Cozy Bear
מראה
שיטת הפעולה של הקבוצה | |
פעילות | פעולות סייבר התקפיות |
---|---|
תחום | אבטחת מידע |
מדינה | רוסיה |
תקופת הפעילות | 2008–הווה (כ־16 שנים) |
קוזי ביר (באנגלית: Cozy Bear) היא קבוצת תקיפה רוסית המשויכת לשירות ביון החוץ של רוסיה (SVR).[1] הקבוצה פעילה לפחות משנת 2008 והיא מבצעת פעולות סייבר התקפיות בדרך כלל נגד רשתות ממשלתיות באירופה, נאטו, מכוני מחקר וצוותי חשיבה.[2][3][4] כמו כן היא פעילה במסגרת לוחמת הרשת האוקראינית–רוסית.
חברות אבטחת מידע קוראות לקבוצה במספר שמות. למשל:
שם | חברת אבטחה |
---|---|
APT29 | מנדיאנט[5] |
NOBELIUM | מיקרוסופט[6] |
Cozy Duke | קספרסקי[7] |
The Dukes | F-Secure[8] |
Dark Halo | Volexity[9] |
IRON HEMLOCK | Secureworks[10] |
The Dukes[10] | |
ATK7 | Thales[10] |
תקיפות
[עריכת קוד מקור | עריכה]התקפותיה של הקבוצה מתמקדות בחברות מסחריות וארגונים ממשלתיים ממגזרים שונים וממדינות מערביות כגון: גרמניה, אוזבקיסטן, דרום קוריאה וארצות הברית.
שנה | שם | תיאור |
---|---|---|
2014 | Office Monkeys | התקפת פישינג נגד עובדי ממשל אמריקאים וניסיון לפתות אותם להפעיל קובץ וידאו (פלאש) שהכיל קוד זדוני[11] |
2015 | Pentagon | התקפת פישינג נגד עובדי המטה של משרד ההגנה האמריקאי בפנטגון שגרמה לסגירה זמנית של מערכת הדוא"ל של המטות המשולבים[12][13] |
2016 | Democratic National Committee | חוקרים מחברת קראודסטרייק (CrowdStrike) מצאו כי קבוצת התקיפה הייתה מעורבת בהתקפת הסייבר נגד הוועדה הדמוקרטית הלאומית בארצות הברית, שהתה ברשת המחשבים של הארגון כשנה וגנבה סיסמאות ומידע מסווג[14][15] |
2016 | US think tanks and NGOs | כחלק מהתערבות רוסיה בבחירות לנשיאות ארצות הברית, ביצעה הקבוצה התקפות פישינג במטרה לשנות את בחירת המצביעים ואת דעת הקהל[16] |
2017 | Norwegian government | התקפת פישינג ממוקדת נגד עובדי משרד הביטחון, החוץ ומפלגת העבודה בנורווגיה[17][18] |
2017 | Dutch ministries | שירותי הביון הכללי של הולנד (AIVD) זיהו ניסיונות פריצה למחשבי משרד הכלכלה במטרה לגנוב מסמכים מסווגים. בעקבות ניסיונות אלה הורה משרד הפנים ההולנדי לספור באופן ידני את תוצאות הבחירות לפרלמנט שהתקיימו באותה שנה[19][20] |
2020 | COVID-19 vaccine data | הסוכנות לביטחון לאומי זיהתה ניסיון לגניבת מידע על חיסונים נגד נגיף הקורונה ותרופות המפותחות בבריטניה, ארצות הברית וקנדה[21][22][23] |
2021 | Sunbusrt supply chain attack | חברת FireEye האמריקאית הודיעה כי אוסף כלי תקיפה ומחקר שפיתחה נגנבו ממנה. מספר ימים לאחר הצהרה זו הודיעה חברת SolarWinds על התקפת סייבר שמתבצעת נגדה ונגד כ-18,000 לקוחות החברה, ביניהם מספר סוכנויות פדרליות בארצות הברית.
הקמפיין זכה לשם SUNBURST ועל פי וושינגטון פוסט, התקיפה בוצעה על ידי קבוצת קוזי ביר (Cozy Bear)[24][25][26] |
ראו גם
[עריכת קוד מקור | עריכה]קישורים חיצוניים
[עריכת קוד מקור | עריכה]- מי את, קבוצת ההאקרים APT29? באתר אנשים ומחשבים
- , באתר Omegaton.com
- קבוצת התקיפה APT29 פיתחה דלת אחורית חשאית חסרת קבצים, באתר Israel Defense
- המתקפה שצריכה להדאיג את כלל התעשייה, באתר פרולוג'יק
- קמפיין תקיפה מדינתי של קבוצת התקיפה APT29, באתר מערך הסייבר הלאומי
- AP, האקרים רוסים חדרו לתשתיות של ליטא כדי לתקוף מקומות אחרים בעולם, באתר וואלה, 4 במרץ 2021
- באתר Treade.org.il
- Threat Profiles באתר secureworks.com
- APT29 recently faked the German embassy and issued a malicious PDF file באתר mp.weixin.qq.com
- Malware analysis report: SNOWYAMBER (+APT29 related malwares) באתר mssplab.github.io
- NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine באתר blogs.blackberry.com
- Sophisticated APT29 Campaign Abuses Notion API to Target the European Commission באתר mrtiepolo.medium.com
הערות שוליים
[עריכת קוד מקור | עריכה]- ^ THE WHITE HOUSE, FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government, THE WHITE HOUSE, APRIL 15, 2021
- ^ APT29, MITRE ATT&CK, 31 May 2017
- ^ Alperovitch, Dmitri. "Bears in the Midst: Intrusion into the Democratic National Committee". CrowdStrike Blog. נבדק ב-27 בספטמבר 2016.
{{cite web}}
: (עזרה) - ^ "Who Is COZY BEAR?". CrowdStrike. 19 בספטמבר 2016.
{{cite news}}
: (עזרה) - ^ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor, DEC 13, 2020
- ^ GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence, March 4, 2021
- ^ What's behind APT29?
- ^ THE DUKES 7 YEARS OF RUSSIAN CYBERESPIONAGE, September 2015
- ^ Dark Halo Leverages SolarWinds Compromise to Breach Organizations, DECEMBER 14, 2020
- ^ 1 2 3 IRON HEMLOCK | Secureworks, www.secureworks.comhttp (באנגלית)
- ^ Endpoint Protection - Symantec Enterprise, community.broadcom.com
- ^ Courtney Kube and Jim Miklaszewski, Russia hacks Pentagon computers: NBC, citing sources, CNBC, 2015-08-06 (באנגלית)
- ^ Barbara Starr, CNN Pentagon Correspondent, Official: Russia eyed in Joint Chiefs email intrusion - CNNPolitics, CNN
- ^ Our Work with the DNC: Setting the record straight, crowdstrike.com, 2020-06-05 (באנגלית)
- ^ "Bear on bear". The Economist. 2016-09-22. ISSN 0013-0613. נבדק ב-2021-09-14.
- ^ , www.volexity.com (בAmerican English)
- ^ Stanglin, Doug (3 בפברואר 2017). "Norway: Russian hackers hit spy agency, defense, Labour party". USA Today (באנגלית).
{{cite news}}
: (עזרה) - ^ "Norge utsatt for et omfattende hackerangrep". NRK. 3 בפברואר 2017.
{{cite web}}
: (עזרה) - ^ , myprivacy.dpgmedia.nl
- ^ Peter Cluskey in The Hague, Dutch opt for manual count after reports of Russian hacking, The Irish Times (באנגלית)
- ^ "NSA Teams with NCSC, CSE, DHS CISA to Expose Russian Intelligence Services Targeting COVID". National Security Agency Central Security Service. נבדק ב-25 ביולי 2020.
{{cite web}}
: (עזרה) - ^ James, William (16 ביולי 2020). "Russia trying to hack and steal COVID-19 vaccine data, says Britain". Reuters UK. נבדק ב-16 ביולי 2020.
{{cite news}}
: (עזרה) - ^ "UK and allies expose Russian attacks on coronavirus vaccine development". National Cyber Security Centre. 16 ביולי 2020. נבדק ב-16 ביולי 2020.
{{cite web}}
: (עזרה) - ^ Security Advisory | SolarWinds, www.solarwinds.com (באנגלית)
- ^ cyber.dhs.gov - Emergency Directive 21-01, cyber.dhs.gov (באנגלית אמריקאית)
- ^ [עדכון התרעה דחופה: תוכנת SolarWinds Orion], באתר GOV.IL