Fancy Bear (також відома як APT28, Pawn Storm — укр. пішаковий штурм, Sofacy Group та Sednit) — угруповання, що спеціалізується на кібершпигунстві, дослідники пов'язують його з російськими спецслужбами. Ймовірно веде діяльність з 2007 року. Відоме атаками на інформаційні системи урядових, військових, безпекових організацій. Угруповання Sofacy відносять до типу розвиненої сталої загрози (англ. advanced persistent threat; APT).
APT28/Fancy Bear | |
---|---|
також відома як Sofacy Group, Pawn Storm, деякі операції від імені Кібер-Халіфату ІДІЛ, КіберБеркут, тощо. | |
На службі | початок діяльності в 2004-2007 рр. |
Країна | Росія |
Належність | ГУ ГШ ЗС РФ |
Вид | розвинена стала загроза |
Роль | операції в кіберпросторі |
Гарнізон/Штаб | в/ч № 26165, в/ч № 74455 рос. 85-й главный центр специальной службы ГРУ |
Війни/битви | серед відомих, зокрема: |
Інженери фірми TrendMicro зазначають, що ними були зафіксовані фішингові та націлені фішингові атаки цього угруповання. Pawn Storm також створювало фальшиві сервери, підроблені під корпоративні сервери жертв з метою викрадення їхніх облікових даних (логін-пароль).
На початку 2016 року німецька контррозвідка поширила попередження про зростання активності даного угруповання та звернула увагу на те, що воно діє під керівництвом російських державних органів. На думку керівника компанії CrowdStrike Дмитра Альперовича, перелік жертв кібератак цього угрупування істотно збігається зі стратегічними інтересами російського уряду, що може свідчити про взаємодію угрупування з Головним розвідувальним управлінням ГШ РФ. Так само Служба зовнішньої розвідки Естонії пов'язує це угрупування з ГРУ ГШ РФ.
У спільній заяві Міністерство національної безпеки США та директор Національної розвідки 7 жовтня 2016 року поклали відповідальність за нещодавні кібератаки, в яких були помічені сліди цього угруповання, на найвищі щаблі політичного керівництва Росії.
Діяльність
Огляд
Дослідники фірми FireEye зазначають, що на відміну від інших, дане угруповання не цікавить викрадення інтелектуальної власності заради грошового зиску. Натомість, воно спеціалізується на кібершпигунстві за військовими та політичними установами, викраденні інформації, що становить інтерес з точки зору оборони та геополітики; тобто, інформації, яка може бути цікава лише державі. Дослідникам інших фірм також вдалось виявити атаки даного угруповання проти дипломатичних установ, користувачів популярних служб електронної пошти, військових та оборонних відомств, постачальників для них, конференції, енергетичні компанії та засоби масової інформації.
Серед іншого, були зафіксовані операції проти державних установ Грузії, східноєвропейських країн, європейських оборонних організацій (ОБСЄ, НАТО). Угрупування веде активність щонайменше з 2004 або 2007 року. Інженерам фірми ESET вдалось встановити понад 1000 жертв угрупування, впливових осіб та високопосадовців з різних країн, на проти яких було здійснені фішингові атаки, в тому числі із використанням вразливостей нульового дня. Лише тільки в проміжку між 16 березня та 14 вересня 2015 року були виявлені спроби направлених фішингових атак проти власників 1888 різних поштових скриньок. В той самий часовий проміжок угрупування скористалось не менше шістьма різними вразливостями нульового дня.
Серед широко відомих жертв угрупування є Національний комітет Демократичної партії США, Німецький парламент (Бундестаг), французька компанія TV5Monde, міжнародна антидопінгова асоціація WADA. Окрім організацій, угрупування атаковало окремих приватних осіб, впливових людей в політичному середовищі східної Європи, України (в тому числі керівництва МВС), офіційних осіб НАТО, російських дисидентів та хактевістів з групи «Шалтай Болтай», науковців, які відвідували Росію, чеченські організації.
Серед атакованих організацій за період 16 березня — 14 вересня 2015 року були виявлені:
- Посольства Алжиру, Бразилії, Колумбії, Джибуті, Індії, Іраку, Північної Кореї, Киргизстану, Ливану, М'янми, Пакистану, Південної Африки, Туркменістану, Об'єднаних Арабських Еміратів, Узбекистану та Замбії.
- Міністерства оборони Аргентини, Бангладеш, Південної Кореї, Туреччини та України.
Час компіляції файлів використаного шкідливого ПЗ відповідає часовому поясу Санкт-Петербурга та Москви. Атаки переважно відбуваються з понеділка до п'ятниці протягом робочого дня.
На думку керівника компанії CrowdStrike Дмитра Альперовича, перелік жертв кібератак цього угрупування істотно збігається зі стратегічними інтересами російського уряду, що може свідчити про взаємодію угрупування з Головним розвідувальним управлінням ГШ РФ.
Відомі випадки, коли співробітники цього підрозділу подорожували за межі Російської Федерації з метою хакерських атак на інформаційні мережі жертв з фізично близької відстані. Так, наприклад, в квітні 2018 року було розкрито чотири співробітника ГУ ГШ ЗС РФ зі складу цього угрупування в Гаазі, під час проваленої хакерської атаки на бездротові мережі Wi-Fi Організації із заборони хімічної зброї.
Офіційні розслідування
Цей розділ потребує доповнення. |
19 жовтня 2020 року Міністерство юстиції США висунуло обвинувачення шістьом офіцерам, військовослужбовцям в/ч 74455 ГРУ ГШ ЗС РФ. Скоєні ними кібер-атаки мали допомогти російській владі шкодити Україні, Грузії, втрутитись у вибори у Франції, уникнути відповідальності за використання хімічної зброї — отруйної речовини нервово-паралітичної дії «Новичок» за межами Росії, перешкодити проведенню зимових олімпійських ігор 2018, на яких було заборонено російській команді виступати під державним прапором через систематичне використання допінгу, тощо.
Назва
Через проблему атрибуції кіберзлочинів, різні фірми та дослідники можуть давати різні назви одному й тому ж хакерському угрупованню.
- Фірма Trend Micro назвала угрупування, що стоїть за шкідливим ПЗ Sofacy, Operation Pawn Storm. Дане ім'я було обране через застосування угрупуванням «подібно до однойменного прийому в шахах двох та більше інструментів або тактичних прийомів проти однієї жертви».
- Фірма FireEye назвала дане угруповання «Advanced Persistent Threat 28» (APT28 — розвинена стала загроза 28).
- Фірма назвала дане угруповання (або його елементи) Threat Group-4127 (TG-4127).
Британський Національний центр комп'ютерної безпеки (NCSC) повідомляє, що даний підрозділ працював (станом на вересень 2018 року) під такими назвами-фасадами:
- APT 28
- Fancy Bear
- Sofacy
- Pawnstorm
- Sednit
- CyberCaliphate
- Cyber Berkut (КіберБеркут)
- Voodoo Bear
- BlackEnergy Actors (BlackEnergy)
- STRONTIUM
- Tsar Team
- Sandworm
Інструментарій
Дослідники вважають, що, серед іншого, угрупування має в своєму арсеналі два сімейства шкідливого ПЗ, яке отримало такі назви:
- Sofacy
- X-Agent: використовується проти важливіших цілей. Відомі окремі модифікації для роботи в системах без доступу до Інтернет (так звані ізольовані, або англ. air gapped системи)
Також в арсеналі угрупування називають такі інструменти: X-Tunnel, WinIDS, Foozer, DownRange, та навіть шкідливе ПЗ для операційних систем на основі Linux, OSX, iOS, телефонів Android і Windows Phone. Угрупування має в своєму арсеналі шкідливе ПЗ, що здатне оминати звичайні системи захисту. Однак зазвичай угрупування вдається до тактики направленого фішингу (англ. spear-phishing) для викрадення даних облікових записів своїх жертв.
У вересні 2018 року компанія ESET оприлюднила доповідь про LoJax — перший відомий руткіт для системи UEFI помічений у реальному вжитку. Інженерами компанії було виявлено один випадок успішного ураження підсистеми SPI та збереження руткіту у флеш-накопичувачі цієї підсистеми. Завдяки цьому шкідливе ПЗ могло залишатись в комп'ютері не лише при переформатуванні жорсткого диску, а навіть при заміні жорстких дисків. Єдиний шанс позбутись його — перезапис флеш-пам'яті вбудованого ПЗ системи UEFI.
Відомі кібератаки
Велика Британія
За даними Національного центру комп'ютерної безпеки в липні-серпні 2015 року зловмисникам з цього угрупування вдалось здобути доступ до скринь електронної пошти невеличкого телеканалу, їхній вміст викрадений.
В квітні 2018 року хакери з цього угрупування намагались отримати доступ до інформаційних систем лабораторії оборонних і наукових технологій (англ. Defence and Science Technology Laboratory, DSTL), а в березні того ж року — до інформаційних систем Форин-офіс шляхом фішингової атаки.
Німеччина
В 2015 році була виявлена кібератака на інформаційну систему Бундестагу; серед інших, вірусом був вражений комп'ютер федерального канцлера Німеччини Анґели Меркель. Відповідальність за атаку дослідники покладають на російське угрупування кіберзлочинців англ. Sofacy Group (також відоме як англ. Pawn storm), яких вважають пов'язаними з російськими спецслужбами.
В квітні-травні 2016 року відбулась спроба фішингової атаки на поштові системи Християнсько-демократичного союзу — політичної партії Ангели Меркель. Для викрадення облікових даних членів ХДС був створений фішинговий сервер в Естонії, який мав схоже доменне ім'я та вигляд, як і корпоративний поштовий сервер ХДС. Також, приблизно в цей же час, було створено три сервери для викрадення облікових даних важливих користувачів двох найпопулярніших поштових провайдерів Німеччини.
23 серпня 2016 року німецька контррозвідка поширила попередження про чергову фішингову атаку угрупування APT28, яке служить сурогатом російської розвідки, проти користувачів поштової служби та популярного в Німеччині інтернет-порталу (справжня адреса gmx[.]net). Такий висновок був зроблений після виявлення серверу з доменним іменем gmx-service[.]net.
Компрометація урядового зв'язку
28 лютого 2018 року німецька інформаційна агенція DPA поширила новину про те, що німецьким спецслужбам вдалось виявити несанкційоване втручання до інформаційних систем міністерства закордонних справ та міністерства оборони, були скомпрометовані захищені комп'ютерні мережі для урядового зв'язку [de] (IVBB). Зловмисникам вдалось встановити шкідливе програмне забезпечення та викрасти значні обсяги секретних документів. Основна підозра пала на угрупування APT28. Проте згодом до ЗМІ потрапила інформація, що насправді за атакою може стояти інше російське угрупування, яке більш інтегроване в структуру російських збройних сил. Підозра пала на угрупування (також відоме як Uroburos/Epic Turla/Snake/SnakeNet).
Вже надвечір того ж дня міністерство внутрішніх справ підтвердило, що федеральна агенція з безпеки інформаційних технологій та розвідувальні служби розслідують втручання в роботу урядових інформаційних систем.
США
Залякування дружин американських військових
В лютому 2015 року, за кілька тижнів до атаки на TV5Monde дружини американських військових стали отримувати електронні повідомлення з погрозами від імені «КіберХаліфату». Зловмисникам також вдалось здобути несанкційований доступ (зламати) до облікового запису Twitter громадської організації «Military Spouses of Strength». Зламавши обліковий запис зловмисники стали розсилати повідомлення з погрозами родинам військових та навіть першій леді Мішель Обамі.
На той час засоби масової інформації поклали відповідальність на членів або прибічників ІДІЛ а інцидент, таким чином, був використаний ольгінськими тролями для роздмухування міжрелігійної ненависті.
Проте фахівцями фірми Secureworks вдалось здійснити розслідування та в результаті встановити відповідальність за атаку за російськими хакерами.
Кібератака на Демократичну партію
В червні 2016 стало відомо про виявлення несанкціонованого втручання до інформаційної системи [en]. Несанкціоноване втручання було виявлене іще наприкінці квітня, тоді ж до розслідування була залучена фірма CrowdStrike. В результаті проведеного розслідування було встановлено, що зламати інформаційну систему вдалось двом угрупуванням російських хакерів — Cozy Bear (CozyDuke або APT29) та Fancy Bear (Sofacy Group або APT28). Група Cozy Bear отримала несанкційований доступ до інформаційної системи іще влітку 2015 року, а Fancy Bear — в квітні 2016 року. Вкупі, обидва угрупування спромоглись викрасти скриньки електронної пошти а також зібраний компромат на конкурента демократів на виборах Президента — Дональда Трампа.
Слід зазначити, що обидва угрупування діяли незалежно один від одного, були виявлені випадки зараження одного і того ж комп'ютера обома групами в спробах викрасти одну й ту саму інформацію.
Sofacy Group (Fancy Bear) використала шкідливе ПЗ під назвою X-Agent для віддаленого виконання команд, передачі файлів, шпигування за натисненими клавішами. Воно було запущене командою :
rundll32.exe "C:\Windows\twain_64.dll"
Також була використана програма X-Tunnel для встановлення з'єднань через систему NAT та віддаленого виконання команд. Обидві програми були доставлені всередині програми RemCOM — аналог з відкритими кодами комерційної програми PsExec. Також російські хакери вдались до декількох заходів зі знищення слідів свого перебування: періодичне вичищення журналів подій та зміна атрибутів часу зміни файлів.
Заради легалізації викрадених даних було створене опудало, що мало служити фасадом для угрупування — «хакер» за прізвиськом «Гуцифер 2.0» (англ. Guccifer 2.0). Дане прізвисько було запозичене в іншого хакера — румунця (рум. Marcel Lazăr Lehel), котрий назвав себе англ. Guccifer (злиття слів Gucci та Lucifer). Марсель Лехель став відомим завдяки зламу поштових скриньок відомих людей (зокрема, сестри Джорджа Вокера Буша). В 2014 році він був засуджений в Румунії до 7 років ув'язнення, але згодом переданий до Сполучених Штатів, де станом на 2016 рік очікує на вирок суду. Вже в США Лехель заявив, що неодноразово зламував особистий поштовий сервер Гілларі Клінтон, коли та була державним секретарем США (див. ). Проте, він не зміг навести жодного доказу, а слідчі — знайти жодних свідчень на підтвердження його слів. Однак в липні 2016 року директор ФБР Джеймс Комі заявив, що Лазар збрехав, коли заявив про злам поштового серверу Клінтон.
На відміну від першого Гуцифера, Guccifer 2.0 не зміг навести переконливі докази своєї автентичності, або що за цим фасадом стоїть реальна жива людина. На думку аналітиків фірми ThreatConnect, швидше за все, Guccifer 2.0 — лише спроба російських спецслужб облудою відвернути увагу від їхньої ролі у зламі інформаційних систем Демократичної партії Серед іншого: На думку фахівця з комп'ютерної безпеки Дейва Айтеля, оприлюднивши викрадені файли російські спецслужби перетнули червону лінію припустимого. Він запропонував вважати таке нахабне втручання іззовні в перебіг президентських виборів прикладом кібервійни.
Наступним кроком з легалізації викрадених даних, який отримав набагато більше розголосу, стала публікація сурогатом російських спецслужб Вікілікс решти файлів. 22 липня 2016 року організація розмістила у вільному доступі у себе на сайті 19 252 електронних листів з 8034 вкладеними файлами. Листи були викрадені з поштових скриньок 7 ключових осіб в DNC та охоплюють період від січня 2015 року до 25 травня 2016 року. Серед листів з вкладеними файлами були присутні й повідомлення голосової пошти.
У спільній заяві Міністерство національної безпеки США та директор Національної розвідки 7 жовтня 2016 року повідомили, що американська розвідка переконана у причетності російського уряду до «нещодавніх кібератак проти окремих осіб та політичних організацій». Розкриття викраденої інформації сайтами DCLeaks.com та WikiLeaks та інтернет-персонажем Guccifer 2.0 цілком вкладається у методи та цілі російського керівництва. Такі кібератаки з метою впливу на суспільну думку вже спостерігались в Європі та Євразії та мали бути схвалені на найвищих рівнях.
В березні 2018 року американське видання The Daily Beast із посиланням на власні «джерела» повідомило, що фахівцям фірми Threat Connect та співробітникам американської розвідки вдалось знайти докази, що за персонажем Guccifer 2.0 стоять співробітники ГРУ, що працюють в офісах ГРУ на вулиці Гризодубової в Москві. Оператори цього інтернет-персонажа заходили в соціальні мережі через анонамізатор Elite VPN з точкою виходу у Франції, але штаб-квартирою в Москві. Одного разу оператор припустився помилки і зайшов до соц. мереж зі своєї справжньої IP-адреси.
Фішингова компанія
Подальше розслідування показало, що в жовтні 2015 — травні 2016 року угрупування здійснило направлену фішингову (англ. spearfishing) атаку на користувачів поштовими послугами Gmail (як корпоративними, так і приватними). Всього було виявлено понад 3900 поштових скриньок, на які були відправлені фішингові листи. Для введення жертв у оману, зловмисники скористались інтернет-службою , яка дозволяє скорочувати і приховувати справжні адреси гіперпосилань. Прямого зв'язку між направленою фішинговою атакою та зламом інформаційної системи Національного комітету Демократичної партії США встановити не вдалось, проте можна припустити, що аналогічні методи допомогли розпочати проникнення до системи.
Серед цілей атаки були користувачі в Росії та країнах колишнього СРСР, чинні та колишні військові та державні службовці в США і Європі, працівники в сфері надання послуг державним установам та оборонним підприємствам, письменники та журналісти. Дослідникам вдалось встановити 573 поштові скрині, на які була здійснена атака, які належали американським високопосадовцям, працівникам оборонних підприємств, тощо. Серед жертв атаки були Джон Керрі, Колін Павелл, головнокомандувач сил НАТО Філіп Брідлав, його попередник генерал Веслі Кларк.
Також серед жертв атаки були особи, причетні до президентських виборів 2016 року в США: співробітники передвиборчої компанії Гілларі Клінтон (зокрема, відповідальні за її зв'язок, організацію подорожей, фінанси, рекламу в ЗМІ та радники з політичних питань) та члени (всього за цією лінією 130 поштових скринь). 19 березня 2016 року фішингова атака проти , керівника передвиборчого штабу Гіларі Клінтон, завершилась успіхом. А вже 9 жовтня того ж року, в розпал передвиборчої кампанії, сурогат російських спецслужб «Вікілікс» розпочав оприлюднення листів (у тому числі компрометуючих) з його поштової скрині.
Скорочені гіперпосилання вели користувача на контрольований зловмисниками сервер, який намагався видати себе за сервер Google (так званий спуфінг). Гіперпосилання містило в собі закодовану алгоритмом Base64 адресу електронної пошти, таким чином сервер зловмисників міг встановити особу жертви за заповнити сторінку її даними (ім'я, прізвище, поштова скриня, тощо). Якщо жертва вводила свій пароль, сервер встановлював з'єднання з сервером Google та отримував доступ до облікового запису.
Отримання доступу до облікових записів жертв у службах Google могло дати можливість зловмисникам отримати доступ не лише до їхніх поштових скриньок, а і до інших даних, зокрема, збережених файлів у службі Google Drive. Також у зловмисників з'являлась можливість розширити площину атаки направленою фішинговою атакою на співбесідників жертви, відправляючи листи з її поштової скрині.
За даними компанії Secureworks в березні 2015 — травні 2016 року угрупування здійснювало фішингові атаки проти американських фахівців, науковців працівників, співробітників, партнерів підприємств американського оборонно-промислового комплексу. Відомо про щонайменше 87 осіб, які отримували фішингові повідомлення, 40 % з них переходили за посиланнями. Жертви працювали в Lockheed Martin Corp., Raytheon Co., Boeing Co., Airbus Group, General Atomics та інших компаніях та установах.
Туреччина
В січні-лютому 2016 року угрупування спробувало здійснити фішингову атаку проти турецьких ЗМІ та урядових установ Туреччини. Заради цього були створені фальшиві сервери . Атака була спрямована проти:
- Управління ЗМІ та інформації уряду Туреччини,
- Національних зборів (тур. Türkiye Büyük Millet Meclisi),
- Газети Hürriyet,
- Адміністрації прем'єр-міністра Туреччини (тур. Başbakanlık).
Україна
Шкідливе програмне забезпечення пов'язане з угрупуванням APT28 було знайдене на комп'ютерах Центральної виборчої комісії України в травні 2014 року, після частково вдалої атаки на дочасних Президентських виборах 2014 року. Відповідальність за атаки тоді взяло на себе угрупування КіберБеркут.
Інженери фірми ESET зазначають, що їм вдалось виявити атаки проти політичних лідерів України та навіть керівництва МВС здійснені цим угрупуванням в проміжку між 16 березня та 14 вересня 2015 року.
В оприлюдненій в жовтні 2018 року доповіді британського центру інформаційної безпеки NCSC було перелічено назви угрупувань типу розвиненої сталої загрози, які пов'язують з цим підрозділом ГРУ. Серед перелічених назв були присутні «Sandworm» та «BlackEnergy actors» — обидва пов'язані з хакерськими атаками на енергетичні системи України в грудні 2015 року.
Компрометація ArtOS
В грудні 2016 року фахівці фірми CrowdStrike оприлюднили результати власного дослідження зразків програми Попр-Д30.apt розробленої капітаном 55-ї окремої артилерійської бригади Ярославом Шерстюком десь в проміжку між 20 лютого та 13 квітня 2013 року. 28 квітня того ж року обліковий запис соціальної мережі ВКонтакті з ідентичним іменем став поширювати цю програму зі своєї сторінки «рос. Програмное обеспечение современного боя». Як запобіжник неконтрольованому розповсюдженню, після завантаження та встановлення програми користувач мав звернутись до розробника за ключем для розблокування її роботи.
При цьому, ймовірно, йдеться про програму ArtOS або його попередника — калькулятора артилерійських поправок. Програмно-апаратний комплекс із використанням цієї програми дозволяє скоротити час, потрібний на ідентифікацію та враження об'єкту в чотири рази — до двох хвилин. Крім того, комплекс здатен розв'язувати до 70 % тактичних та бойових завдань, які постають перед артилеристами.
Вже 21 грудня 2014 року було вперше помічено на українському військовому інтернет-форумі файл установки програми скомпрометований імплантатом X-Agent. Швидше за все, скомпрометований варіант був створений в проміжку між кінцем квітня 2013-початком грудня 2014 року — саме тоді, коли політична криза переросла у російсько-українську війну з анексією Криму та бойовими діями на сході України.
Імплантат (троянець) X-Agent не мав деструктивних функцій, проте міг бути використаний для викрадення інформації із адресної книжки смартфону, вмісту SMS-повідомлень, журналу дзвінків, тощо. Зокрема, зловмисники мали можливість із його допомогою встановити місце знаходження (координати) зараженого пристрою.
- Значення
На жаль, дослідники не змогли встановити точну кількість заражених пристроїв та наслідки цієї операції: невідомо, чи були випадки виходу в інтернет з планшетів під час бойових дій, наскільки масовою була програма з інтернету, адже оригінальне ПЗ було поширене у закритий спосіб, тощо. Цілком може бути, що сам факт існування скомпрометованого варіанту програми ворожа сторона використовує для ускладнення використання важливої та ефективної артилерійської програми на планшетах ЗСУ, або навіть як чергову компанію «зради» для деморалізації супротивника.
Слід зазначити, що дослідження CrowdStrike було оприлюднене на тлі палких дискусій про вплив російських спецслужб на перебіг виборчої кампанії в США. Тому, навіть попри відсутність чітких доказів безпосереднього зв'язку між цією кібершпигунською операцією та бойовими втратами українських військових, на думку американських дослідників даний епізод важливий тим, що дозволяє стверджувати про прямі зв'язки між хакерами, які зламали системи Демократичної партії, та Головним розвідувальним управлінням ГШ РФ.
Фінляндія
В серпні 2015 року був створений підроблений сервер з доменим іменем, що лише однією літерою відрізнялось від доменного імені корпоративного серверу найбільшого видавця Фінляндії — . Зовнішній вигляд та інтерфейс користувача був також надзвичайно схожим на оригінальний сервер Sanoma. Сервер проіснував декілька тижнів. Дана спроба викрадення даних була помічена фахівцями компанії Trend Micro та доведена до відома Sanoma. За даними інженерів Sanoma, атака не мала успіху.
Франція
Кібератака на TV5Monde
8 квітня 2015 року французька телекомпанія TV5Monde стала жертвою кібератаки хакерського угрупування, що назвало себе «КіберХаліфат» (англ. CyberCaliphate) та заявило про зв'язки з ІДІЛ. Хакери змогли потрапити до внутрішньої комп'ютерної мережі компанії, як спочатку здавалось завдяки випадково розголошеним паролям, та змінили програму передач за 3 години. Роботу телеканалу вдалось частково відновити рано вранці наступного дня, а нормальна робота була порушена аж до пізньої ночі 9 квітня.
Внаслідок атаки залишились виведеним з ладу різні інформаційні системи, включно із сервером електронної пошти. Хакери також взяли під свій контроль офіційні сторінки телекомпанії в соціальних мережах Facebook та Twitter де розмістили особисту інформацію родичів французьких солдатів, що брали участь в операції проти ІДІЛ. Також були розміщені заяви проти Президента Франції Франсуа Олланда: начебто є «подарунком» за його «неприпустиму помилку» втручання в конфлікти, що «не мають жодного сенсу».
В рамках надзвичайного звернення стосовно атаки Флер Пеллерен, закликла зібрати термінову нараду голів різних засобів масової інформації. Зустріч відбулась 10 квітня у невідомому місці. Прем'єр-міністр Франції Мануель Вальс назвав кібератаку «неприйнятною образою свободі інформації та слова». Його колега, Бернар Казнев спробував заспокоїти громадськість заявивши, що Франція «вже посилила заходи проти кібератак для запобігання успішним атакам» після терактів у січні того ж року, які забрали життя 20 людей.
Французькі слідчі згодом відкинули версію про причетність ісламістів до кібератаки, натомість головним підозрюваним було назване угрупування APT28/Sofacy. В жовтні 2016 року Бі-Бі-Сі розкрила додаткові деталі інциденту. Внаслідок проведеного розслідування було встановлено, що зловмисники отримали доступ до мережі іще 23 січня та відтоді здійснювали ретельну розвідку роботи телеканалу та передачі сигналу прямого ефіру. Внаслідок розвідки ними було створене шкідливе ПЗ для виведення з ладу під'єднаного до інтернету обладнання. Всього зловмисники скористались 7-ма різними точками проникнення до мережі, атак зазнали сторонні партнери телеканалу, навіть з інших країн. За даними слідства основною метою атаки було повне знищення телеканалу, яке не сталось лише завдяки щасливому збігу обставин та вчасному від'єднанню заражених комп'ютерів від мережі.
Телеканал зазнав великих матеріальних збитків, які оцінюють на рівні €5 млн ($5.6 млн; £4.5 млн) за перший рік. В перші дні працівникам довелось відправляти листи факсом, оскільки електронна пошта не працювала. Надалі компанія планує витрачати близько €3 млн (£3.4 млн; £2.7 млн) на захист інформаційних систем а також провести курси підвищення комп'ютерної грамотності серед своїх працівників.
Втручання у президентські вибори (2017 рік)
Під час президентських перегонів у 2017 році поштові скрині низки людей зі штабу кандидата в Президенти Франції Еммануеля Макрона було зламано, їхній зміст викрадено і згодом поширено подібно до того, як було поширено листи передвиборчої кампанії Гіларі Клінтон в 2016 році.
І хоча офіційні представники Франції заперечили причетність російських спецслужб до хакерської атаки, в метаданих опублікованих документів були помічені згадки користувача «Рошка Георгий Петрович» або «Georgy Petrovich Roshka». На основі відкритих даних вдалось встановити, що чоловік з таким іменем та прізвищем служить у в/ч № 26165. Ця військова частина також відома як «85-й главный центр специальной службы ГРУ».
Влітку 2018 року спеціальний слідчий Роберт Мюллер висунув обвинувачення 12 російським військовослужбовцям з в/ч 26165 та в/ч 74455. Із обвинувачення випливало, що обидві військові частини підпорядковані ГРУ ГШ РФ.
Інші
Саміт APEC 2013
Саміт APEC 2013 року відбувся в Індонезії. Фірма Trend Micro помітила та повідомила про фішингову атаку на зацікавлених самітом осіб (як учасників, так і ні). Жертви отримали листи відправлені від імені «Media APEC Summit 2013» з двома вкладеними файлами Excel. Один з них містив шкідливий код, який скористався вразливістю Microsoft Office CVE-2012-0158 для запуску на комп'ютері жертви програми, яка через низку проміжних кроків вражала операційну систему бекдором BKDR_SEDNIT.SM. При цьому, шкідливі програми обмінювались даними з серверами зловмисників, отримували та виконували з нього команди. Встановлений бекдор стежив та передавав натиснені користувачем клавіші (Keylogger) а також виконував отримані від зловмисників команди.
MH17
Це ж угрупування намагалось зламати інформаційні системи (нід. Onderzoeksraad) аби отримати доступ до інформації про перебіг розслідування збиття літака рейсу MH17 17 липня 2014 року.
В 2016 році була зафіксована спроба несанкціонованого проникнення до персонального комп'ютера Велі-Пекка Ківімакі (фін. Veli-Pekka Kivimäki) одного із учасників волонтерського проекту OSINT-розслідувань Bellingcat. Цей проект присвятив велику увагу розслідуванню обставин збиття літака малазійських авіаліній російськими військовослужбовцями.
Велі-Пекка став ціллю невдалої фішингової атаки — йому був відправлений спеціально орієнтований на нього електронний лист.
13 липня 2018 року проти 12 співробітників ГРУ ГШ РФ Міністерством юстиції США було висунуто обвинувачення у втручанні у вибори 2016 року (зокрема, здійснення низки кібератак). В обвинуваченні було перелічено імена 12 офіцерів та названо дві військові частини, в яких вони служили. Розслідування відкритих джерел журналістами «Радіо Свобода» показало, що одна з названих військових частин, номер 74455, знаходиться у доволі великій будівлі за адресою Хорошевское шосе № 76. З результатами розслідування групою Bellingcat за цією ж адресою знаходиться штаб-квартира ГРУ, і тут же працював офіцер ГРУ Олег Іванніков (псевдо «Оріон»), який був причетний до постачання ЗРК «Бук» на схід України влітку 2014 року, з якого було збито літак рейсу MH17.
Кібер Халіфат
Станом на травень 2018 року відомо щонайменше про дві хакерські атаки здійснені членами угрупування від імені терористичної організації ІДІЛ «КіберХаліфат» (англ. CyberCaliphate). Це залякування дружин і родин американських військових в лютому 2015 року, та акт кібертероризму проти французького телеканалу TV5Monde із подальшим залякуванням родин французьких військових, які в той час брали активну участь у військовій операції проти бойовиків ІДІЛ.
Слід зазначити, що 11 вересня 2014 року ольгінські тролі здійснили успішну інформаційно-психологічну операцію із [en] (так звана англ. Columbian Chemicals Plant explosion Hoax). При цьому вони так само діяли від імені «КіберХаліфату», а для інформаційного впливу на американських громадян були використані зламані облікові записи деяких ЗМІ.
Carberp (США та Польща)
В травні 2016 року була зареєстрована направлена фішингова атака на неназвані урядові органи в США та Польщі із використанням варіанту «Carberp» шкідливого ПЗ «Sofacy Trojan». В цій атаці був використаний новітній механізм забезпечення присутності шкідливого ПЗ на інфікованому комп'ютері.
Листи з інфікованими вкладеннями були відправлені 28 травня 2016 року зі зламаної поштової скрині Міністерства зовнішніх справ однієї неназваної країни (ознаки спуфінгу виявлені не були). Лист мав тему «FW: Exercise Noble Partner 2016» (англ. Noble Partner — спільні грузинсько-американські військові навчання «Шляхетний партнер» з підвищення ступеню сумісності зі стандартами НАТО). До відправленого в США листа був прикріплений файл в форматі RTF «Exercise_Noble_Partner_16.rtf», в Польщу — файли з назвами «Putin_Is_Being_Pushed_to_Prepare_for_War.rtf» та «Russian anti-Nato troops.rtf».
Прикріплений документ-приманка намагався скористатись загрозою CVE-2015-1641 аби записати у файлову систему комп'ютера файли «btecache.dll» та «svchost.dll».
Також інфікований документ створював ключ в реєстрі Windows який, на відміну від решти троянів, запускає «btecache.dll» не при завантаженні операційної системи, а при запуску програм з пакету Microsoft Office. Такий підхід ускладнює виявлення та аналіз шкідливого ПЗ в автоматизованих системах.
Всесвітнє антидопінгове агентство (серпень 2016)
В серпні 2016 року Всесвітнє антидопінгове агентство (ВАА, англ. World Anti-Doping Agency, WADA) повідомило про отримання користувачами її бази даних фішингових листів начебто як від імені організації із запитом даних облікового запису (логін-пароль). Вивчення використаних в цій атаці двох серверів показало, що реєстраційна та хостингова інформація збігається з типовими методами роботи угрупування Fancy Bear. За даними ВАА деякі з оприлюднених зловмисниками документів мали сфальшований вміст.
Через ВАА рекомендувала заборонити російським спортсменам брати участь в Олімпійських та паралімпійських іграх 2016 року. Деякі аналітики зробили припущення, що хакерська атака є помстою проти російської спортсменки особиста інформація якої була також оприлюднена зловмисниками. В серпні 2016 року ВАА оголосила, що зловмисникам вдалось отримати несанкційований доступ до її антидопінгової бази даних. Зловмисники з угрупування Fancy Bear скомпрометували обліковий запис створений від імені Міжнародного олімпійського комітету. Потім зловмисники стали оприлюднювати особисту інформацію про спортсменів на сайті fancybear.net. Особливу увагу вони приділяли тим спортсменам, до яких були застосовані винятки з правила через лікувальне використання медичних препаратів, зокрема, були оприлюднені дані Сімона Байлс, Вінус та Серена Вільямс, та Єлена Делле Донн. Трохи згодом вони оприлюднили дані спортсменів з інших країн.
Проникнення до комп'ютерних мереж організації було здійснено, в тому числі, шляхом зламу бездротової мережі Wi-Fi хакерами, що знаходились у безпосередній близкості до готелю, де відбувалась конференція. Отримавши несанкційований доступ до ноутбука представника Канади, їм вдалось встановити шпигунське ПЗ та використати цей ноутбук як плацдарм для проникнення до комп'ютерних мереж Канадського центру організації, а звідти навіть до міжнародного олімпійського комітету.
Слід зазначити, що за даними американської журналістки Елен Накашіми (із посиланням на анонімні джерела в американській розвідці) те саме угрупування стоїть за кібератакою на інформаційні системи Зимових Олімпійських ігор 2018 року та насправді є підрозділом рос. "Главный центр специальных технологий" ГРУ ГШ РФ. Це ж угрупування стоїть за масштабними хакерськими атаками проти України в червні 2017 року із використанням вірусу NotPetya.
В листопаді 2018 року американська прокуратура висунула обвинувачення проти семи службовців російського ГРУ через скоєні ними хакерські атаки. Серед жертв атак була назване Всесвітнє антидопінгове агенство, американська компанія з виробництва ядерного палива Вестінгауз, та інші. Звинувачення були висунуті проти:
- Олексій Морінець (вік 41 років),
- Євгеній Серебряков (вік 37 років),
- Іван Єрмаков (вік 32 роки),
- Артем Малишев (вік 30 років),
- Дмитро Бадін (вік 27 років),
- Олег Сотніков (вік 46 років),
- Олексій Мінін (вік 46 років).
Четверо з них (Моренець, Серебряков, Сотніков та Мінін) були розкриті та затримані нідерландською контррозвідкою під час хакерської атаки проти Організації із заборони хімічної зброї (ОЗХЗ) в Гаазі (див. нижче).
Операції проти журналістів
В грудні 2017 року журналісти інформаційного агентства Associated Press на основі даних компанії здійснили власне розслідування, в результаті якого встановили, що журналісти різних видань з різних країн становлять третю за чисельністю групу серед жертв угрупування Fancy Bear. Розслідувачам вдалось встановити особи понад 200 журналістів, які стали жертвами атак. Серед них 50 журналістів The New York Times, іще 50 журналістів міжнародних видань, що працювали в Росії або журналістів російських незалежних мас медіа. Серед жертв угрупування також були виявлені відомі журналісти в Україні, Молдові, країнах Балтії та Вашингтоні.
Яскравим прикладом методів роботи угрупування був названий випадок з російським журналістом Павлом Лобковим, особисті розмови якого були викладені в інтернет в грудні 2015 року. За словами Лобкова, публікація особистих розмов завдала йому великої шкоди
VPNFilter
За даними американського видання The Daily Beast ФБР спільно з компанією Cisco Talos вдалось вчасно виявити та у травні 2018 року знешкодити ботнет з близько 500 000 заражених роутерів у 54 країнах світу.
Виявлене шкідливе ПЗ отримало назву «VPN Filter». Для свого поширення воно використовує відомі уразливості популярних моделей роутерів виробництва компаній Linksys, MikroTik, NETGEAR, та TP-Link. Після ураження роутера ПЗ перевіряє певні фотографії на вебсервісі Photobucket у метаданих яких прихована службова інформація. За відсутності цих фотографій (станом на травень 2018 року вони були видалені) ПЗ звертається за командами на вебсервер ToKnowAll[.]com.
Шкідливе ПЗ має модульну архітектуру та може завантажувати модулі для виконання певних завдань. Було виявлено модуль для прослуховування мережевого трафіку з метою викрадення облікових даних, інший модуль націлений на роботу з протоколами промислових систем управління, іще один модуль покликаний виводити з ладу уражені пристрої.
Згідно судових документів слідство отримало істотну допомогу від громадянина, який звернувся по допомогу та надав для дослідження власний роутер, уражений цим ПЗ. Цей громадянин також погодився співпрацювати зі слідством та встановити у себе обладнання для прослуховування трафіку між шкідливим ПЗ та його серверами управління.
Проте, «VPN Filter» має обмежені можливості для самозбереження на ураженій системі: наприклад, завантажені модулі втрачаються після перезавантаження.
В травні 2018 року ФБР отримало дозвіл суду на підпорядкування під свій контроль доменного імені вебсервера ToKnowAll[.]com. Завдяки цьому атаку вдалось зупинити.
Константинопольський патріархат
В серпні 2018 року інформаційне агенство AP звернуло увагу на те, що із оприлюднених раніше компанією SecureWorks списку близько 4700 електронних поштових скриньок, які намагались зламати російські хакери в 2016 році, випливало, що російська розвідка намагалась шпигувати за представниками Константинопольського патріархату.
Зокрема, російські розвідники намагались викрасти паролі до поштових скриньок декількох метрополітів. Серед них: Варфоломея Самараса, якого вважають дуже наближеним до вселенського патріарха; Емануїла Адамакіса, який має великий вплив у церкві; Елпідофороса Ламбрініадіса, який очолює престижну семинарію на острові Халкі.
На думку журналістів, основною причиною такої уваги з боку російських спецслужб є питання про надання Томосу про автокефалію Української православної церкви.
Журналісти також звернули увагу на те, що російська православна церква має дуже близькі стосунки спочатку з радянськими, а тепер вже і з російськими спецслужбами.
Слід зазначити, що серед потенційних жертв російських розвідників були численні представники інших релігійних організацій різних віросповідань.
Організація із заборони хімічної зброї
У травні 2018 року зловмисники цього угрупування розіслали фішингові листи начебто від імені швейцарських федеральних чиновників співробітникам ОЗХЗ. Метою атаки було отримати несанкційований доступ до інформаційних мереж організації. У квітні 2018 року була зроблена наступна спроба хакерської атаки на інформаційні системи організації.
У цей час організація проводила аналіз даних та допомагала в розслідуванні хімічної атаки на Думу та застосування офіцерами ГУ ГШ ЗС РФ хімічної зброї у Великій Британії.
Особливістю хакерської атаки в квітні 2018 року було те, що службовці цього підрозділу здійснили подорож до Гааги, аби опинитись ближче до бездротових мереж Wi-Fi ОЗХЗ. Так, у листопаді 2018 року уряд Нідерландів та уряди країн-членів союзу Five Eyes повідомили про зірвану операцію російської розвідки.
Згідно з оприлюдненими даними 10 квітня четверо російських розвідників прибули до країни під дипломатичними паспортами, в аеропорту були зустрінуті співробітником російського посольства, наступного дня взяли на прокат Citroën C3 та припаркували на паркувальному майданчику готелю в безпосередній близькості зі штаб-квартирою ОЗХЗ.
Нідерландські правоохоронці та контррозвідники виявили в багажному відсіку цього автомобіля спеціалізоване обладнання для хакерських атак на мережі Wi-Fi, його антена була скерована на офіс міжнародної організації.
У плани розкритої групи входила подорож до сертифікованої лабораторії ОЗХЗ в місті Шпіц, у них вже були придбані навіть залізничні квитки на 17 квітня.
За документами імена розкритих агентів були:
- Олексій Моренець (рос. Алексей Сергеевич Моренец),
- Євгеній Серебряков (рос. Евгений Михайлович Серебряков),
- Олег Сотніков (рос. Олег Михайлович Сотников),
- Олексій Мінін (рос. Алексей Валерьевич Минин).
За даними американської прокуратури ці четверо входили у склад груп ГРУ, відповідальних за здійснення хакерських атак у безпосередній фізичній близькості до жертви на випадок коли «звичайних» методів віддалених хакерських атак виявиться недостатньо для виконання поставленого завдання. Так, наприклад, Серебряков подорожував під дипломатичним прикриттям до Малайзії з для здійснення хакерської атаки проти генеральної прокуратури та королівської поліції з метою викрадення даних про розслідування збиття Boeing 777 біля Донецька (рейс MH17).
Примітки
- Feike Hacquebord (Senior Threat Researcher) (11 травня 2016). . TrendLabs Security Intelligence Blog. Архів оригіналу за 19 травня 2016. Процитовано 24 травня 2016.
- (PDF). Bundesamt für Verfassungsschutz. 3 березня 2016. Архів оригіналу (PDF) за 6 жовтня 2016. Процитовано 2 серпня 2016.
Führende IT-Sicherheitsunternehmen gehen bei Sofacy/APT 28 von einer Steuerung durch staatliche Stellen in Russland aus.
- Dmitri Alperovitch (14 червня 2016). . CrowdStrike. Архів оригіналу за 24 травня 2019. Процитовано 15 червня 2016.
- (PDF) (Звіт). Välisluureametist/Estonian Foreign Intelligence Service. Feb 2018. с. 53. Архів оригіналу (PDF) за 26 жовтня 2020. Процитовано 9 лютого 2018.
- . 7 жовтня 2016. Архів оригіналу за 10 грудня 2016. Процитовано 10 жовтня 2016.
- . Popular Science. 7 жовтня 2016. Архів оригіналу за 12 жовтня 2016. Процитовано 10 жовтня 2016.
- . FireEye. 2014. Архів оригіналу за 28 травня 2016. Процитовано 23 травня 2016.
- Chris Doman (9 жовтня 2014). . PWC. Архів оригіналу за 2 серпня 2016. Процитовано 2 серпня 2016.
- Graham Cluley (20 Oct 2016). . We Live Security. Архів оригіналу за 25 жовтня 2016. Процитовано 25 жовтня 2016.
- Laura Smith-Spark, Katie Polglase (5 жовтня 2018). . CNN. Архів оригіналу за 9 жовтня 2018. Процитовано 9 жовтня 2018.
- Andy Greenber (19 жовтня 2020). . Wired. Архів оригіналу за 19 жовтня 2020. Процитовано 19 жовтня 2020.
- Gogolinski, Jim. . Trend Micro. Архів оригіналу за 8 вересня 2015. Процитовано 1 липня 2016.
- (PDF). Trend Micro. 2014. Архів оригіналу (PDF) за 13 вересня 2016. Процитовано 1 липня 2016.
- Menn, Joseph (18 квітня 2015). . Reuters. Архів оригіналу за 11 жовтня 2015. Процитовано 1 липня 2016.
- SecureWorks Counter Threat Unit (26 червня 2016). . Threat Analysis. SecureWorks. Архів оригіналу за 11 серпня 2019. Процитовано 1 липня 2016.
- . National Cyber Security Center. 4 жовтня 2018. Архів оригіналу за 8 жовтня 2018. Процитовано 4 жовтня 2018.
- . Vice. Motherboard. Архів оригіналу за 21 лютого 2017. Процитовано 20 лютого 2017.
- ESET Research (27 вересня 2018). . We Live Security. Архів оригіналу за 11 жовтня 2018. Процитовано 10 жовтня 2018.
- . International Business Times UK. 15 червня 2015. Архів оригіналу за 1 червня 2016. Процитовано 16 травня 2016.
- Jason Murdock (12 травня 2016). . International Business Times UK. Архів оригіналу за 18 травня 2016. Процитовано 16 травня 2016.
- . Wirtschaftsschutz. 23 серпня 2016. Архів оригіналу за 11 вересня 2016. Процитовано 29 серпня 2016.
- . NTV. 28 лютого 2018. Архів оригіналу за 2 вересня 2018. Процитовано 1 березня 2018.
- Andreas Wilkens (1 березня 2018). . Heise online. Архів оригіналу за 2 березня 2018. Процитовано 2 березня 2018.
- Christoph Eisenring, Christian Weisflog (1 березня 2018). . Neue Züricher Zeitung. Архів оригіналу за 1 березня 2018. Процитовано 1 березня 2018.
- Помилка цитування: Неправильний виклик тегу
<ref>
: для виносок під назвою2018-05-08
не вказано текст - . CNBC News. 8 травня 2018. Архів оригіналу за 8 травня 2018. Процитовано 8 травня 2018.
- Ellen Nakashima (14 червня 2016). . Washington Post. Архів оригіналу за 22 травня 2019. Процитовано 15 червня 2016.
- Cynthia McFadden, Tim Uehlinger & Tracy Connor (5 травня 2016). . NBC News. Архів оригіналу за 1 серпня 2016. Процитовано 1 липня 2016.
- . Associated Press. 4 травня 2016. Архів оригіналу за 2 серпня 2016. Процитовано 1 липня 2016.
[T]he hacker provided no proof of his claim to have hacked Clinton's server
- Pete Williams (25 травня 2016). . NBC News. Архів оригіналу за 29 липня 2016. Процитовано 1 липня 2016.
[Lehel] refused to show any of the material he said he found on the Clinton server, and federal investigators said they have found no evidence to back up his claim.
- Matt Zapotosky (5 травня 2016). . Washington Post. Архів оригіналу за 14 грудня 2020. Процитовано 1 липня 2016.
U.S. officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton’s personal email server. The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others, and they believed if he had accessed Clinton's emails, he would have released them — as he did when he got into accounts of other high-profile people.
- Patrick Howell O'Neill (7 липня 2016). . The Daily Dot. Архів оригіналу за 30 липня 2016. Процитовано 8 липня 2016.
- Lorenzo Franceschi-Bicchierai (21 червня 2016). . Motherboard. Архів оригіналу за 26 липня 2016. Процитовано 1 липня 2016.
- Dan Goodin (Jun 17, 2016). . Ars Technica. Архів оригіналу за 22 серпня 2016. Процитовано 1 липня 2016.
- Lorenzo Franceschi-Bicchierai (30 червня 2016). . Motherboard. Архів оригіналу за 3 серпня 2016. Процитовано 1 липня 2016.
- Ellen Nakashima (20 June 2016). . Washington Post. Архів оригіналу за 3 серпня 2016. Процитовано 1 липня 2016.
- . ThreatConnect. 29 червня 2016. Архів оригіналу за 27 липня 2016. Процитовано 1 липня 2016.
- Dave Aitel (Jun 17, 2016). . Ars Technica. Архів оригіналу за 26 липня 2016. Процитовано 1 липня 2016.
- John R. Schindler (25 липня 2016). . Observer. Архів оригіналу за 1 серпня 2016. Процитовано 2 серпня 2016.
By stepping into the middle of our Presidential race, the obvious Russian front has outed themselves. … This, of course, means that Wikileaks is doing Moscow’s bidding and has placed itself in bed with Vladimir Putin. … In truth, to anyone versed in counterintelligence and Russian espionage tradecraft, Wikileaks has been an obvious Kremlin front for years, …
- Andrea Peterson (22 липня 2016). . Washington Post. Архів оригіналу за 14 листопада 2016. Процитовано 2 серпня 2016.
- Matt Tait (28 липня 2016). . Lawfare. Архів оригіналу за 19 серпня 2016. Процитовано 2 серпня 2016.
- Spencer Ackerman, Kevin Poulsen (22 березня 2018). . The Daily Beast. Архів оригіналу за 23 березня 2018. Процитовано 23 березня 2018.
- SecureWorks Counter Threat Unit™ Threat Intelligence (16 червня 2016). . Threat Analysis. Архів оригіналу за 20 липня 2016. Процитовано 29 червня 2016.
- By RAPHAEL SATTER, JEFF DONN and JUSTIN MYERS (2 жовтня 2017). . Associated Press. Архів оригіналу за 25 листопада 2021. Процитовано 2 листопада 2017.
- Lorenzo Franceschi-Bicchierai (20 жовтня 2016). . Vice News. Motherboard. Архів оригіналу за 29 січня 2017. Процитовано 5 січня 2017.
- BY JEFF DONN, DESMOND BUTLER, RAPHAEL SATTER (7 лютого 2018). . Associated Press. Архів оригіналу за 15 лютого 2018. Процитовано 15 лютого 2018.
- Feike Hacquebord (Senior Threat Researcher) (9 березня 2016). . TrendLabs Security Intelligence Blog. Архів оригіналу за 1 червня 2016. Процитовано 25 травня 2016.
- Nikolay Koval (2015). Revolution Hacking. У Kenneth Geers (ред.). . Tallinn: NATO CCD COE Publications. ISBN . Архів оригіналу за 16 серпня 2016. Процитовано 23 травня 2016.
- CROWDSTRIKE GLOBAL INTELLIGENCE TEAM (22 грудня 2016). (PDF). CrowdStrike. Архів оригіналу (PDF) за 24 грудня 2016. Процитовано 22 грудня 2016.
- Евгения Фаенкова (08.11.2015). . Українська Правда. Життя. Архів оригіналу за 14 січня 2017. Процитовано 23 грудня 2016.
- Олеся Блащук (04 Мая 2016). . AIN. Архів оригіналу за 23 грудня 2016. Процитовано 22 грудня 2016.
- Коваленко Богдана (03-11-2015). . Индустриалка. Архів оригіналу за 23 грудня 2016. Процитовано 22 грудня 2016.
- Є гіпотеза, що російські хакери за допомогою трояну намагаються відстежити дії української артилерії. Texty.org.ua. 22/12/2016. Процитовано 22/12/2016.
- Ellen Nakashima (22 грудня 2016). . Washington Post. Архів оригіналу за 15 січня 2017. Процитовано 23 грудня 2016.
- . YLE. 30.5.2016. Архів оригіналу за 31 травня 2016. Процитовано 31 травня 2016.
- . Arstechnica. Архів оригіналу за 28 грудня 2015. Процитовано 6 червня 2016.
- . Daily Telegraph. 9 квітня 2015. Архів оригіналу за 9 квітня 2015. Процитовано 10 квітня 2015.
- . The Guardian. 9 квітня 2015. Архів оригіналу за 10 квітня 2015. Процитовано 10 квітня 2015.
- . The Independent. 9 квітня 2015. Архів оригіналу за 13 квітня 2015. Процитовано 9 квітня 2015.
- . Reuters. 10 червня 2015. Архів оригіналу за 23 червня 2015. Процитовано 9 липня 2015.
- Gordon Corera (10 October 2016). . Technology. BBC News. Архів оригіналу за 11 жовтня 2016. Процитовано 11 жовтня 2016.
- Kevin Poulsen (20 липня 2018). . The Daily Beast. Архів оригіналу за 23 липня 2018. Процитовано 23 липня 2018.
- Роман Доброхотов (2 червня 2017). . The Insider. Архів оригіналу за 23 липня 2018. Процитовано 23 липня 2018.
- Eruel Ramos (8 жовтня 2013). . TrendLabs Security Intelligence blog. Архів оригіналу за 1 серпня 2016. Процитовано 2 серпня 2016.
- Feike Hacquebord (23 жовтня 2015). . TrendLabs Security Intelligence Blog. Архів оригіналу за 31 травня 2016. Процитовано 16 травня 2016.
- . RFE/RL's Russian Service. 19 липня 2018. Архів оригіналу за 19 липня 2018. Процитовано 20 липня 2018.
- . Bellingcat. 25 серпня 2018. Архів оригіналу за 26 липня 2018. Процитовано 20 липня 2018.
- . Palo Alto Networks. травень 2016. Архів оригіналу за 7 липня 2016. Процитовано 7 липня 2016.
- . malware@prevenity. Prevenity.com. травень 2016. Архів оригіналу за 6 липня 2016. Процитовано 7 липня 2016.
- дана вада в коді деяких офісних програм Microsoft дозволяє віддалене виконання коду з правами поточного користувача
. Microsoft Security TechCenter. 14 квітня 2015. Архів оригіналу за 21 серпня 2016. Процитовано 7 липня 2016. - Hyacinth Mascarenhas (23 серпня 2016). . International Business Times. Архів оригіналу за 21 квітня 2021. Процитовано 13 вересня 2016.
- . BBC News. Архів оригіналу за 22 березня 2019. Процитовано 17 September 2016.
- Gallagher, Sean (6 жовтня 2016). . Ars Technica. Архів оригіналу за 14 липня 2017. Процитовано 26 жовтня 2016.
- Thielman, Sam (22 серпня 2016). . The Guardian. The Guardian. Архів оригіналу за 15 грудня 2016. Процитовано 11 грудня 2016.
- Meyer, Josh (14 вересня 2016). . NBC News. Архів оригіналу за 23 лютого 2018. Процитовано 27 лютого 2018.
- . Fancybear.net. 13 вересня 2016. Архів оригіналу за грудень 24, 2017. Процитовано лютий 27, 2018.
- Peter Wilson (4 жовтня 2018). . Foreign & Commonwealth Office. Архів оригіналу за 10 жовтня 2018. Процитовано 10 жовтня 2018.
- Ellen Nakashima (24 лютого 2018). . National Security. Washington Post. Архів оригіналу за 27 лютого 2018. Процитовано 27 лютого 2018.
- Ellen Nakashima (12 січня 2018). . Washington Post. Архів оригіналу за 13 січня 2018. Процитовано 27 лютого 2018.
- RAPHAEL SATTER, JEFF DONN, NATALIYA VASILYEVA (22 грудня 2017). . Associated Press. Архів оригіналу за 10 листопада 2021. Процитовано 22 грудня 2017.
- Kevin Poulsen (23 травня 2018). . The Daily Beast. Архів оригіналу за 13 квітня 2019. Процитовано 24 травня 2018.
- Dan Goodin (24 травня 2018). . Ars Technica. Архів оригіналу за 24 травня 2018. Процитовано 24 травня 2018.
- By RAPHAEL SATTER (27 серпня 2018). . Associated Press. Архів оригіналу за 28 серпня 2018. Процитовано 28 серпня 2018.
Література
- Threat Intelligence (22 жовтня 2014). (PDF) (Звіт). Tactical Intelligence Bulletin. PWC. CTO-TIB-20141022-01C. Архів оригіналу (PDF) за 16 листопада 2017. Процитовано 4 травня 2018.
- Neel Mehta, Billy Leonard, Shane Huntley (5 вересня 2014). . Google Security Team. с. 42. Архів оригіналу за 21 лютого 2017. Процитовано 20 лютого 2017.
- Jen Weedon (2015). Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. . Kenneth Geers (ed.). Tallinn: NATO CCD COE Publications. ISBN . Архів оригіналу за 16 серпня 2016. Процитовано 23 травня 2016.
- Răzvan BENCHEA, Cristina VATAMANU, Alexandru MAXIMCIUC, Victor LUNCAŞU (16 грудня 2015). (PDF). Bitdefender. Архів оригіналу (PDF) за 25 вересня 2016. Процитовано 8 червня 2016.
- En Route with Sednit, дослідження в трьох частинах:
- (PDF). Т. Part 1: Approaching the Target. ESET. October 2016. с. 40. Архів оригіналу (PDF) за 20 жовтня 2016. Процитовано 21 жовтня 2016.
- (PDF). Т. Part 2: Observing the Comings and Goings. ESET. October 2016. Архів оригіналу (PDF) за 26 жовтня 2016. Процитовано 10 листопада 2016.
- En Route with Sednit (PDF). Т. Part 3: A Mysterious Downloader. ESET. October 2016.[недоступне посилання з червня 2019]
- . Sonderbericht. FireEye. лютий 2017. с. 15. Архів оригіналу за 24 лютого 2017. Процитовано 23 лютого 2017.
- Feike Hacquebord (27 квітня 2017). (PDF). Trend Micro. Архів оригіналу (PDF) за 5 липня 2017. Процитовано 4 липня 2017.
Див. також
Посилання
- Operation Pawn Storm: The Red in SEDNIT [ 8 вересня 2015 у Wayback Machine.]
- APT28 — A Window Into Russia's Cyber Espionage Operations? [ 28 травня 2016 у Wayback Machine.]
- Неповний перелік жертв кібератак угрупування [ 19 жовтня 2016 у Wayback Machine.]
- Case 1:18-cr-00215-ABJ [ 3 вересня 2018 у Wayback Machine.] — обвинувачення 12-ти російських військових у втручанні у вибори 2016 року (мін. юст. США)
- U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations [ 4 жовтня 2018 у Wayback Machine.] — обвинувачення проти 7-ми російських хакерів (мін. юст. США)
- Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace [ 10 грудня 2021 у Wayback Machine.] (мін. юст. США)
Це незавершена стаття про інформаційні технології. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Fancy Bear takozh vidoma yak APT28 Pawn Storm ukr pishakovij shturm Sofacy Group ta Sednit ugrupovannya sho specializuyetsya na kibershpigunstvi doslidniki pov yazuyut jogo z rosijskimi specsluzhbami Jmovirno vede diyalnist z 2007 roku Vidome atakami na informacijni sistemi uryadovih vijskovih bezpekovih organizacij Ugrupovannya Sofacy vidnosyat do tipu rozvinenoyi staloyi zagrozi angl advanced persistent threat APT APT28 Fancy Beartakozh vidoma yak Sofacy Group Pawn Storm deyaki operaciyi vid imeni Kiber Halifatu IDIL KiberBerkut tosho Na sluzhbipochatok diyalnosti v 2004 2007 rr Krayina RosiyaNalezhnistGU GSh ZS RFVidrozvinena stala zagrozaRoloperaciyi v kiberprostoriGarnizon Shtabv ch 26165 v ch 74455 ros 85 j glavnyj centr specialnoj sluzhby GRUVijni bitvisered vidomih zokrema Kiberataka na Nacionalnij komitet Demokratichnoyi partiyi SShA Hakerski ataki na Ukrayinu 2017 Inzheneri firmi TrendMicro zaznachayut sho nimi buli zafiksovani fishingovi ta nacileni fishingovi ataki cogo ugrupovannya Pawn Storm takozh stvoryuvalo falshivi serveri pidrobleni pid korporativni serveri zhertv z metoyu vikradennya yihnih oblikovih danih login parol Na pochatku 2016 roku nimecka kontrrozvidka poshirila poperedzhennya pro zrostannya aktivnosti danogo ugrupovannya ta zvernula uvagu na te sho vono diye pid kerivnictvom rosijskih derzhavnih organiv Na dumku kerivnika kompaniyi CrowdStrike Dmitra Alperovicha perelik zhertv kiberatak cogo ugrupuvannya istotno zbigayetsya zi strategichnimi interesami rosijskogo uryadu sho mozhe svidchiti pro vzayemodiyu ugrupuvannya z Golovnim rozviduvalnim upravlinnyam GSh RF Tak samo Sluzhba zovnishnoyi rozvidki Estoniyi pov yazuye ce ugrupuvannya z GRU GSh RF U spilnij zayavi Ministerstvo nacionalnoyi bezpeki SShA ta direktor Nacionalnoyi rozvidki 7 zhovtnya 2016 roku poklali vidpovidalnist za neshodavni kiberataki v yakih buli pomicheni slidi cogo ugrupovannya na najvishi shabli politichnogo kerivnictva Rosiyi DiyalnistDiv takozh Spisok hakerskih grup ta Hakerska ataka Oglyad Doslidniki firmi FireEye zaznachayut sho na vidminu vid inshih dane ugrupovannya ne cikavit vikradennya intelektualnoyi vlasnosti zaradi groshovogo zisku Natomist vono specializuyetsya na kibershpigunstvi za vijskovimi ta politichnimi ustanovami vikradenni informaciyi sho stanovit interes z tochki zoru oboroni ta geopolitiki tobto informaciyi yaka mozhe buti cikava lishe derzhavi Doslidnikam inshih firm takozh vdalos viyaviti ataki danogo ugrupovannya proti diplomatichnih ustanov koristuvachiv populyarnih sluzhb elektronnoyi poshti vijskovih ta oboronnih vidomstv postachalnikiv dlya nih konferenciyi energetichni kompaniyi ta zasobi masovoyi informaciyi Sered inshogo buli zafiksovani operaciyi proti derzhavnih ustanov Gruziyi shidnoyevropejskih krayin yevropejskih oboronnih organizacij OBSYe NATO Ugrupuvannya vede aktivnist shonajmenshe z 2004 abo 2007 roku Inzheneram firmi ESET vdalos vstanoviti ponad 1000 zhertv ugrupuvannya vplivovih osib ta visokoposadovciv z riznih krayin na proti yakih bulo zdijsneni fishingovi ataki v tomu chisli iz vikoristannyam vrazlivostej nulovogo dnya Lishe tilki v promizhku mizh 16 bereznya ta 14 veresnya 2015 roku buli viyavleni sprobi napravlenih fishingovih atak proti vlasnikiv 1888 riznih poshtovih skrinok V toj samij chasovij promizhok ugrupuvannya skoristalos ne menshe shistma riznimi vrazlivostyami nulovogo dnya Sered shiroko vidomih zhertv ugrupuvannya ye Nacionalnij komitet Demokratichnoyi partiyi SShA Nimeckij parlament Bundestag francuzka kompaniya TV5Monde mizhnarodna antidopingova asociaciya WADA Okrim organizacij ugrupuvannya atakovalo okremih privatnih osib vplivovih lyudej v politichnomu seredovishi shidnoyi Yevropi Ukrayini v tomu chisli kerivnictva MVS oficijnih osib NATO rosijskih disidentiv ta haktevistiv z grupi Shaltaj Boltaj naukovciv yaki vidviduvali Rosiyu chechenski organizaciyi Sered atakovanih organizacij za period 16 bereznya 14 veresnya 2015 roku buli viyavleni Posolstva Alzhiru Braziliyi Kolumbiyi Dzhibuti Indiyi Iraku Pivnichnoyi Koreyi Kirgizstanu Livanu M yanmi Pakistanu Pivdennoyi Afriki Turkmenistanu Ob yednanih Arabskih Emirativ Uzbekistanu ta Zambiyi Ministerstva oboroni Argentini Bangladesh Pivdennoyi Koreyi Turechchini ta Ukrayini Chas kompilyaciyi fajliv vikoristanogo shkidlivogo PZ vidpovidaye chasovomu poyasu Sankt Peterburga ta Moskvi Ataki perevazhno vidbuvayutsya z ponedilka do p yatnici protyagom robochogo dnya Na dumku kerivnika kompaniyi CrowdStrike Dmitra Alperovicha perelik zhertv kiberatak cogo ugrupuvannya istotno zbigayetsya zi strategichnimi interesami rosijskogo uryadu sho mozhe svidchiti pro vzayemodiyu ugrupuvannya z Golovnim rozviduvalnim upravlinnyam GSh RF Vidomi vipadki koli spivrobitniki cogo pidrozdilu podorozhuvali za mezhi Rosijskoyi Federaciyi z metoyu hakerskih atak na informacijni merezhi zhertv z fizichno blizkoyi vidstani Tak napriklad v kvitni 2018 roku bulo rozkrito chotiri spivrobitnika GU GSh ZS RF zi skladu cogo ugrupuvannya v Gaazi pid chas provalenoyi hakerskoyi ataki na bezdrotovi merezhi Wi Fi Organizaciyi iz zaboroni himichnoyi zbroyi Oficijni rozsliduvannya Cej rozdil potrebuye dopovnennya 19 zhovtnya 2020 roku Ministerstvo yusticiyi SShA visunulo obvinuvachennya shistom oficeram vijskovosluzhbovcyam v ch 74455 GRU GSh ZS RF Skoyeni nimi kiber ataki mali dopomogti rosijskij vladi shkoditi Ukrayini Gruziyi vtrutitis u vibori u Franciyi uniknuti vidpovidalnosti za vikoristannya himichnoyi zbroyi otrujnoyi rechovini nervovo paralitichnoyi diyi Novichok za mezhami Rosiyi pereshkoditi provedennyu zimovih olimpijskih igor 2018 na yakih bulo zaboroneno rosijskij komandi vistupati pid derzhavnim praporom cherez sistematichne vikoristannya dopingu tosho Nazva Cherez problemu atribuciyi kiberzlochiniv rizni firmi ta doslidniki mozhut davati rizni nazvi odnomu j tomu zh hakerskomu ugrupovannyu Firma Trend Micro nazvala ugrupuvannya sho stoyit za shkidlivim PZ Sofacy Operation Pawn Storm Dane im ya bulo obrane cherez zastosuvannya ugrupuvannyam podibno do odnojmennogo prijomu v shahah dvoh ta bilshe instrumentiv abo taktichnih prijomiv proti odniyeyi zhertvi Firma FireEye nazvala dane ugrupovannya Advanced Persistent Threat 28 APT28 rozvinena stala zagroza 28 Firma nazvala dane ugrupovannya abo jogo elementi Threat Group 4127 TG 4127 Britanskij Nacionalnij centr komp yuternoyi bezpeki NCSC povidomlyaye sho danij pidrozdil pracyuvav stanom na veresen 2018 roku pid takimi nazvami fasadami APT 28 Fancy Bear Sofacy Pawnstorm Sednit CyberCaliphate Cyber Berkut KiberBerkut Voodoo Bear BlackEnergy Actors BlackEnergy STRONTIUM Tsar Team SandwormInstrumentarijDoslidniki vvazhayut sho sered inshogo ugrupuvannya maye v svoyemu arsenali dva simejstva shkidlivogo PZ yake otrimalo taki nazvi Sofacy X Agent vikoristovuyetsya proti vazhlivishih cilej Vidomi okremi modifikaciyi dlya roboti v sistemah bez dostupu do Internet tak zvani izolovani abo angl air gapped sistemi Takozh v arsenali ugrupuvannya nazivayut taki instrumenti X Tunnel WinIDS Foozer DownRange ta navit shkidlive PZ dlya operacijnih sistem na osnovi Linux OSX iOS telefoniv Android i Windows Phone Ugrupuvannya maye v svoyemu arsenali shkidlive PZ sho zdatne ominati zvichajni sistemi zahistu Odnak zazvichaj ugrupuvannya vdayetsya do taktiki napravlenogo fishingu angl spear phishing dlya vikradennya danih oblikovih zapisiv svoyih zhertv U veresni 2018 roku kompaniya ESET oprilyudnila dopovid pro LoJax pershij vidomij rutkit dlya sistemi UEFI pomichenij u realnomu vzhitku Inzhenerami kompaniyi bulo viyavleno odin vipadok uspishnogo urazhennya pidsistemi SPI ta zberezhennya rutkitu u flesh nakopichuvachi ciyeyi pidsistemi Zavdyaki comu shkidlive PZ moglo zalishatis v komp yuteri ne lishe pri pereformatuvanni zhorstkogo disku a navit pri zamini zhorstkih diskiv Yedinij shans pozbutis jogo perezapis flesh pam yati vbudovanogo PZ sistemi UEFI Vidomi kiberatakiVelika Britaniya Div takozh Otruyennya Sergiya Skripalya Za danimi Nacionalnogo centru komp yuternoyi bezpeki v lipni serpni 2015 roku zlovmisnikam z cogo ugrupuvannya vdalos zdobuti dostup do skrin elektronnoyi poshti nevelichkogo telekanalu yihnij vmist vikradenij V kvitni 2018 roku hakeri z cogo ugrupuvannya namagalis otrimati dostup do informacijnih sistem laboratoriyi oboronnih i naukovih tehnologij angl Defence and Science Technology Laboratory DSTL a v berezni togo zh roku do informacijnih sistem Forin ofis shlyahom fishingovoyi ataki Nimechchina V 2015 roci bula viyavlena kiberataka na informacijnu sistemu Bundestagu sered inshih virusom buv vrazhenij komp yuter federalnogo kanclera Nimechchini Angeli Merkel Vidpovidalnist za ataku doslidniki pokladayut na rosijske ugrupuvannya kiberzlochinciv angl Sofacy Group takozh vidome yak angl Pawn storm yakih vvazhayut pov yazanimi z rosijskimi specsluzhbami V kvitni travni 2016 roku vidbulas sproba fishingovoyi ataki na poshtovi sistemi Hristiyansko demokratichnogo soyuzu politichnoyi partiyi Angeli Merkel Dlya vikradennya oblikovih danih chleniv HDS buv stvorenij fishingovij server v Estoniyi yakij mav shozhe domenne im ya ta viglyad yak i korporativnij poshtovij server HDS Takozh priblizno v cej zhe chas bulo stvoreno tri serveri dlya vikradennya oblikovih danih vazhlivih koristuvachiv dvoh najpopulyarnishih poshtovih provajderiv Nimechchini 23 serpnya 2016 roku nimecka kontrrozvidka poshirila poperedzhennya pro chergovu fishingovu ataku ugrupuvannya APT28 yake sluzhit surogatom rosijskoyi rozvidki proti koristuvachiv poshtovoyi sluzhbi ta populyarnogo v Nimechchini internet portalu spravzhnya adresa gmx net Takij visnovok buv zroblenij pislya viyavlennya serveru z domennim imenem gmx service net Komprometaciya uryadovogo zv yazku Dokladnishe Bundeshack 28 lyutogo 2018 roku nimecka informacijna agenciya DPA poshirila novinu pro te sho nimeckim specsluzhbam vdalos viyaviti nesankcijovane vtruchannya do informacijnih sistem ministerstva zakordonnih sprav ta ministerstva oboroni buli skomprometovani zahisheni komp yuterni merezhi dlya uryadovogo zv yazku de IVBB Zlovmisnikam vdalos vstanoviti shkidlive programne zabezpechennya ta vikrasti znachni obsyagi sekretnih dokumentiv Osnovna pidozra pala na ugrupuvannya APT28 Prote zgodom do ZMI potrapila informaciya sho naspravdi za atakoyu mozhe stoyati inshe rosijske ugrupuvannya yake bilsh integrovane v strukturu rosijskih zbrojnih sil Pidozra pala na ugrupuvannya takozh vidome yak Uroburos Epic Turla Snake SnakeNet Vzhe nadvechir togo zh dnya ministerstvo vnutrishnih sprav pidtverdilo sho federalna agenciya z bezpeki informacijnih tehnologij ta rozviduvalni sluzhbi rozsliduyut vtruchannya v robotu uryadovih informacijnih sistem SShA Zalyakuvannya druzhin amerikanskih vijskovih V lyutomu 2015 roku za kilka tizhniv do ataki na TV5Monde druzhini amerikanskih vijskovih stali otrimuvati elektronni povidomlennya z pogrozami vid imeni KiberHalifatu Zlovmisnikam takozh vdalos zdobuti nesankcijovanij dostup zlamati do oblikovogo zapisu Twitter gromadskoyi organizaciyi Military Spouses of Strength Zlamavshi oblikovij zapis zlovmisniki stali rozsilati povidomlennya z pogrozami rodinam vijskovih ta navit pershij ledi Mishel Obami Na toj chas zasobi masovoyi informaciyi poklali vidpovidalnist na chleniv abo pribichnikiv IDIL a incident takim chinom buv vikoristanij olginskimi trolyami dlya rozdmuhuvannya mizhreligijnoyi nenavisti Prote fahivcyami firmi Secureworks vdalos zdijsniti rozsliduvannya ta v rezultati vstanoviti vidpovidalnist za ataku za rosijskimi hakerami Kiberataka na Demokratichnu partiyu Dokladnishe Kiberataka na Nacionalnij komitet Demokratichnoyi partiyi SShA ta Prezidentski vibori u SShA 2016 V chervni 2016 stalo vidomo pro viyavlennya nesankcionovanogo vtruchannya do informacijnoyi sistemi en Nesankcionovane vtruchannya bulo viyavlene ishe naprikinci kvitnya todi zh do rozsliduvannya bula zaluchena firma CrowdStrike V rezultati provedenogo rozsliduvannya bulo vstanovleno sho zlamati informacijnu sistemu vdalos dvom ugrupuvannyam rosijskih hakeriv Cozy Bear CozyDuke abo APT29 ta Fancy Bear Sofacy Group abo APT28 Grupa Cozy Bear otrimala nesankcijovanij dostup do informacijnoyi sistemi ishe vlitku 2015 roku a Fancy Bear v kvitni 2016 roku Vkupi obidva ugrupuvannya spromoglis vikrasti skrinki elektronnoyi poshti a takozh zibranij kompromat na konkurenta demokrativ na viborah Prezidenta Donalda Trampa Slid zaznachiti sho obidva ugrupuvannya diyali nezalezhno odin vid odnogo buli viyavleni vipadki zarazhennya odnogo i togo zh komp yutera oboma grupami v sprobah vikrasti odnu j tu samu informaciyu Sofacy Group Fancy Bear vikoristala shkidlive PZ pid nazvoyu X Agent dlya viddalenogo vikonannya komand peredachi fajliv shpiguvannya za natisnenimi klavishami Vono bulo zapushene komandoyu rundll32 exe C Windows twain 64 dll Takozh bula vikoristana programa X Tunnel dlya vstanovlennya z yednan cherez sistemu NAT ta viddalenogo vikonannya komand Obidvi programi buli dostavleni vseredini programi RemCOM analog z vidkritimi kodami komercijnoyi programi PsExec Takozh rosijski hakeri vdalis do dekilkoh zahodiv zi znishennya slidiv svogo perebuvannya periodichne vichishennya zhurnaliv podij ta zmina atributiv chasu zmini fajliv Zaradi legalizaciyi vikradenih danih bulo stvorene opudalo sho malo sluzhiti fasadom dlya ugrupuvannya haker za prizviskom Gucifer 2 0 angl Guccifer 2 0 Dane prizvisko bulo zapozichene v inshogo hakera rumuncya rum Marcel Lazăr Lehel kotrij nazvav sebe angl Guccifer zlittya sliv Gucci ta Lucifer Marsel Lehel stav vidomim zavdyaki zlamu poshtovih skrinok vidomih lyudej zokrema sestri Dzhordzha Vokera Busha V 2014 roci vin buv zasudzhenij v Rumuniyi do 7 rokiv uv yaznennya ale zgodom peredanij do Spoluchenih Shtativ de stanom na 2016 rik ochikuye na virok sudu Vzhe v SShA Lehel zayaviv sho neodnorazovo zlamuvav osobistij poshtovij server Gillari Klinton koli ta bula derzhavnim sekretarem SShA div Prote vin ne zmig navesti zhodnogo dokazu a slidchi znajti zhodnih svidchen na pidtverdzhennya jogo sliv Odnak v lipni 2016 roku direktor FBR Dzhejms Komi zayaviv sho Lazar zbrehav koli zayaviv pro zlam poshtovogo serveru Klinton Na vidminu vid pershogo Gucifera Guccifer 2 0 ne zmig navesti perekonlivi dokazi svoyeyi avtentichnosti abo sho za cim fasadom stoyit realna zhiva lyudina Na dumku analitikiv firmi ThreatConnect shvidshe za vse Guccifer 2 0 lishe sproba rosijskih specsluzhb obludoyu vidvernuti uvagu vid yihnoyi roli u zlami informacijnih sistem Demokratichnoyi partiyi Sered inshogo Na dumku fahivcya z komp yuternoyi bezpeki Dejva Ajtelya oprilyudnivshi vikradeni fajli rosijski specsluzhbi peretnuli chervonu liniyu pripustimogo Vin zaproponuvav vvazhati take nahabne vtruchannya izzovni v perebig prezidentskih viboriv prikladom kibervijni Nastupnim krokom z legalizaciyi vikradenih danih yakij otrimav nabagato bilshe rozgolosu stala publikaciya surogatom rosijskih specsluzhb Vikiliks reshti fajliv 22 lipnya 2016 roku organizaciya rozmistila u vilnomu dostupi u sebe na sajti 19 252 elektronnih listiv z 8034 vkladenimi fajlami Listi buli vikradeni z poshtovih skrinok 7 klyuchovih osib v DNC ta ohoplyuyut period vid sichnya 2015 roku do 25 travnya 2016 roku Sered listiv z vkladenimi fajlami buli prisutni j povidomlennya golosovoyi poshti U spilnij zayavi Ministerstvo nacionalnoyi bezpeki SShA ta direktor Nacionalnoyi rozvidki 7 zhovtnya 2016 roku povidomili sho amerikanska rozvidka perekonana u prichetnosti rosijskogo uryadu do neshodavnih kiberatak proti okremih osib ta politichnih organizacij Rozkrittya vikradenoyi informaciyi sajtami DCLeaks com ta WikiLeaks ta internet personazhem Guccifer 2 0 cilkom vkladayetsya u metodi ta cili rosijskogo kerivnictva Taki kiberataki z metoyu vplivu na suspilnu dumku vzhe sposterigalis v Yevropi ta Yevraziyi ta mali buti shvaleni na najvishih rivnyah V berezni 2018 roku amerikanske vidannya The Daily Beast iz posilannyam na vlasni dzherela povidomilo sho fahivcyam firmi Threat Connect ta spivrobitnikam amerikanskoyi rozvidki vdalos znajti dokazi sho za personazhem Guccifer 2 0 stoyat spivrobitniki GRU sho pracyuyut v ofisah GRU na vulici Grizodubovoyi v Moskvi Operatori cogo internet personazha zahodili v socialni merezhi cherez anonamizator Elite VPN z tochkoyu vihodu u Franciyi ale shtab kvartiroyu v Moskvi Odnogo razu operator pripustivsya pomilki i zajshov do soc merezh zi svoyeyi spravzhnoyi IP adresi Fishingova kompaniya Shematichne predstavlennya algoritmu diyi ugrupuvan pid chas fishingovoyi ataki Ilyustraciya z dopovidi Grizzly Steppe Podalshe rozsliduvannya pokazalo sho v zhovtni 2015 travni 2016 roku ugrupuvannya zdijsnilo napravlenu fishingovu angl spearfishing ataku na koristuvachiv poshtovimi poslugami Gmail yak korporativnimi tak i privatnimi Vsogo bulo viyavleno ponad 3900 poshtovih skrinok na yaki buli vidpravleni fishingovi listi Dlya vvedennya zhertv u omanu zlovmisniki skoristalis internet sluzhboyu yaka dozvolyaye skorochuvati i prihovuvati spravzhni adresi giperposilan Pryamogo zv yazku mizh napravlenoyu fishingovoyu atakoyu ta zlamom informacijnoyi sistemi Nacionalnogo komitetu Demokratichnoyi partiyi SShA vstanoviti ne vdalos prote mozhna pripustiti sho analogichni metodi dopomogli rozpochati proniknennya do sistemi Sered cilej ataki buli koristuvachi v Rosiyi ta krayinah kolishnogo SRSR chinni ta kolishni vijskovi ta derzhavni sluzhbovci v SShA i Yevropi pracivniki v sferi nadannya poslug derzhavnim ustanovam ta oboronnim pidpriyemstvam pismenniki ta zhurnalisti Doslidnikam vdalos vstanoviti 573 poshtovi skrini na yaki bula zdijsnena ataka yaki nalezhali amerikanskim visokoposadovcyam pracivnikam oboronnih pidpriyemstv tosho Sered zhertv ataki buli Dzhon Kerri Kolin Pavell golovnokomanduvach sil NATO Filip Bridlav jogo poperednik general Vesli Klark Takozh sered zhertv ataki buli osobi prichetni do prezidentskih viboriv 2016 roku v SShA spivrobitniki peredviborchoyi kompaniyi Gillari Klinton zokrema vidpovidalni za yiyi zv yazok organizaciyu podorozhej finansi reklamu v ZMI ta radniki z politichnih pitan ta chleni vsogo za ciyeyu liniyeyu 130 poshtovih skrin 19 bereznya 2016 roku fishingova ataka proti kerivnika peredviborchogo shtabu Gilari Klinton zavershilas uspihom A vzhe 9 zhovtnya togo zh roku v rozpal peredviborchoyi kampaniyi surogat rosijskih specsluzhb Vikiliks rozpochav oprilyudnennya listiv u tomu chisli komprometuyuchih z jogo poshtovoyi skrini Skorocheni giperposilannya veli koristuvacha na kontrolovanij zlovmisnikami server yakij namagavsya vidati sebe za server Google tak zvanij spufing Giperposilannya mistilo v sobi zakodovanu algoritmom Base64 adresu elektronnoyi poshti takim chinom server zlovmisnikiv mig vstanoviti osobu zhertvi za zapovniti storinku yiyi danimi im ya prizvishe poshtova skrinya tosho Yaksho zhertva vvodila svij parol server vstanovlyuvav z yednannya z serverom Google ta otrimuvav dostup do oblikovogo zapisu Otrimannya dostupu do oblikovih zapisiv zhertv u sluzhbah Google moglo dati mozhlivist zlovmisnikam otrimati dostup ne lishe do yihnih poshtovih skrinok a i do inshih danih zokrema zberezhenih fajliv u sluzhbi Google Drive Takozh u zlovmisnikiv z yavlyalas mozhlivist rozshiriti ploshinu ataki napravlenoyu fishingovoyu atakoyu na spivbesidnikiv zhertvi vidpravlyayuchi listi z yiyi poshtovoyi skrini Za danimi kompaniyi Secureworks v berezni 2015 travni 2016 roku ugrupuvannya zdijsnyuvalo fishingovi ataki proti amerikanskih fahivciv naukovciv pracivnikiv spivrobitnikiv partneriv pidpriyemstv amerikanskogo oboronno promislovogo kompleksu Vidomo pro shonajmenshe 87 osib yaki otrimuvali fishingovi povidomlennya 40 z nih perehodili za posilannyami Zhertvi pracyuvali v Lockheed Martin Corp Raytheon Co Boeing Co Airbus Group General Atomics ta inshih kompaniyah ta ustanovah Turechchina Div takozh Zbittya rosijskogo Su 24 u 2015 roci V sichni lyutomu 2016 roku ugrupuvannya sprobuvalo zdijsniti fishingovu ataku proti tureckih ZMI ta uryadovih ustanov Turechchini Zaradi cogo buli stvoreni falshivi serveri Ataka bula spryamovana proti Upravlinnya ZMI ta informaciyi uryadu Turechchini Nacionalnih zboriv tur Turkiye Buyuk Millet Meclisi Gazeti Hurriyet Administraciyi prem yer ministra Turechchini tur Basbakanlik Ukrayina Dokladnishe Rosijsko ukrayinska kibervijna Ataka na Vibori KiberBerkut ta BlackEnergy Shkidlive programne zabezpechennya pov yazane z ugrupuvannyam APT28 bulo znajdene na komp yuterah Centralnoyi viborchoyi komisiyi Ukrayini v travni 2014 roku pislya chastkovo vdaloyi ataki na dochasnih Prezidentskih viborah 2014 roku Vidpovidalnist za ataki todi vzyalo na sebe ugrupuvannya KiberBerkut Inzheneri firmi ESET zaznachayut sho yim vdalos viyaviti ataki proti politichnih lideriv Ukrayini ta navit kerivnictva MVS zdijsneni cim ugrupuvannyam v promizhku mizh 16 bereznya ta 14 veresnya 2015 roku V oprilyudnenij v zhovtni 2018 roku dopovidi britanskogo centru informacijnoyi bezpeki NCSC bulo perelicheno nazvi ugrupuvan tipu rozvinenoyi staloyi zagrozi yaki pov yazuyut z cim pidrozdilom GRU Sered perelichenih nazv buli prisutni Sandworm ta BlackEnergy actors obidva pov yazani z hakerskimi atakami na energetichni sistemi Ukrayini v grudni 2015 roku Komprometaciya ArtOS Dokladnishe Komprometaciya ArtOS V grudni 2016 roku fahivci firmi CrowdStrike oprilyudnili rezultati vlasnogo doslidzhennya zrazkiv programi Popr D30 apt rozroblenoyi kapitanom 55 yi okremoyi artilerijskoyi brigadi Yaroslavom Sherstyukom des v promizhku mizh 20 lyutogo ta 13 kvitnya 2013 roku 28 kvitnya togo zh roku oblikovij zapis socialnoyi merezhi VKontakti z identichnim imenem stav poshiryuvati cyu programu zi svoyeyi storinki ros Programnoe obespechenie sovremennogo boya Yak zapobizhnik nekontrolovanomu rozpovsyudzhennyu pislya zavantazhennya ta vstanovlennya programi koristuvach mav zvernutis do rozrobnika za klyuchem dlya rozblokuvannya yiyi roboti Pri comu jmovirno jdetsya pro programu ArtOS abo jogo poperednika kalkulyatora artilerijskih popravok Programno aparatnij kompleks iz vikoristannyam ciyeyi programi dozvolyaye skorotiti chas potribnij na identifikaciyu ta vrazhennya ob yektu v chotiri razi do dvoh hvilin Krim togo kompleks zdaten rozv yazuvati do 70 taktichnih ta bojovih zavdan yaki postayut pered artileristami Vzhe 21 grudnya 2014 roku bulo vpershe pomicheno na ukrayinskomu vijskovomu internet forumi fajl ustanovki programi skomprometovanij implantatom X Agent Shvidshe za vse skomprometovanij variant buv stvorenij v promizhku mizh kincem kvitnya 2013 pochatkom grudnya 2014 roku same todi koli politichna kriza pererosla u rosijsko ukrayinsku vijnu z aneksiyeyu Krimu ta bojovimi diyami na shodi Ukrayini Implantat troyanec X Agent ne mav destruktivnih funkcij prote mig buti vikoristanij dlya vikradennya informaciyi iz adresnoyi knizhki smartfonu vmistu SMS povidomlen zhurnalu dzvinkiv tosho Zokrema zlovmisniki mali mozhlivist iz jogo dopomogoyu vstanoviti misce znahodzhennya koordinati zarazhenogo pristroyu Znachennya Na zhal doslidniki ne zmogli vstanoviti tochnu kilkist zarazhenih pristroyiv ta naslidki ciyeyi operaciyi nevidomo chi buli vipadki vihodu v internet z planshetiv pid chas bojovih dij naskilki masovoyu bula programa z internetu adzhe originalne PZ bulo poshirene u zakritij sposib tosho Cilkom mozhe buti sho sam fakt isnuvannya skomprometovanogo variantu programi vorozha storona vikoristovuye dlya uskladnennya vikoristannya vazhlivoyi ta efektivnoyi artilerijskoyi programi na planshetah ZSU abo navit yak chergovu kompaniyu zradi dlya demoralizaciyi suprotivnika Slid zaznachiti sho doslidzhennya CrowdStrike bulo oprilyudnene na tli palkih diskusij pro vpliv rosijskih specsluzhb na perebig viborchoyi kampaniyi v SShA Tomu navit popri vidsutnist chitkih dokaziv bezposerednogo zv yazku mizh ciyeyu kibershpigunskoyu operaciyeyu ta bojovimi vtratami ukrayinskih vijskovih na dumku amerikanskih doslidnikiv danij epizod vazhlivij tim sho dozvolyaye stverdzhuvati pro pryami zv yazki mizh hakerami yaki zlamali sistemi Demokratichnoyi partiyi ta Golovnim rozviduvalnim upravlinnyam GSh RF Finlyandiya V serpni 2015 roku buv stvorenij pidroblenij server z domenim imenem sho lishe odniyeyu literoyu vidriznyalos vid domennogo imeni korporativnogo serveru najbilshogo vidavcya Finlyandiyi Zovnishnij viglyad ta interfejs koristuvacha buv takozh nadzvichajno shozhim na originalnij server Sanoma Server proisnuvav dekilka tizhniv Dana sproba vikradennya danih bula pomichena fahivcyami kompaniyi Trend Micro ta dovedena do vidoma Sanoma Za danimi inzheneriv Sanoma ataka ne mala uspihu Franciya Kiberataka na TV5Monde Dokladnishe TV5Monde 8 kvitnya 2015 roku francuzka telekompaniya TV5Monde stala zhertvoyu kiberataki hakerskogo ugrupuvannya sho nazvalo sebe KiberHalifat angl CyberCaliphate ta zayavilo pro zv yazki z IDIL Hakeri zmogli potrapiti do vnutrishnoyi komp yuternoyi merezhi kompaniyi yak spochatku zdavalos zavdyaki vipadkovo rozgoloshenim parolyam ta zminili programu peredach za 3 godini Robotu telekanalu vdalos chastkovo vidnoviti rano vranci nastupnogo dnya a normalna robota bula porushena azh do piznoyi nochi 9 kvitnya Vnaslidok ataki zalishilis vivedenim z ladu rizni informacijni sistemi vklyuchno iz serverom elektronnoyi poshti Hakeri takozh vzyali pid svij kontrol oficijni storinki telekompaniyi v socialnih merezhah Facebook ta Twitter de rozmistili osobistu informaciyu rodichiv francuzkih soldativ sho brali uchast v operaciyi proti IDIL Takozh buli rozmisheni zayavi proti Prezidenta Franciyi Fransua Ollanda nachebto ye podarunkom za jogo nepripustimu pomilku vtruchannya v konflikti sho ne mayut zhodnogo sensu V ramkah nadzvichajnogo zvernennya stosovno ataki Fler Pelleren zaklikla zibrati terminovu naradu goliv riznih zasobiv masovoyi informaciyi Zustrich vidbulas 10 kvitnya u nevidomomu misci Prem yer ministr Franciyi Manuel Vals nazvav kiberataku neprijnyatnoyu obrazoyu svobodi informaciyi ta slova Jogo kolega Bernar Kaznev sprobuvav zaspokoyiti gromadskist zayavivshi sho Franciya vzhe posilila zahodi proti kiberatak dlya zapobigannya uspishnim atakam pislya teraktiv u sichni togo zh roku yaki zabrali zhittya 20 lyudej Francuzki slidchi zgodom vidkinuli versiyu pro prichetnist islamistiv do kiberataki natomist golovnim pidozryuvanim bulo nazvane ugrupuvannya APT28 Sofacy V zhovtni 2016 roku Bi Bi Si rozkrila dodatkovi detali incidentu Vnaslidok provedenogo rozsliduvannya bulo vstanovleno sho zlovmisniki otrimali dostup do merezhi ishe 23 sichnya ta vidtodi zdijsnyuvali retelnu rozvidku roboti telekanalu ta peredachi signalu pryamogo efiru Vnaslidok rozvidki nimi bulo stvorene shkidlive PZ dlya vivedennya z ladu pid yednanogo do internetu obladnannya Vsogo zlovmisniki skoristalis 7 ma riznimi tochkami proniknennya do merezhi atak zaznali storonni partneri telekanalu navit z inshih krayin Za danimi slidstva osnovnoyu metoyu ataki bulo povne znishennya telekanalu yake ne stalos lishe zavdyaki shaslivomu zbigu obstavin ta vchasnomu vid yednannyu zarazhenih komp yuteriv vid merezhi Telekanal zaznav velikih materialnih zbitkiv yaki ocinyuyut na rivni 5 mln 5 6 mln 4 5 mln za pershij rik V pershi dni pracivnikam dovelos vidpravlyati listi faksom oskilki elektronna poshta ne pracyuvala Nadali kompaniya planuye vitrachati blizko 3 mln 3 4 mln 2 7 mln na zahist informacijnih sistem a takozh provesti kursi pidvishennya komp yuternoyi gramotnosti sered svoyih pracivnikiv Vtruchannya u prezidentski vibori 2017 rik Dokladnishe Prezidentski vibori u Franciyi 2017 Emmanuel Makron ta Marin Le Pen kandidati sho vijshli do drugogo turu Le Pen otrimuvala glasnu i ne glasnu pidtrimku z boku Kremlya Pid chas prezidentskih peregoniv u 2017 roci poshtovi skrini nizki lyudej zi shtabu kandidata v Prezidenti Franciyi Emmanuelya Makrona bulo zlamano yihnij zmist vikradeno i zgodom poshireno podibno do togo yak bulo poshireno listi peredviborchoyi kampaniyi Gilari Klinton v 2016 roci I hocha oficijni predstavniki Franciyi zaperechili prichetnist rosijskih specsluzhb do hakerskoyi ataki v metadanih opublikovanih dokumentiv buli pomicheni zgadki koristuvacha Roshka Georgij Petrovich abo Georgy Petrovich Roshka Na osnovi vidkritih danih vdalos vstanoviti sho cholovik z takim imenem ta prizvishem sluzhit u v ch 26165 Cya vijskova chastina takozh vidoma yak 85 j glavnyj centr specialnoj sluzhby GRU Vlitku 2018 roku specialnij slidchij Robert Myuller visunuv obvinuvachennya 12 rosijskim vijskovosluzhbovcyam z v ch 26165 ta v ch 74455 Iz obvinuvachennya viplivalo sho obidvi vijskovi chastini pidporyadkovani GRU GSh RF Inshi Samit APEC 2013 Div takozh Azijsko Tihookeanske ekonomichne spivrobitnictvo Samit APEC 2013 roku vidbuvsya v Indoneziyi Firma Trend Micro pomitila ta povidomila pro fishingovu ataku na zacikavlenih samitom osib yak uchasnikiv tak i ni Zhertvi otrimali listi vidpravleni vid imeni Media APEC Summit 2013 z dvoma vkladenimi fajlami Excel Odin z nih mistiv shkidlivij kod yakij skoristavsya vrazlivistyu Microsoft Office CVE 2012 0158 dlya zapusku na komp yuteri zhertvi programi yaka cherez nizku promizhnih krokiv vrazhala operacijnu sistemu bekdorom BKDR SEDNIT SM Pri comu shkidlivi programi obminyuvalis danimi z serverami zlovmisnikiv otrimuvali ta vikonuvali z nogo komandi Vstanovlenij bekdor stezhiv ta peredavav natisneni koristuvachem klavishi Keylogger a takozh vikonuvav otrimani vid zlovmisnikiv komandi MH17 Dokladnishe Zbittya Boeing 777 bilya Donecka Ce zh ugrupuvannya namagalos zlamati informacijni sistemi nid Onderzoeksraad abi otrimati dostup do informaciyi pro perebig rozsliduvannya zbittya litaka rejsu MH17 17 lipnya 2014 roku V 2016 roci bula zafiksovana sproba nesankcionovanogo proniknennya do personalnogo komp yutera Veli Pekka Kivimaki fin Veli Pekka Kivimaki odnogo iz uchasnikiv volonterskogo proektu OSINT rozsliduvan Bellingcat Cej proekt prisvyativ veliku uvagu rozsliduvannyu obstavin zbittya litaka malazijskih avialinij rosijskimi vijskovosluzhbovcyami Veli Pekka stav cillyu nevdaloyi fishingovoyi ataki jomu buv vidpravlenij specialno oriyentovanij na nogo elektronnij list 13 lipnya 2018 roku proti 12 spivrobitnikiv GRU GSh RF Ministerstvom yusticiyi SShA bulo visunuto obvinuvachennya u vtruchanni u vibori 2016 roku zokrema zdijsnennya nizki kiberatak V obvinuvachenni bulo perelicheno imena 12 oficeriv ta nazvano dvi vijskovi chastini v yakih voni sluzhili Rozsliduvannya vidkritih dzherel zhurnalistami Radio Svoboda pokazalo sho odna z nazvanih vijskovih chastin nomer 74455 znahoditsya u dovoli velikij budivli za adresoyu Horoshevskoe shose 76 Z rezultatami rozsliduvannya grupoyu Bellingcat za ciyeyu zh adresoyu znahoditsya shtab kvartira GRU i tut zhe pracyuvav oficer GRU Oleg Ivannikov psevdo Orion yakij buv prichetnij do postachannya ZRK Buk na shid Ukrayini vlitku 2014 roku z yakogo bulo zbito litak rejsu MH17 Kiber Halifat Stanom na traven 2018 roku vidomo shonajmenshe pro dvi hakerski ataki zdijsneni chlenami ugrupuvannya vid imeni teroristichnoyi organizaciyi IDIL KiberHalifat angl CyberCaliphate Ce zalyakuvannya druzhin i rodin amerikanskih vijskovih v lyutomu 2015 roku ta akt kiberterorizmu proti francuzkogo telekanalu TV5Monde iz podalshim zalyakuvannyam rodin francuzkih vijskovih yaki v toj chas brali aktivnu uchast u vijskovij operaciyi proti bojovikiv IDIL Slid zaznachiti sho 11 veresnya 2014 roku olginski troli zdijsnili uspishnu informacijno psihologichnu operaciyu iz en tak zvana angl Columbian Chemicals Plant explosion Hoax Pri comu voni tak samo diyali vid imeni KiberHalifatu a dlya informacijnogo vplivu na amerikanskih gromadyan buli vikoristani zlamani oblikovi zapisi deyakih ZMI Carberp SShA ta Polsha V travni 2016 roku bula zareyestrovana napravlena fishingova ataka na nenazvani uryadovi organi v SShA ta Polshi iz vikoristannyam variantu Carberp shkidlivogo PZ Sofacy Trojan V cij ataci buv vikoristanij novitnij mehanizm zabezpechennya prisutnosti shkidlivogo PZ na infikovanomu komp yuteri Listi z infikovanimi vkladennyami buli vidpravleni 28 travnya 2016 roku zi zlamanoyi poshtovoyi skrini Ministerstva zovnishnih sprav odniyeyi nenazvanoyi krayini oznaki spufingu viyavleni ne buli List mav temu FW Exercise Noble Partner 2016 angl Noble Partner spilni gruzinsko amerikanski vijskovi navchannya Shlyahetnij partner z pidvishennya stupenyu sumisnosti zi standartami NATO Do vidpravlenogo v SShA lista buv prikriplenij fajl v formati RTF Exercise Noble Partner 16 rtf v Polshu fajli z nazvami Putin Is Being Pushed to Prepare for War rtf ta Russian anti Nato troops rtf Prikriplenij dokument primanka namagavsya skoristatis zagrozoyu CVE 2015 1641 abi zapisati u fajlovu sistemu komp yutera fajli btecache dll ta svchost dll Takozh infikovanij dokument stvoryuvav klyuch v reyestri Windows yakij na vidminu vid reshti troyaniv zapuskaye btecache dll ne pri zavantazhenni operacijnoyi sistemi a pri zapusku program z paketu Microsoft Office Takij pidhid uskladnyuye viyavlennya ta analiz shkidlivogo PZ v avtomatizovanih sistemah Vsesvitnye antidopingove agentstvo serpen 2016 Div takozh Vsesvitnye antidopingove agentstvo V serpni 2016 roku Vsesvitnye antidopingove agentstvo VAA angl World Anti Doping Agency WADA povidomilo pro otrimannya koristuvachami yiyi bazi danih fishingovih listiv nachebto yak vid imeni organizaciyi iz zapitom danih oblikovogo zapisu login parol Vivchennya vikoristanih v cij ataci dvoh serveriv pokazalo sho reyestracijna ta hostingova informaciya zbigayetsya z tipovimi metodami roboti ugrupuvannya Fancy Bear Za danimi VAA deyaki z oprilyudnenih zlovmisnikami dokumentiv mali sfalshovanij vmist Cherez VAA rekomenduvala zaboroniti rosijskim sportsmenam brati uchast v Olimpijskih ta paralimpijskih igrah 2016 roku Deyaki analitiki zrobili pripushennya sho hakerska ataka ye pomstoyu proti rosijskoyi sportsmenki osobista informaciya yakoyi bula takozh oprilyudnena zlovmisnikami V serpni 2016 roku VAA ogolosila sho zlovmisnikam vdalos otrimati nesankcijovanij dostup do yiyi antidopingovoyi bazi danih Zlovmisniki z ugrupuvannya Fancy Bear skomprometuvali oblikovij zapis stvorenij vid imeni Mizhnarodnogo olimpijskogo komitetu Potim zlovmisniki stali oprilyudnyuvati osobistu informaciyu pro sportsmeniv na sajti fancybear net Osoblivu uvagu voni pridilyali tim sportsmenam do yakih buli zastosovani vinyatki z pravila cherez likuvalne vikoristannya medichnih preparativ zokrema buli oprilyudneni dani Simona Bajls Vinus ta Serena Vilyams ta Yelena Delle Donn Trohi zgodom voni oprilyudnili dani sportsmeniv z inshih krayin Proniknennya do komp yuternih merezh organizaciyi bulo zdijsneno v tomu chisli shlyahom zlamu bezdrotovoyi merezhi Wi Fi hakerami sho znahodilis u bezposerednij blizkosti do gotelyu de vidbuvalas konferenciya Otrimavshi nesankcijovanij dostup do noutbuka predstavnika Kanadi yim vdalos vstanoviti shpigunske PZ ta vikoristati cej noutbuk yak placdarm dlya proniknennya do komp yuternih merezh Kanadskogo centru organizaciyi a zvidti navit do mizhnarodnogo olimpijskogo komitetu Slid zaznachiti sho za danimi amerikanskoyi zhurnalistki Elen Nakashimi iz posilannyam na anonimni dzherela v amerikanskij rozvidci te same ugrupuvannya stoyit za kiberatakoyu na informacijni sistemi Zimovih Olimpijskih igor 2018 roku ta naspravdi ye pidrozdilom ros Glavnyj centr specialnyh tehnologij GRU GSh RF Ce zh ugrupuvannya stoyit za masshtabnimi hakerskimi atakami proti Ukrayini v chervni 2017 roku iz vikoristannyam virusu NotPetya V listopadi 2018 roku amerikanska prokuratura visunula obvinuvachennya proti semi sluzhbovciv rosijskogo GRU cherez skoyeni nimi hakerski ataki Sered zhertv atak bula nazvane Vsesvitnye antidopingove agenstvo amerikanska kompaniya z virobnictva yadernogo paliva Vestingauz ta inshi Zvinuvachennya buli visunuti proti Oleksij Morinec vik 41 rokiv Yevgenij Serebryakov vik 37 rokiv Ivan Yermakov vik 32 roki Artem Malishev vik 30 rokiv Dmitro Badin vik 27 rokiv Oleg Sotnikov vik 46 rokiv Oleksij Minin vik 46 rokiv Chetvero z nih Morenec Serebryakov Sotnikov ta Minin buli rozkriti ta zatrimani niderlandskoyu kontrrozvidkoyu pid chas hakerskoyi ataki proti Organizaciyi iz zaboroni himichnoyi zbroyi OZHZ v Gaazi div nizhche Operaciyi proti zhurnalistiv V grudni 2017 roku zhurnalisti informacijnogo agentstva Associated Press na osnovi danih kompaniyi zdijsnili vlasne rozsliduvannya v rezultati yakogo vstanovili sho zhurnalisti riznih vidan z riznih krayin stanovlyat tretyu za chiselnistyu grupu sered zhertv ugrupuvannya Fancy Bear Rozsliduvacham vdalos vstanoviti osobi ponad 200 zhurnalistiv yaki stali zhertvami atak Sered nih 50 zhurnalistiv The New York Times ishe 50 zhurnalistiv mizhnarodnih vidan sho pracyuvali v Rosiyi abo zhurnalistiv rosijskih nezalezhnih mas media Sered zhertv ugrupuvannya takozh buli viyavleni vidomi zhurnalisti v Ukrayini Moldovi krayinah Baltiyi ta Vashingtoni Yaskravim prikladom metodiv roboti ugrupuvannya buv nazvanij vipadok z rosijskim zhurnalistom Pavlom Lobkovim osobisti rozmovi yakogo buli vikladeni v internet v grudni 2015 roku Za slovami Lobkova publikaciya osobistih rozmov zavdala jomu velikoyi shkodi VPNFilter Dokladnishe VPNFilter Za danimi amerikanskogo vidannya The Daily Beast FBR spilno z kompaniyeyu Cisco Talos vdalos vchasno viyaviti ta u travni 2018 roku zneshkoditi botnet z blizko 500 000 zarazhenih routeriv u 54 krayinah svitu Viyavlene shkidlive PZ otrimalo nazvu VPN Filter Dlya svogo poshirennya vono vikoristovuye vidomi urazlivosti populyarnih modelej routeriv virobnictva kompanij Linksys MikroTik NETGEAR ta TP Link Pislya urazhennya routera PZ pereviryaye pevni fotografiyi na vebservisi Photobucket u metadanih yakih prihovana sluzhbova informaciya Za vidsutnosti cih fotografij stanom na traven 2018 roku voni buli vidaleni PZ zvertayetsya za komandami na vebserver ToKnowAll com Shkidlive PZ maye modulnu arhitekturu ta mozhe zavantazhuvati moduli dlya vikonannya pevnih zavdan Bulo viyavleno modul dlya prosluhovuvannya merezhevogo trafiku z metoyu vikradennya oblikovih danih inshij modul nacilenij na robotu z protokolami promislovih sistem upravlinnya ishe odin modul poklikanij vivoditi z ladu urazheni pristroyi Zgidno sudovih dokumentiv slidstvo otrimalo istotnu dopomogu vid gromadyanina yakij zvernuvsya po dopomogu ta nadav dlya doslidzhennya vlasnij router urazhenij cim PZ Cej gromadyanin takozh pogodivsya spivpracyuvati zi slidstvom ta vstanoviti u sebe obladnannya dlya prosluhovuvannya trafiku mizh shkidlivim PZ ta jogo serverami upravlinnya Prote VPN Filter maye obmezheni mozhlivosti dlya samozberezhennya na urazhenij sistemi napriklad zavantazheni moduli vtrachayutsya pislya perezavantazhennya V travni 2018 roku FBR otrimalo dozvil sudu na pidporyadkuvannya pid svij kontrol domennogo imeni vebservera ToKnowAll com Zavdyaki comu ataku vdalos zupiniti Konstantinopolskij patriarhat Div takozh Konstantinopolskij patriarhat ta Nadannya avtokefaliyi Ukrayinskij pravoslavnij cerkvi V serpni 2018 roku informacijne agenstvo AP zvernulo uvagu na te sho iz oprilyudnenih ranishe kompaniyeyu SecureWorks spisku blizko 4700 elektronnih poshtovih skrinok yaki namagalis zlamati rosijski hakeri v 2016 roci viplivalo sho rosijska rozvidka namagalas shpiguvati za predstavnikami Konstantinopolskogo patriarhatu Zokrema rosijski rozvidniki namagalis vikrasti paroli do poshtovih skrinok dekilkoh metropolitiv Sered nih Varfolomeya Samarasa yakogo vvazhayut duzhe nablizhenim do vselenskogo patriarha Emanuyila Adamakisa yakij maye velikij vpliv u cerkvi Elpidoforosa Lambriniadisa yakij ocholyuye prestizhnu seminariyu na ostrovi Halki Na dumku zhurnalistiv osnovnoyu prichinoyu takoyi uvagi z boku rosijskih specsluzhb ye pitannya pro nadannya Tomosu pro avtokefaliyu Ukrayinskoyi pravoslavnoyi cerkvi Zhurnalisti takozh zvernuli uvagu na te sho rosijska pravoslavna cerkva maye duzhe blizki stosunki spochatku z radyanskimi a teper vzhe i z rosijskimi specsluzhbami Slid zaznachiti sho sered potencijnih zhertv rosijskih rozvidnikiv buli chislenni predstavniki inshih religijnih organizacij riznih virospovidan Organizaciya iz zaboroni himichnoyi zbroyi Dokladnishe Organizaciya iz zaboroni himichnoyi zbroyi Shtab kvartira OZHZ v Gaazi U travni 2018 roku zlovmisniki cogo ugrupuvannya rozislali fishingovi listi nachebto vid imeni shvejcarskih federalnih chinovnikiv spivrobitnikam OZHZ Metoyu ataki bulo otrimati nesankcijovanij dostup do informacijnih merezh organizaciyi U kvitni 2018 roku bula zroblena nastupna sproba hakerskoyi ataki na informacijni sistemi organizaciyi U cej chas organizaciya provodila analiz danih ta dopomagala v rozsliduvanni himichnoyi ataki na Dumu ta zastosuvannya oficerami GU GSh ZS RF himichnoyi zbroyi u Velikij Britaniyi Osoblivistyu hakerskoyi ataki v kvitni 2018 roku bulo te sho sluzhbovci cogo pidrozdilu zdijsnili podorozh do Gaagi abi opinitis blizhche do bezdrotovih merezh Wi Fi OZHZ Tak u listopadi 2018 roku uryad Niderlandiv ta uryadi krayin chleniv soyuzu Five Eyes povidomili pro zirvanu operaciyu rosijskoyi rozvidki Zgidno z oprilyudnenimi danimi 10 kvitnya chetvero rosijskih rozvidnikiv pribuli do krayini pid diplomatichnimi pasportami v aeroportu buli zustrinuti spivrobitnikom rosijskogo posolstva nastupnogo dnya vzyali na prokat Citroen C3 ta priparkuvali na parkuvalnomu majdanchiku gotelyu v bezposerednij blizkosti zi shtab kvartiroyu OZHZ Niderlandski pravoohoronci ta kontrrozvidniki viyavili v bagazhnomu vidsiku cogo avtomobilya specializovane obladnannya dlya hakerskih atak na merezhi Wi Fi jogo antena bula skerovana na ofis mizhnarodnoyi organizaciyi U plani rozkritoyi grupi vhodila podorozh do sertifikovanoyi laboratoriyi OZHZ v misti Shpic u nih vzhe buli pridbani navit zaliznichni kvitki na 17 kvitnya Za dokumentami imena rozkritih agentiv buli Oleksij Morenec ros Aleksej Sergeevich Morenec Yevgenij Serebryakov ros Evgenij Mihajlovich Serebryakov Oleg Sotnikov ros Oleg Mihajlovich Sotnikov Oleksij Minin ros Aleksej Valerevich Minin Za danimi amerikanskoyi prokuraturi ci chetvero vhodili u sklad grup GRU vidpovidalnih za zdijsnennya hakerskih atak u bezposerednij fizichnij blizkosti do zhertvi na vipadok koli zvichajnih metodiv viddalenih hakerskih atak viyavitsya nedostatno dlya vikonannya postavlenogo zavdannya Tak napriklad Serebryakov podorozhuvav pid diplomatichnim prikrittyam do Malajziyi z dlya zdijsnennya hakerskoyi ataki proti generalnoyi prokuraturi ta korolivskoyi policiyi z metoyu vikradennya danih pro rozsliduvannya zbittya Boeing 777 bilya Donecka rejs MH17 PrimitkiFeike Hacquebord Senior Threat Researcher 11 travnya 2016 TrendLabs Security Intelligence Blog Arhiv originalu za 19 travnya 2016 Procitovano 24 travnya 2016 PDF Bundesamt fur Verfassungsschutz 3 bereznya 2016 Arhiv originalu PDF za 6 zhovtnya 2016 Procitovano 2 serpnya 2016 Fuhrende IT Sicherheitsunternehmen gehen bei Sofacy APT 28 von einer Steuerung durch staatliche Stellen in Russland aus Dmitri Alperovitch 14 chervnya 2016 CrowdStrike Arhiv originalu za 24 travnya 2019 Procitovano 15 chervnya 2016 PDF Zvit Valisluureametist Estonian Foreign Intelligence Service Feb 2018 s 53 Arhiv originalu PDF za 26 zhovtnya 2020 Procitovano 9 lyutogo 2018 7 zhovtnya 2016 Arhiv originalu za 10 grudnya 2016 Procitovano 10 zhovtnya 2016 Popular Science 7 zhovtnya 2016 Arhiv originalu za 12 zhovtnya 2016 Procitovano 10 zhovtnya 2016 FireEye 2014 Arhiv originalu za 28 travnya 2016 Procitovano 23 travnya 2016 Chris Doman 9 zhovtnya 2014 PWC Arhiv originalu za 2 serpnya 2016 Procitovano 2 serpnya 2016 Graham Cluley 20 Oct 2016 We Live Security Arhiv originalu za 25 zhovtnya 2016 Procitovano 25 zhovtnya 2016 Laura Smith Spark Katie Polglase 5 zhovtnya 2018 CNN Arhiv originalu za 9 zhovtnya 2018 Procitovano 9 zhovtnya 2018 Andy Greenber 19 zhovtnya 2020 Wired Arhiv originalu za 19 zhovtnya 2020 Procitovano 19 zhovtnya 2020 Gogolinski Jim Trend Micro Arhiv originalu za 8 veresnya 2015 Procitovano 1 lipnya 2016 PDF Trend Micro 2014 Arhiv originalu PDF za 13 veresnya 2016 Procitovano 1 lipnya 2016 Menn Joseph 18 kvitnya 2015 Reuters Arhiv originalu za 11 zhovtnya 2015 Procitovano 1 lipnya 2016 SecureWorks Counter Threat Unit 26 chervnya 2016 Threat Analysis SecureWorks Arhiv originalu za 11 serpnya 2019 Procitovano 1 lipnya 2016 National Cyber Security Center 4 zhovtnya 2018 Arhiv originalu za 8 zhovtnya 2018 Procitovano 4 zhovtnya 2018 Vice Motherboard Arhiv originalu za 21 lyutogo 2017 Procitovano 20 lyutogo 2017 ESET Research 27 veresnya 2018 We Live Security Arhiv originalu za 11 zhovtnya 2018 Procitovano 10 zhovtnya 2018 International Business Times UK 15 chervnya 2015 Arhiv originalu za 1 chervnya 2016 Procitovano 16 travnya 2016 Jason Murdock 12 travnya 2016 International Business Times UK Arhiv originalu za 18 travnya 2016 Procitovano 16 travnya 2016 Wirtschaftsschutz 23 serpnya 2016 Arhiv originalu za 11 veresnya 2016 Procitovano 29 serpnya 2016 NTV 28 lyutogo 2018 Arhiv originalu za 2 veresnya 2018 Procitovano 1 bereznya 2018 Andreas Wilkens 1 bereznya 2018 Heise online Arhiv originalu za 2 bereznya 2018 Procitovano 2 bereznya 2018 Christoph Eisenring Christian Weisflog 1 bereznya 2018 Neue Zuricher Zeitung Arhiv originalu za 1 bereznya 2018 Procitovano 1 bereznya 2018 Pomilka cituvannya Nepravilnij viklik tegu lt ref gt dlya vinosok pid nazvoyu 2018 05 08 ne vkazano tekst CNBC News 8 travnya 2018 Arhiv originalu za 8 travnya 2018 Procitovano 8 travnya 2018 Ellen Nakashima 14 chervnya 2016 Washington Post Arhiv originalu za 22 travnya 2019 Procitovano 15 chervnya 2016 Cynthia McFadden Tim Uehlinger amp Tracy Connor 5 travnya 2016 NBC News Arhiv originalu za 1 serpnya 2016 Procitovano 1 lipnya 2016 Associated Press 4 travnya 2016 Arhiv originalu za 2 serpnya 2016 Procitovano 1 lipnya 2016 T he hacker provided no proof of his claim to have hacked Clinton s server Pete Williams 25 travnya 2016 NBC News Arhiv originalu za 29 lipnya 2016 Procitovano 1 lipnya 2016 Lehel refused to show any of the material he said he found on the Clinton server and federal investigators said they have found no evidence to back up his claim Matt Zapotosky 5 travnya 2016 Washington Post Arhiv originalu za 14 grudnya 2020 Procitovano 1 lipnya 2016 U S officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton s personal email server The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others and they believed if he had accessed Clinton s emails he would have released them as he did when he got into accounts of other high profile people Patrick Howell O Neill 7 lipnya 2016 The Daily Dot Arhiv originalu za 30 lipnya 2016 Procitovano 8 lipnya 2016 Lorenzo Franceschi Bicchierai 21 chervnya 2016 Motherboard Arhiv originalu za 26 lipnya 2016 Procitovano 1 lipnya 2016 Dan Goodin Jun 17 2016 Ars Technica Arhiv originalu za 22 serpnya 2016 Procitovano 1 lipnya 2016 Lorenzo Franceschi Bicchierai 30 chervnya 2016 Motherboard Arhiv originalu za 3 serpnya 2016 Procitovano 1 lipnya 2016 Ellen Nakashima 20 June 2016 Washington Post Arhiv originalu za 3 serpnya 2016 Procitovano 1 lipnya 2016 ThreatConnect 29 chervnya 2016 Arhiv originalu za 27 lipnya 2016 Procitovano 1 lipnya 2016 Dave Aitel Jun 17 2016 Ars Technica Arhiv originalu za 26 lipnya 2016 Procitovano 1 lipnya 2016 John R Schindler 25 lipnya 2016 Observer Arhiv originalu za 1 serpnya 2016 Procitovano 2 serpnya 2016 By stepping into the middle of our Presidential race the obvious Russian front has outed themselves This of course means that Wikileaks is doing Moscow s bidding and has placed itself in bed with Vladimir Putin In truth to anyone versed in counterintelligence and Russian espionage tradecraft Wikileaks has been an obvious Kremlin front for years Andrea Peterson 22 lipnya 2016 Washington Post Arhiv originalu za 14 listopada 2016 Procitovano 2 serpnya 2016 Matt Tait 28 lipnya 2016 Lawfare Arhiv originalu za 19 serpnya 2016 Procitovano 2 serpnya 2016 Spencer Ackerman Kevin Poulsen 22 bereznya 2018 The Daily Beast Arhiv originalu za 23 bereznya 2018 Procitovano 23 bereznya 2018 SecureWorks Counter Threat Unit Threat Intelligence 16 chervnya 2016 Threat Analysis Arhiv originalu za 20 lipnya 2016 Procitovano 29 chervnya 2016 By RAPHAEL SATTER JEFF DONN and JUSTIN MYERS 2 zhovtnya 2017 Associated Press Arhiv originalu za 25 listopada 2021 Procitovano 2 listopada 2017 Lorenzo Franceschi Bicchierai 20 zhovtnya 2016 Vice News Motherboard Arhiv originalu za 29 sichnya 2017 Procitovano 5 sichnya 2017 BY JEFF DONN DESMOND BUTLER RAPHAEL SATTER 7 lyutogo 2018 Associated Press Arhiv originalu za 15 lyutogo 2018 Procitovano 15 lyutogo 2018 Feike Hacquebord Senior Threat Researcher 9 bereznya 2016 TrendLabs Security Intelligence Blog Arhiv originalu za 1 chervnya 2016 Procitovano 25 travnya 2016 Nikolay Koval 2015 Revolution Hacking U Kenneth Geers red Tallinn NATO CCD COE Publications ISBN 978 9949 9544 5 2 Arhiv originalu za 16 serpnya 2016 Procitovano 23 travnya 2016 CROWDSTRIKE GLOBAL INTELLIGENCE TEAM 22 grudnya 2016 PDF CrowdStrike Arhiv originalu PDF za 24 grudnya 2016 Procitovano 22 grudnya 2016 Evgeniya Faenkova 08 11 2015 Ukrayinska Pravda Zhittya Arhiv originalu za 14 sichnya 2017 Procitovano 23 grudnya 2016 Olesya Blashuk 04 Maya 2016 AIN Arhiv originalu za 23 grudnya 2016 Procitovano 22 grudnya 2016 Kovalenko Bogdana 03 11 2015 Industrialka Arhiv originalu za 23 grudnya 2016 Procitovano 22 grudnya 2016 Ye gipoteza sho rosijski hakeri za dopomogoyu troyanu namagayutsya vidstezhiti diyi ukrayinskoyi artileriyi Texty org ua 22 12 2016 Procitovano 22 12 2016 Ellen Nakashima 22 grudnya 2016 Washington Post Arhiv originalu za 15 sichnya 2017 Procitovano 23 grudnya 2016 YLE 30 5 2016 Arhiv originalu za 31 travnya 2016 Procitovano 31 travnya 2016 Arstechnica Arhiv originalu za 28 grudnya 2015 Procitovano 6 chervnya 2016 Daily Telegraph 9 kvitnya 2015 Arhiv originalu za 9 kvitnya 2015 Procitovano 10 kvitnya 2015 The Guardian 9 kvitnya 2015 Arhiv originalu za 10 kvitnya 2015 Procitovano 10 kvitnya 2015 The Independent 9 kvitnya 2015 Arhiv originalu za 13 kvitnya 2015 Procitovano 9 kvitnya 2015 Reuters 10 chervnya 2015 Arhiv originalu za 23 chervnya 2015 Procitovano 9 lipnya 2015 Gordon Corera 10 October 2016 Technology BBC News Arhiv originalu za 11 zhovtnya 2016 Procitovano 11 zhovtnya 2016 Kevin Poulsen 20 lipnya 2018 The Daily Beast Arhiv originalu za 23 lipnya 2018 Procitovano 23 lipnya 2018 Roman Dobrohotov 2 chervnya 2017 The Insider Arhiv originalu za 23 lipnya 2018 Procitovano 23 lipnya 2018 Eruel Ramos 8 zhovtnya 2013 TrendLabs Security Intelligence blog Arhiv originalu za 1 serpnya 2016 Procitovano 2 serpnya 2016 Feike Hacquebord 23 zhovtnya 2015 TrendLabs Security Intelligence Blog Arhiv originalu za 31 travnya 2016 Procitovano 16 travnya 2016 RFE RL s Russian Service 19 lipnya 2018 Arhiv originalu za 19 lipnya 2018 Procitovano 20 lipnya 2018 Bellingcat 25 serpnya 2018 Arhiv originalu za 26 lipnya 2018 Procitovano 20 lipnya 2018 Palo Alto Networks traven 2016 Arhiv originalu za 7 lipnya 2016 Procitovano 7 lipnya 2016 malware prevenity Prevenity com traven 2016 Arhiv originalu za 6 lipnya 2016 Procitovano 7 lipnya 2016 dana vada v kodi deyakih ofisnih program Microsoft dozvolyaye viddalene vikonannya kodu z pravami potochnogo koristuvacha Microsoft Security TechCenter 14 kvitnya 2015 Arhiv originalu za 21 serpnya 2016 Procitovano 7 lipnya 2016 Hyacinth Mascarenhas 23 serpnya 2016 International Business Times Arhiv originalu za 21 kvitnya 2021 Procitovano 13 veresnya 2016 BBC News Arhiv originalu za 22 bereznya 2019 Procitovano 17 September 2016 Gallagher Sean 6 zhovtnya 2016 Ars Technica Arhiv originalu za 14 lipnya 2017 Procitovano 26 zhovtnya 2016 Thielman Sam 22 serpnya 2016 The Guardian The Guardian Arhiv originalu za 15 grudnya 2016 Procitovano 11 grudnya 2016 Meyer Josh 14 veresnya 2016 NBC News Arhiv originalu za 23 lyutogo 2018 Procitovano 27 lyutogo 2018 Fancybear net 13 veresnya 2016 Arhiv originalu za gruden 24 2017 Procitovano lyutij 27 2018 Peter Wilson 4 zhovtnya 2018 Foreign amp Commonwealth Office Arhiv originalu za 10 zhovtnya 2018 Procitovano 10 zhovtnya 2018 Ellen Nakashima 24 lyutogo 2018 National Security Washington Post Arhiv originalu za 27 lyutogo 2018 Procitovano 27 lyutogo 2018 Ellen Nakashima 12 sichnya 2018 Washington Post Arhiv originalu za 13 sichnya 2018 Procitovano 27 lyutogo 2018 RAPHAEL SATTER JEFF DONN NATALIYA VASILYEVA 22 grudnya 2017 Associated Press Arhiv originalu za 10 listopada 2021 Procitovano 22 grudnya 2017 Kevin Poulsen 23 travnya 2018 The Daily Beast Arhiv originalu za 13 kvitnya 2019 Procitovano 24 travnya 2018 Dan Goodin 24 travnya 2018 Ars Technica Arhiv originalu za 24 travnya 2018 Procitovano 24 travnya 2018 By RAPHAEL SATTER 27 serpnya 2018 Associated Press Arhiv originalu za 28 serpnya 2018 Procitovano 28 serpnya 2018 LiteraturaThreat Intelligence 22 zhovtnya 2014 PDF Zvit Tactical Intelligence Bulletin PWC CTO TIB 20141022 01C Arhiv originalu PDF za 16 listopada 2017 Procitovano 4 travnya 2018 Neel Mehta Billy Leonard Shane Huntley 5 veresnya 2014 Google Security Team s 42 Arhiv originalu za 21 lyutogo 2017 Procitovano 20 lyutogo 2017 Jen Weedon 2015 Beyond Cyber War Russia s Use of Strategic Cyber Espionage and Information Operations in Ukraine Kenneth Geers ed Tallinn NATO CCD COE Publications ISBN 978 9949 9544 5 2 Arhiv originalu za 16 serpnya 2016 Procitovano 23 travnya 2016 Răzvan BENCHEA Cristina VATAMANU Alexandru MAXIMCIUC Victor LUNCASU 16 grudnya 2015 PDF Bitdefender Arhiv originalu PDF za 25 veresnya 2016 Procitovano 8 chervnya 2016 En Route with Sednit doslidzhennya v troh chastinah PDF T Part 1 Approaching the Target ESET October 2016 s 40 Arhiv originalu PDF za 20 zhovtnya 2016 Procitovano 21 zhovtnya 2016 PDF T Part 2 Observing the Comings and Goings ESET October 2016 Arhiv originalu PDF za 26 zhovtnya 2016 Procitovano 10 listopada 2016 En Route with Sednit PDF T Part 3 A Mysterious Downloader ESET October 2016 nedostupne posilannya z chervnya 2019 Sonderbericht FireEye lyutij 2017 s 15 Arhiv originalu za 24 lyutogo 2017 Procitovano 23 lyutogo 2017 Feike Hacquebord 27 kvitnya 2017 PDF Trend Micro Arhiv originalu PDF za 5 lipnya 2017 Procitovano 4 lipnya 2017 Div takozhRozvinena stala zagroza Rosijsko ukrayinska kibervijna Russian Business Network APT29PosilannyaOperation Pawn Storm The Red in SEDNIT 8 veresnya 2015 u Wayback Machine APT28 A Window Into Russia s Cyber Espionage Operations 28 travnya 2016 u Wayback Machine Nepovnij perelik zhertv kiberatak ugrupuvannya 19 zhovtnya 2016 u Wayback Machine Case 1 18 cr 00215 ABJ 3 veresnya 2018 u Wayback Machine obvinuvachennya 12 ti rosijskih vijskovih u vtruchanni u vibori 2016 roku min yust SShA U S Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations 4 zhovtnya 2018 u Wayback Machine obvinuvachennya proti 7 mi rosijskih hakeriv min yust SShA Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace 10 grudnya 2021 u Wayback Machine min yust SShA Ce nezavershena stattya pro informacijni tehnologiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi