Fancy Bear

Fancy Bear
Unit 26165
פעילות	פעולות סייבר התקפיות
תחום	אבטחת מידע
מדינה	רוסיה
תקופת הפעילות	2004–הווה (כ־20 שנה)

Fancy Bear היא קבוצת תקיפת סייבר רוסית המשויכת בסבירות גבוהה למינהל הראשי של המטה הכללי הרוסי (GRU)^[1]. הקבוצה פעילה לפחות משנת 2004. בין פעילויות הסייבר ההתקפיות הידועות שהקבוצה ביצעה היו פריצה לקמפיין הבחירות של הילרי קלינטון ול-Democratic Congressional Campaign Committee (אנ') של המפלגה הדמוקרטית בארצות הברית בשנת 2016. מטרת התקיפות הייתה להתערב בבחירות לנשיאות ארצות-הברית בשנת 2018^[2]. Fancy Bear מבצעת פעולות סייבר התקפיות נגד מגוון רחב של גורמים ברחבי העולם בהם משרדי ביטחון וגורמי צבא^[3].

חברות אבטחת מידע קוראות לקבוצה במספר שמות. למשל:


שם	חברת אבטחה
APT28	מנדיאנט^[4]
Sofacy	קספרסקי^[4]
STRONTIUM	מיקרוסופט^[4]
Forest Blizzard	מיקרוסופט^[5]
Sednit	ESET^[6]
Pawn Storm	Trend Micro^[7]
IRON TWILIGHT	Secureworks^[8]
FROZENLAKE	גוגל^[8]
Tsar Team	iSight^[8]
Swallowtail^[9]
Grizzly Steppe^[9]
Group 74^[10]	Talos^[8]

תקיפות בשנים האחרונות


יעד התקיפה	שנה	תיאור
ממשלת אוקראינה	2023	שליחת מיילים לגורמי ממשל אוקראינים הכוללים מידע לגבי עדכוני Windows, הגורמים להורדת פוגענים ליעדים הנתקפים^[11].
ממשל, צבא, אנרגיה ותחבורה	2022	פריצה ל-15 ארגונים על ידי שימוש בחולשה של outlook^[12].
בכירי ממשל במערב אסיה ומזרח אירופה	2021	שליחת מיילים המכילים קובצי אקסל לבכירים במערב אסיה ומזרח אירופה. פתיחת האקסל גרמה להתקנת הפוגען במחשבי הנתקפים^[13].

ראו גם

קישורים חיצוניים

שיטות פעולה של קבוצת התקיפה APT28 באתר מערך הסייבר הלאומי
קבוצת הריגול Sofacy (ידועה גם כ-APT 28 ו-Fancy Bear) שינתה כיוון למזרח באתר telecomnews.co.il
A Deep Dive Into the APT28’s stealer called CredoMap באתר securityscorecard.com
In the footsteps of the Fancy Bear: PowerPoint mouse-over event abused to deliver Graphite implants באתר duskrise.com
Threat Profiles באתר Secureworks.com
IRON TWILIGHT Supports Active Measures באתר Secureworks.com

הערות שוליים

^ APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers | CISA, www.cisa.gov, ‏2023-04-18 (באנגלית)
^ APT28, IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Group G0007 | MITRE ATT&CK®, attack.mitre.org
^ Editorial Team, Fancy Bear Hackers (APT28): Targets & Methods | CrowdStrike, crowdstrike.com, ‏2019-02-12 (באנגלית)
^ ¹ ² ³ About: Fancy Bear, dbpedia.org
^ diannegali, How Microsoft names threat actors, learn.microsoft.com, ‏2023-07-12 (באנגלית אמריקאית)
^ New ESET research paper puts Sednit under the microscope, www.welivesecurity.com (באנגלית)
^ From Espionage to Cyber Propaganda: Pawn Storm's Activities over the Past Two Years - Nouvelles de sécurité - Trend Micro FR, www.trendmicro.com (באנגלית)
^ ¹ ² ³ ⁴ IRON TWILIGHT | Secureworks, www.secureworks.comhttp (באנגלית)
^ ¹ ² APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de
^ APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de
^ Vlad CONSTANTINESCU, Russian Cyber Group APT28 Targets Ukraine Government with Fake Windows Update Emails, bitdefender.com, ‏July 21, 2023
^ Microsoft fixes Outlook zero-day used by Russian hackers since April 2022, BleepingComputer (באנגלית אמריקאית)
^ Marc Elias, Prime Minister’s Office Compromised: Details of Recent Espionage Campaign, www.trellix.com/, ‏January 25, 2022

[1] APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers | CISA, www.cisa.gov, ‏2023-04-18 (באנגלית)

[2] APT28, IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Group G0007 | MITRE ATT&CK®, attack.mitre.org

[3] Editorial Team, Fancy Bear Hackers (APT28): Targets & Methods | CrowdStrike, crowdstrike.com, ‏2019-02-12 (באנגלית)

[:0-4] ¹ ² ³ About: Fancy Bear, dbpedia.org

[5] , How Microsoft names threat actors, learn.microsoft.com, ‏2023-07-12 (באנגלית אמריקאית)

[6] New ESET research paper puts Sednit under the microscope, www.welivesecurity.com (באנגלית)

[7] From Espionage to Cyber Propaganda: Pawn Storm's Activities over the Past Two Years - Nouvelles de sécurité - Trend Micro FR, www.trendmicro.com (באנגלית)

[:2-8] ¹ ² ³ ⁴ IRON TWILIGHT | Secureworks, www.secureworks.comhttp (באנגלית)

[:1-9] ¹ ² APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de

[10] APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de

[11] Vlad CONSTANTINESCU, Russian Cyber Group APT28 Targets Ukraine Government with Fake Windows Update Emails, bitdefender.com, ‏July 21, 2023

[12] Microsoft fixes Outlook zero-day used by Russian hackers since April 2022, BleepingComputer (באנגלית אמריקאית)

[13] Marc Elias, Prime Minister’s Office Compromised: Details of Recent Espionage Campaign, www.trellix.com/, ‏January 25, 2022

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]