wurden. Zwischen dem 16. Februar und dem 25. März sammelten die Angreifer Daten auf internen TV5-Plattformen, einschließlich des internen IT-Wikis, und überprüften, ob die Anmeldeinformationen noch gültig waren. Während des Angriffs führten die Hacker eine Reihe von Befehlen aus, die aus TACACS-Protokollen extrahiert wurden, um die Firmware von Switches und Routern zu löschen.

Obwohl der Angriff angeblich vom IS stammte, forderte die französische Cyber-Agentur Bigot auf, nur zu sagen, dass die Nachrichten angeblich vom IS stammen. Später wurde ihm mitgeteilt, dass Beweise dafür gefunden worden seien, dass es sich bei den Angreifern um die APT 28-Gruppe russischer Hacker handele. Es wurde kein Grund für die Ausrichtung von TV5Monde gefunden, und die Quelle des Angriffsbefehls und die Finanzierung dafür sind nicht bekannt. Es wurde spekuliert, dass es wahrscheinlich ein Versuch war, Formen von Cyberwaffen zu testen. Die Kosten wurden im ersten Jahr auf 5 Mio. EUR (5,6 Mio. USD; 4,5 Mio. GBP) geschätzt, gefolgt von wiederkehrenden jährlichen Kosten von über 3 Mio. EUR (3,4 Mio. USD; 2,7 Mio. GBP) für neuen Schutz. Die Arbeitsweise des Unternehmens musste sich mit der Authentifizierung von E-Mails, der Überprüfung von Flash-Laufwerken vor dem Einfügen usw. ändern, was die Effizienz eines Nachrichtenmedienunternehmens, das Informationen verschieben muss, erheblich beeinträchtigte.

Die Sicherheitsfirma root9B veröffentlichte im Mai 2015 einen Bericht über Fancy Bear, in dem die Entdeckung eines gezielten Spear-Phishing-Angriffs gegen Finanzinstitute angekündigt wurde. In dem Bericht wurden internationale Bankinstitute aufgeführt, auf die abgezielt wurde, darunter die United Bank für Afrika, die Bank of America, die TD Bank und die UAE Bank. Laut root9B begannen die Vorbereitungen für die Angriffe im Juni 2014, und die verwendete Malware trug “spezifische Signaturen, die historisch nur für eine Organisation, Sofacy, einzigartig waren”. Der Sicherheitsjournalist Brian Krebs stellte die Richtigkeit der Behauptungen von root9B in Frage und postulierte dies Die Angriffe stammten tatsächlich von nigerianischen Phishern. Im Juni 2015 veröffentlichte der angesehene Sicherheitsforscher Claudio Guarnieri einen Bericht, der auf seiner eigenen Untersuchung eines gleichzeitigen SOFACY-Exploits gegen den Deutschen Bundestag basiert, und schrieb root9B die Meldung zu, dass “dieselbe IP-Adresse wie der Command & Control-Server in der Angriff gegen den Bundestag (176.31.112.10) “und fuhr fort, dass aufgrund seiner Untersuchung des Bundestag-Angriffs” zumindest einige “Indikatoren im Bericht von root9B korrekt erschienen, einschließlich eines Vergleichs des Hashs der Malware-Stichprobe von beiden Vorfälle. root9B veröffentlichte später einen technischen Bericht, in dem Claudios Analyse von SOFACY-zugeschriebener Malware mit ihrer eigenen Stichprobe verglichen wurde, was die Richtigkeit ihres ursprünglichen Berichts erhöht.

EFF-Parodie, Angriff des Weißen Hauses und der NATO (August 2015)
Im August 2015 nutzte Fancy Bear einen Zero-Day-Exploit von Java, um die Electronic Frontier Foundation zu fälschen und Angriffe auf das Weiße Haus und die NATO zu starten. Die Hacker verwendeten einen Spear-Phishing-Angriff und leiteten E-Mails an die falsche URL electronicfrontierfoundation.org.

Im August 2016 meldete die Welt-Anti-Doping-Agentur den Empfang von Phishing-E-Mails, die an Benutzer ihrer Datenbank gesendet wurden und behaupteten, offizielle WADA-Mitteilungen zu sein, in denen ihre Anmeldedaten angefordert wurden. Nach Durchsicht der beiden von der WADA bereitgestellten Domains wurde festgestellt, dass die Registrierungs- und Hosting-Informationen der Websites mit der russischen Hacking-Gruppe Fancy Bear übereinstimmten. Laut WADA waren einige der von den Hackern veröffentlichten Daten gefälscht worden.

Hacker Whois: Fancy Bear. Russian State Hackers - YouTube

Aufgrund von Hinweisen auf weit verbreitetes Doping durch russische Athleten empfahl die WADA, russischen Athleten die Teilnahme an den Olympischen und Paralympischen Spielen 2016 in Rio zu verweigern. Analysten sagten, sie glaubten, der Hack sei teilweise ein Akt der Vergeltung gegen die Whistleblowing-Sportlerin Yuliya Stepanova, deren persönliche Informationen im Rahmen des Verstoßes veröffentlicht wurden. Im August 2016 gab die WADA bekannt, dass gegen ihre Systeme verstoßen wurde, und erklärte, dass Hacker von Fancy Bear ein vom Internationalen Olympischen Komitee (IOC) erstelltes Konto verwendet hatten, um Zugriff auf ihre ADAMS-Datenbank (Anti-Doping Administration and Management System) zu erhalten. Die Hacker nutzten dann die Website Fantasiebear.net, um die olympischen Drogentestdateien mehrerer Athleten zu veröffentlichen, die Ausnahmen von der therapeutischen Verwendung erhalten hatten, darunter die Turnerin Simone Biles, die Tennisspieler Venus und Serena Williams sowie die Basketballspielerin Elena Delle Donne. Die Hacker haben sich auf Athleten konzentriert, denen von der WADA aus verschiedenen Gründen Ausnahmen gewährt worden waren. Nachfolgende Lecks schlossen Athleten aus vielen anderen Ländern ein.

Eliot Higgins und andere Journalisten, die mit Bellingcat in Verbindung stehen, einer Gruppe, die den Abschuss von Malaysia Airlines Flug 17 über der Ukraine untersucht, wurden von zahlreichen Spearphishing-E-Mails angesprochen. Die Nachrichten waren gefälschte Google Mail-Sicherheitshinweise mit verkürzten Bit.ly- und TinyCC-URLs. Laut ThreatConnect stammten einige der Phishing-E-Mails von Servern, die Fancy Bear bei früheren Angriffen an anderer Stelle verwendet hatte. Bellingcat ist am besten dafür bekannt, Russland beschuldigt zu haben, für den Abschuss von MH17 verantwortlich zu sein, und wird in den russischen Medien häufig verspottet.

The fur is not gonna fly: Uncle Sam charges seven Russians with ...

Ähnliche Phishing E-Mails erhielt der Autor dieser Zeilen, neben Morddrohungen seit mehr als 10 Jahren.

Die Gruppe richtete sich vor und nach der Veröffentlichung des Abschlussberichts des Boards an die niederländische Sicherheitsbehörde, die die offizielle Untersuchung des Absturzes durchführte. Sie richten gefälschte SFTP- und VPN-Server ein, um die eigenen Server des Boards nachzuahmen, wahrscheinlich um Benutzernamen und Passwörter zu speeren. Ein Sprecher des DSB sagte, die Angriffe seien nicht erfolgreich gewesen.

Demokratisches Nationalkomitee (2016)
Fancy Bear führte im ersten Quartal 2016 Spear-Phishing-Angriffe auf E-Mail-Adressen des Demokratischen Nationalkomitees durch. Am 10. März kamen Phishing-E-Mails an, die hauptsächlich an alte E-Mail-Adressen der Mitarbeiter der Demokratischen Kampagne 2008 gerichtet waren. Eines dieser Konten hat möglicherweise aktuelle Kontaktlisten geliefert. Am nächsten Tag weiteten sich Phishing-Angriffe auf die nicht öffentlichen E-Mail-Adressen hochrangiger Beamter der Demokratischen Partei aus. Die Adressen von Hillaryclinton.com wurden angegriffen, für den Zugriff war jedoch eine Zwei-Faktor-Authentifizierung erforderlich. Der Angriff wurde am 19. März auf Google Mail-Konten umgeleitet. Das Google Mail-Konto von Podesta wurde am selben Tag mit 50.000 gestohlenen E-Mails verletzt. Die Phishing-Angriffe verschärften sich im April, obwohl die Hacker für den Tag am 15. April, der in Russland ein Feiertag zu Ehren der elektronischen Kriegsdienste des Militärs war, plötzlich inaktiv zu werden schienen. Die bei dem Angriff verwendete Malware hat gestohlene Daten an dieselben Server gesendet, die für den Angriff der Gruppe 2015 auf das deutsche Parlament verwendet wurden.

Am 14. Juni veröffentlichte CrowdStrike einen Bericht, in dem der DNC-Hack veröffentlicht und Fancy Bear als Schuldige identifiziert wurde. Dann erschien eine Online-Person, Guccifer 2.0, die den alleinigen Verdienst für den Verstoß geltend machte.

IRON TWILIGHT Supports Active Measures | Secureworks

Eine andere hoch entwickelte Hacking-Gruppe, die der Russischen Föderation zugeschrieben wird, mit dem Spitznamen Cosy Bear, war zur gleichen Zeit auch auf den Servern der DNC präsent. Die beiden Gruppen schienen sich jedoch der anderen nicht bewusst zu sein, da jede unabhängig voneinander dieselben Passwörter stahl und ihre Bemühungen auf andere Weise verdoppelte. Cosy Bear scheint eine andere Agentur zu sein, die sich mehr für traditionelle Langzeitspionage interessiert. Ein CrowdStrike-Forensikteam stellte fest, dass Cosy Bear zwar seit über einem Jahr im DNC-Netzwerk war, Fancy Bear jedoch nur wenige Wochen dort.

Laut CrowdStrike nutzte die Gruppe von 2014 bis 2016 Android-Malware, um auf die Raketentruppen und die Artillerie der ukrainischen Armee abzuzielen. Sie verteilten eine infizierte Version einer Android-App, deren ursprünglicher Zweck darin bestand, die Zieldaten für die D-30-Haubitzenartillerie zu steuern. Die von ukrainischen Offizieren verwendete App wurde mit der X-Agent-Spyware geladen und online in Militärforen veröffentlicht. CrowdStrike behauptete zunächst, dass mehr als 80% der ukrainischen D-30-Haubitzen im Krieg zerstört wurden, der höchste prozentuale Verlust aller Artilleriegeschütze in der Armee (ein Prozentsatz, der zuvor noch nie gemeldet worden war und den Verlust fast des gesamten Arsenals bedeuten würde des größten Artilleriegeschützes der ukrainischen Streitkräfte. Nach Angaben der ukrainischen Armee waren die Zahlen von CrowdStrike falsch und die Verluste an Artillerie-Waffen “lagen weit unter den gemeldeten” und diese Verluste “haben nichts mit der angegebenen Ursache zu tun”. CrowdStrike hat diesen Bericht inzwischen überarbeitet, nachdem das Internationale Institut für strategische Studien (IISS) seinen ursprünglichen Bericht abgelehnt hatte und behauptete, dass die Malware-Hacks zu Verlusten von 15 bis 20% statt zu ihrer ursprünglichen Zahl von 80% geführt hätten.

Fancy Bear: Russische Hacker griffen 200 Journalisten an | ZEIT ONLINE

Windows Zero-Day (Oktober 2016)
Am 31. Oktober 2016 hat die Threat Analysis Group von Google in den meisten Microsoft Windows-Versionen eine Zero-Day-Sicherheitsanfälligkeit festgestellt, die Gegenstand aktiver Malware-Angriffe ist. Am 1. November 2016 veröffentlichte Terry Myerson, Executive Vice President der Windows- und Gerätegruppe von Microsoft, einen Beitrag im Microsoft-Blog für Bedrohungsforschung und -reaktion, in dem er die Sicherheitsanfälligkeit anerkannte und erklärte, dass in einer “Spear-Phishing-Kampagne mit geringem Volumen” für bestimmte Benutzer zwei verwendet wurden Zero-Day-Schwachstellen in Adobe Flash und im Windows-Kernel auf niedrigerer Ebene. ” Microsoft wies auf Fancy Bear als Bedrohungsakteur hin und bezog sich auf die Gruppe mit ihrem internen Codenamen STRONTIUM.

Niederländische Ministerien (Februar 2017)
Im Februar 2017 gab der niederländische General Intelligence and Security Service (AIVD) bekannt, dass Fancy Bear und Cosy Bear in den vergangenen sechs Monaten mehrere Versuche unternommen hatten, sich in niederländische Ministerien, einschließlich des Ministeriums für allgemeine Angelegenheiten, einzumischen. Rob Bertholee, Leiter der AIVD, sagte auf EenVandaag, dass die Hacker Russen seien und versucht hätten, Zugang zu geheimen Regierungsdokumenten zu erhalten.

In einem Briefing an das Parlament kündigte der niederländische Innen- und Königreichsminister Ronald Plasterk an, dass die Stimmen für die niederländischen Parlamentswahlen im März 2017 von Hand gezählt würden.

IAAF-Hack (Februar 2017)
Die Beamten des Internationalen Verbandes der Leichtathletikverbände (IAAF) gaben im April 2017 an, dass seine Server von der Gruppe “Fancy Bear” gehackt wurden. Der Angriff wurde von der Cybersicherheitsfirma Context Information Security entdeckt, die feststellte, dass am 21. Februar ein nicht autorisierter Fernzugriff auf die Server der IAAF stattgefunden hatte. Die IAAF gab an, dass die Hacker auf die Anträge auf Ausnahmegenehmigung für die therapeutische Verwendung zugegriffen hatten, die für die Verwendung von von der WADA verbotenen Medikamenten erforderlich waren.

FANCY BEAR Archives - Security AffairsSecurity Affairs

Forscher von Trend Micro veröffentlichten 2017 einen Bericht, in dem die Versuche von Fancy Bear, Zielgruppen im Zusammenhang mit den Wahlkämpfen von Emmanuel Macron und Angela Merkel anzusprechen, beschrieben wurden. Dem Bericht zufolge haben sie die Macron-Kampagne mit Phishing und dem Versuch, Malware auf ihrer Website zu installieren, ins Visier genommen. Die Cybersicherheitsbehörde ANSSI der französischen Regierung bestätigte, dass diese Angriffe stattgefunden haben, konnte jedoch die Verantwortung von APT28 nicht bestätigen. Die Kampagne von Marine Le Pen scheint nicht von APT28 ins Visier genommen worden zu sein, was möglicherweise auf die russische Präferenz für ihre Kampagne hinweist. Putin hatte zuvor die Vorteile für Russland angepriesen, wenn Marine Le Pen gewählt wurde.

Dem Bericht zufolge richteten sie sich dann gegen die deutsche Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, Gruppen, die mit der Christlich-Demokratischen Union von Angela Merkel bzw. der Sozialdemokratischen Partei der Opposition verbunden sind. Fancy Bear hat Ende 2016 gefälschte E-Mail-Server eingerichtet, um Phishing-E-Mails mit Links zu Malware zu senden.

Internationales Olympisches Komitee
Am 10. Januar 2018 hat die Online-Persona “Fancy Bears Hack Team” die scheinbar gestohlenen E-Mails des Internationalen Olympischen Komitees (IOC) und des US-amerikanischen Olympischen Komitees von Ende 2016 bis Anfang 2017 als offensichtliche Vergeltung für das Verbot des IOC durchgesickert von russischen Athleten von den Olympischen Winterspielen 2018 als Sanktion für Russlands systematisches Dopingprogramm. Der Angriff ähnelt den früheren Lecks der World Anti-Doping Agency (WADA). Es ist nicht bekannt, ob die E-Mails vollständig authentisch sind, da Fancy Bear in der Vergangenheit gestohlene E-Mails mit Desinformation gesalzen hat. Die Art des Angriffs war ebenfalls nicht bekannt, war aber wahrscheinlich Phishing.

Cyber-Sicherheitsexperten haben auch behauptet, dass Angriffe offenbar auch auf das professionelle Abfüllunternehmen für Sportdrogentests gerichtet waren, das als Berlinger Group bekannt ist.

Fancy Bear verwendet fortschrittliche Methoden, die den Fähigkeiten staatlicher Akteure entsprechen. Sie verwenden Spear-Phishing-E-Mails, als Nachrichtenquellen getarnte Websites zum Löschen von Malware und Zero-Day-Schwachstellen. Eine Forschungsgruppe für Cybersicherheit stellte fest, dass 2015 nicht weniger als sechs verschiedene Zero-Day-Exploits verwendet wurden. Dies ist eine beachtliche technische Leistung, die eine große Anzahl von Programmierern erfordern würde, die nach bisher unbekannten Schwachstellen in kommerzieller Software der Spitzenklasse suchen. Dies ist ein Zeichen dafür, dass Fancy Bear ein staatliches Programm ist und keine Bande oder ein einsamer Hacker.

The Newcomer's Guide to Cyber Threat Actor Naming - Florian Roth ...

Eines der bevorzugten Ziele von Fancy Bear sind webbasierte E-Mail-Dienste. Ein typischer Kompromiss besteht darin, dass webbasierte E-Mail-Benutzer eine E-Mail erhalten, in der sie dringend aufgefordert werden, ihre Kennwörter zu ändern, um nicht gehackt zu werden. Die E-Mail enthält einen Link zu einer gefälschten Website, die eine echte Webmail-Oberfläche imitiert. Benutzer versuchen, sich anzumelden, und ihre Anmeldeinformationen werden gestohlen. Die URL wird häufig als verkürzter bit.ly-Link verdeckt, um Spamfilter zu umgehen. Fancy Bear sendet diese Phishing-E-Mails hauptsächlich montags und freitags. Sie senden auch E-Mails, die angeblich Links zu Nachrichten enthalten, aber stattdessen Links zu Malware-Drop-Sites, die Toolkits auf dem Computer des Ziels installieren. Fancy Bear registriert auch Domains, die legitimen Websites ähneln, und erstellt dann eine Parodie der Website, um ihren Opfern Anmeldeinformationen zu stehlen. Es ist bekannt, dass Fancy Bear seinen Befehlsverkehr über Proxy-Netzwerke von Opfern weiterleitet, die es zuvor kompromittiert hat.

Zu der von Fancy Bear verwendeten Software gehören ADVSTORESHELL, CHOPSTICK, JHUHUGIT und XTunnel. Fancy Bear verwendet eine Reihe von Implantaten, darunter Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy und DownRange-Tropfer. Basierend auf den Kompilierungszeiten kam FireEye zu dem Schluss, dass Fancy Bear seine Malware seit 2007 ständig aktualisiert hat. Um die Erkennung zu verhindern, kehrt Fancy Bear in die Umgebung zurück, um die Implantate zu wechseln, die Befehls- und Kontrollkanäle zu ändern und die persistenten Methoden zu ändern. Die Bedrohungsgruppe implementiert Gegenanalysetechniken, um ihren Code zu verschleiern. Sie fügen codierten Strings Junk-Daten hinzu, was das Decodieren ohne den Junk-Entfernungsalgorithmus schwierig macht. Fancy Bear ergreift Maßnahmen, um eine forensische Analyse seiner Hacks zu verhindern, die Zeitstempel für Dateien zurückzusetzen und die Ereignisprotokolle regelmäßig zu löschen.

Javelin vs. APT28 (Fancy Bear) – Javelin Networks Blog

Laut einer Anklage des United States Special Counsel wurde X-Agent von GRU-Leutnant Captain Nikolay Yuryevich Kozachek “entwickelt, angepasst und überwacht”.

Es ist bekannt, dass Fancy Bear Implantate für Zielumgebungen zuschneidet und sie beispielsweise für die Verwendung lokaler E-Mail-Server neu konfiguriert. Im August 2015 entdeckte und blockierte Kaspersky Lab eine Version des ADVSTORESHELL-Implantats, mit der Verteidigungsunternehmen angegriffen wurden. Eineinhalb Stunden nach dem Block hatten die Schauspieler von Fancy Bear eine neue Hintertür für das Implantat zusammengestellt und geliefert.

Bildung
Einheit 26165 war an der Gestaltung des Lehrplans an mehreren öffentlichen Schulen in Moskau beteiligt, einschließlich der Schule 1101.

Verwandte Personas
Fancy Bear erstellt manchmal Online-Personas, um Desinformation zu säen, Schuldzuweisungen abzulenken und plausible Leugnung für ihre Aktivitäten zu schaffen.

Guccifer 2.0
Eine Online-Person, die zum ersten Mal auftauchte und die Verantwortung für die DNC-Hacks übernahm, am selben Tag, an dem die Geschichte bekannt wurde, dass Fancy Bear verantwortlich war. Guccifer 2.0 behauptet, ein rumänischer Hacker zu sein, aber als sie vom Motherboard-Magazin interviewt wurden, wurden ihnen Fragen auf Rumänisch gestellt und sie schienen nicht in der Lage zu sein, die Sprache zu sprechen. Einige Dokumente, die sie veröffentlicht haben, scheinen Fälschungen zu sein, die aus Material früherer Hacks und öffentlich zugänglichen Informationen zusammengeschustert und dann mit Desinformation gesalzen wurden.

Fancy Bears ‘Hack Team
Eine Website, die erstellt wurde, um Dokumente zu verlieren, die bei den WADA- und IAAF-Angriffen aufgenommen wurden, wurde mit einem kurzen Manifest vom 13. September 2016 versehen, in dem verkündet wurde, dass die Website dem “Fancy Bears ‘Hack-Team” gehört, das angeblich ein “internationales Hack-Team” ist. die “für Fairplay und sauberen Sport stehen”. Die Seite übernahm die Verantwortung für das Hacken der WADA und versprach, “einen sensationellen Beweis dafür zu liefern, dass berühmte Athleten Dopingsubstanzen einnehmen”, beginnend mit der US-Olympiamannschaft, die “ihren Namen durch verdorbene Siege beschämt” habe. Die WADA sagte, einige der unter diesem Namen durchgesickerten Dokumente seien Fälschungen, und diese Daten seien geändert worden.

Russia hacked French election, Trend Micro says in report on ...

Anonymes Polen
Ein Twitter-Account mit dem Namen “Anonymous Poland” (@anpoland) übernahm die Verantwortung für den Angriff auf die Welt-Anti-Doping-Agentur und veröffentlichte Daten, die vom Schiedsgericht für Sport, einem sekundären Ziel, gestohlen wurden. ThreatConnect unterstützt die Ansicht, dass das anonyme Polen eine Strohpuppe von Fancy Bear ist, und bemerkt den Wechsel von einem historischen Fokus auf die Innenpolitik. Ein von Anonymous Poland hochgeladenes Screenshot-Video zeigt ein Konto mit polnischen Spracheinstellungen, aber der Browserverlauf hat gezeigt, dass sie in Google.ru (Russland) und Google.com (USA) gesucht hatten, aber nicht in Google.pl (Polen).