Поддержать проект Telegram
Главная / Хакерские группы / Fancy Bear (APT28)

Fancy Bear (APT28)

APT28, Sofacy, Pawn Storm, Sednit, Strontium

Активны Страна: Россия

Общее описание

Fancy Bear — это не плюшевый медведь с сердечком. Это одна из самых известных и безжалостных кибершпионских групп современности. В кибермире их ещё знают как APT28, Sofacy, Pawn Storm, Sednit и Strontium. Да, у хороших ребят всегда несколько имен. И да, за ними стоит не кто-нибудь, а самое настоящее российское военное ведомство — ГРУ.

Основная информация

Первое появление:
в 2004 году
Страна происхождения:
Россия
Альтернативные имена:
APT28, Sofacy, Pawn Storm, Sednit, Strontium
ОС для атак:

Microsoft Windows, macOS (OS X), Linux, Android

Технические детали

Используемые инструменты:

  • Spear-phishing: индивидуальные фишинговые атаки, заточенные под конкретную жертву.
  • Zero-day эксплойты: использование дыр в системах до того, как о них узнают защитники.
  • Фальшивые домены: регистрируют сайты, похожие на настоящие, чтобы красть логины и пароли.
  • Watering hole атаки: заражают популярные сайты, на которые заходят их цели.
  • Вредоносное ПО

Известные инструменты:

  • XAgent — RAT для Windows, Unix и даже iOS.
  • XTunnel — туннелирование трафика.
  • Zebrocy — spear-phishing-пакет.
  • CompuTrace/LoJack — перепрошитое ПО для выживания на устройстве.

Связь и аффилиация

Главное управление Генштаба ВС РФ, более известное миру просто как ГРУ. В 2018 году спецпрокурор США официально ткнул пальцем: это они, часть ГРУ №26165.

Цели

  • Государственные учреждения и политические организации
  • Военные и оборонные структуры
  • Энергетика и промышленность
  • Медиа и журналисты
  • Неправительственные организации, аналитические центры и активисты
  • Спортивные организации
  • Диссиденты и оппозиция

Особенности

  • Fancy Bear — это не просто взломать и убежать. Они параллельно проводят масштабные операции, аккуратно управляют атаками и используют инструменты собственного производства.
  • Работают в интересах государства: шпионаж, информационные войны, влияние на выборы.
  • Их поймали за руку не только коммерческие аналитики (CrowdStrike, FireEye, Mandiant и другие), но и официальные органы США и ЕС.

Атакуемые страны

Германия Германия
Чехия Чехия
Литва Литва
Польша Польша
Словакия Словакия
Швеция Швеция
Болгария Болгария
Италия Италия
Люксембург Люксембург
Черногория Черногория
Румыния Румыния
Турция Турция
Украина Украина
США США
Франция Франция
Великобритания Великобритания
Нидерланды Нидерланды
Греция Греция
ОАЭ ОАЭ
Иордания Иордания

Известные атаки

  • Взломы серверов DNC в США перед выборами 2016 года.
  • Атаки на Бундестаг, Белый дом, НАТО, WADA и даже предвыборную кампанию Эммануэля Макрона.
  • Ломали российских оппозиционеров и независимых журналистов.

Атакуемые отрасли

  • Госструктуры и армии (особенно НАТО, Восточная Европа, Украина, США).
  • Международные организации (тот же WADA за антидопинг).
  • Политические партии.
  • СМИ, аналитические центры, оппозиционных активистов.
  • Энергетический сектор, аэрокосмическую отрасль и оборонку.

Связанные статьи

Кибершпионаж: как тебя могут читать, пока ты спишь