Fancy Bear (ingliz tilidan. – Fashion Bear[1] yoki Fancy Bear) (shuningdek, Fancy Bears, APT28, Sofacy, Pawn storm, Sednit va Strontium) xakerlar guruhidir. 2004-yildan beri faoliyat koʻrsatmoqda. Xorijiy davlatlarning hukumat, axborot, harbiy va boshqa tuzilmalariga, shuningdek, rossiyalik muxolifatchilar va jurnalistlarga kiberhujumlar bilan tanilgan[2]. Amerikalik kiberxavfsizlik mutaxassislari guruhni Rossiya razvedka xizmatlari bilan bogʻlaydi[3].

2018-yilda Qoʻshma Shtatlarda bir qator rus harbiy razvedka xodimlariga nisbatan rasmiy ayblov qoʻyildi, bu esa 26165 (maxsus xizmatning 85-bosh markazi) va 74455-sonli harbiy qism harbiy xizmatchilari Fancy Bear[4][5] ortida turganligini koʻrsatdi.[6] 2020-yilda Germaniya Bosh prokuraturasi 2015-yilda Fancy Bear aʼzosi va GRU[7] xodimi sifatida Bundestagga kiberhujum sodir etganlikda gumon qilingan Dmitriy Badinni hibsga olishga order berdi. Yevropa Ittifoqi va Buyuk Britaniya GRUning 85-Maxsus xizmatlar bosh markazi (GRU 26165, Fancy Bear) va Dmitriy Badinga Bundestag (2015) va OPCW (2018) ga kiberhujumlar uchun sanksiyalar kiritdi[8].

Xavfsizlik xizmatlari reytingi

tahrir

Hackerlar guruhiga laqab Amerikaning CrowdStrike antivirus kompaniyasining kiberxavfsizlik boʻyicha mutaxassisi Dmitriy Alperovich tomonidan guruh tomonidan “shaxmat strategiyasiga oʻxshash aniq nishonga hujum qilish uchun ikki yoki undan ortiq tegishli vositalar/taktikalardan” foydalanganligi sababli berilgan[9], piyon hujumi sifatida tanilgan. U, shuningdek, boshqa xakerlar guruhini Cozy Bear deb atadi, u ham Rossiya maxsus xizmatlari bilan bogʻlangan[10].

FireEye tarmoq xavfsizligi firmasi 2014-yil oktyabr oyida Fancy Bear haqida hisobot chiqardi. Guruh “Advanced Persistent Threat 28” deb nomlanadi, uning aʼzolari xakerlik hujumi paytida Microsoft Windows va Adobe Flashda nol kunlik zaiflikdan foydalangan[11]. Hujjatda tezkor maʼlumotlarga asoslanib, guruhning asosi “Moskvadagi davlat homiysi” deb nomlanadi. Ushbu xulosani qoʻllab-quvvatlash uchun tergovchilar zararli dastur kodidagi rus tilida soʻzlashuvchilarga xos boʻlgan uslubni, shuningdek, dastur Moskva vaqt zonasida ish vaqtida tahrirlanganligini taʼkidlaydilar[12]. FireEye kompaniyasining tahdidlar boʻyicha direktori Laura Galante guruhning faoliyatini “davlat josusligi”[13] deb taʼrifladi, bu ham “ommaviy axborot vositalari yoki taʼsir oʻtkazuvchilar”[14][15] ni nishonga oladi.

ESET maʼlumotlariga koʻra, xakerlar oʻnlab davlatlar elchixonalari, Argentina, Bangladesh, Turkiya, Janubiy Koreya va Ukraina mudofaa vazirliklari, NATO xodimlari, ukrainalik siyosatchilar va Sharqiy Yevropadan kelgan jurnalistlarga hujum qilgan. FireEye’ga oʻxshab, ESET mutaxassislari xakerlarning faolligi UTC+3 soat 9:00 dan 17:00 gacha (Moskvaga toʻgʻri keladi) toʻgʻri kelishini ta’kidladilar.

Atributli kiberhujumlar

tahrir

Germaniya

tahrir

Germaniya Konstitutsiyasini himoya qilish federal xizmati Rossiyani Germaniya davlat muassasalariga kiberhujumlarda ayblaydi[2]. 2016-yil 13-may kuni xizmat rahbari Hans-George Maassen 2015-yilda Bundestag axborot tizimiga qilingan hujumlar ortida va rahbari nemis boʻlgan Germaniya Xristian-Demokratik Ittifoqiga qilingan hujumlar ortida aynan Sofacy turganini aytdi. Maassenning soʻzlariga koʻra, guruh oʻn yildan koʻproq vaqt davomida nemis axborot tizimlariga kirib borishga harakat qilgan va shu vaqt davomida nemis kontrrazvedkasi uni kuzatgan[2]. Hukumat muassasalaridan tashqari, elektr stansiyalari va boshqa muhim sanoat va infratuzilma obyektlari kiberhujumlar nishoniga aylandi[2].

2020-yilning may oyida Germaniya Bosh prokuraturasi rossiyalik Dmitriy Badinni 2015-yilda Bundestagga hujum uyushtirganlikda gumon qilingan Fancy Bear guruhi aʼzosi va GRU xodimi sifatida hibsga olish uchun order berdi. 2020-yil 13-mayda kansler Merkel 2015-yilda Bundestagga uyushtirilgan kiberhujumga Rossiyaning aloqadorligi haqida dalillar borligini ma’lum qildi. Merkelning taʼkidlashicha, hujum gibrid urush strategiyasining bir qismi boʻlib, unda notoʻgʻri maʼlumot berish va yoʻnalishni yoʻqotish ham kiradi[7][16][17].

Fransiya

tahrir

2015 -yil 8-aprelda Fransiyaning TV5 Monde telekanali kiberhujum qurboni boʻldi; kanalning efiri uch soatga toʻxtatildi[18]. Dastlabki versiyaga koʻra, hujum ortida “Islom davlati ” terrorchilik tashkilotiga aloqador CyberCaliphate xakerlik guruhi turgan. Biroq, keyinchalik fransuz tergovchilari hujum ortida Sofacy guruhi[19] boʻlishi mumkinligi haqida shubha uygʻotdi. Fransiya Bosh vaziri Manuel Valls hujumni “axborot erkinligiga yoʻl qoʻyib boʻlmaydigan hujum” deb atadi[20].

AQSh va NATO

tahrir

2015-yil avgust oyida Sofacy Oq uy va NATO axborot tizimlariga firibgarlik hujumini amalga oshirdi. Xakerlar electronicfrontierfoundation.org[21][22] ning soxta URL manzili bilan “fishing ” usulidan foydalangan.

2016-yilning yozida AQSH Demokratik partiyasining ichki tarmogʻiga xakerlik hujumi sodir boʻlganida, xakerlik oqibatlarini bartaraf etgan CrowdStrike kompaniyasi buni Fancy Bear va Cozy Bear guruhlari tashkil qilganini maʼlum qilgan edi.[23]

Xalqaro tashkilotlar

tahrir
WADA

Fancy Bear 2016-yil avgust oyida Butunjahon antidoping agentligi veb-saytini buzib kirganlikda ayblanmoqda. Xakerlik xalqaro tashkilot Rossiyani sportchilar uchun davlat tomonidan qoʻllab-quvvatlanadigan doping tizimini yaratishda ayblagan hisobotini eʼlon qilganidan keyin amalga oshirildi[24].

2016-yilda Fancy Bear Butunjahon antidoping agentligining ADAMS elektron tizimi maʼlumotlariga kirish huquqiga ega boʻldi va baʼzi materiallarni oʻz veb-saytida eʼlon qildi. Agentlik materiallarning haqiqiyligini tasdiqladi.

13-sentabr kuni doping-testlari ijobiy boʻlgan sportchilarning birinchi roʻyxati xakerlar guruhi[25][26][27][28] saytida e’lon qilindi. Hammasi boʻlib beshta roʻyxat[29] va AQSh Dopingga qarshi agentligi xodimining yozishmalari eʼlon qilindi, ular 2015-yilda Qoʻshma Shtatlardan 200 dan ortiq sportchilar terapevtik maqsadlarda doping deb hisoblangan taqiqlangan dori vositalaridan foydalanishga ruxsat olganlar[30].

2018-yil yanvar oyida Xalqaro olimpiya qoʻmitasi xodimlari va WADA oʻrtasidagi yozishmalar chop etildi[31].

Windows

tahrir

2016-yil noyabr oyi boshida Microsoft Windowsning soʻnggi versiyasini buzganini eʼlon qildi. Kiberxavfsizlik boʻyicha mutaxassislarning fikricha, buzgʻunchilikni Strontium (Fancy Bear) xakerlar guruhi amalga oshirgan.

Manbalar

tahrir
  1. „Кто такие Fancy Bears?“. 2016-yil 18-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 18-sentyabr.
  2. 2,0 2,1 2,2 2,3 „«Russia 'was behind German parliament hack'»“. 2016-yil 15-mayda asl nusxadan arxivlangan. Qaraldi: 2016-yil 14-may.
  3. „Познакомьтесь с Cozy Bear и Fancy Bear — российскими группами, стоящими за взломом сети Национального комитета Демократической партии“. 2018-yil 16-yanvarda asl nusxadan arxivlangan. Qaraldi: 2018-yil 16-yanvar.
  4. „Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet“. Wired.com. 2021-yil 30-dekabrda asl nusxadan arxivlangan. Qaraldi: 2018-yil 4-oktyabr.
  5. „Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США)“. Meduza (2018-yil 13-iyul). 2018-yil 17-noyabrda asl nusxadan arxivlangan. Qaraldi: 2017-yil 17-noyabr.
  6. „Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США)“. Meduza (2018-yil 13-iyul). 2018-yil 17-noyabrda asl nusxadan arxivlangan. Qaraldi: 2017-yil 17-noyabr.
  7. 7,0 7,1 Auswärtiges Amt. „Auswärtiges Amt zum Hackerangriff auf den Deutschen Bundestag“ (de). Auswärtiges Amt. 2020-yil 29-mayda asl nusxadan arxivlangan. Qaraldi: 2020-yil 28-may.
  8. „ЕС ввел санкции против начальника ГРУ и Fancy Bear — подразделения военной разведки России. Из-за кибератаки на бундестаг и Ангелу Меркель“. meduza.io (26-noyabr). 2022-yil 26-martda asl nusxadan arxivlangan. Qaraldi: 2020-yil 22-oktyabr.
  9. „Operation Pawn Storm: Using Decoys to Evade Detection“. Trend Micro (2014). 2016-yil 13-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 11-oktyabr.
  10. „Российских хакеров обвинили во взломе сетей штаба Демократической партии“. 2017-yil 3-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2018-yil 16-yanvar.
  11. Menn, Joseph. „Russian cyber attackers used two unknown flaws: security company“. Reuters (2015-yil 18-aprel). 2015-yil 11-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2017-yil 28-sentyabr.
  12. Kumar, Mohit. „APT28 — State Sponsored Russian Hacker Group“. The Hacker News (2014-yil 30-oktyabr). 2020-yil 22-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2020-yil 30-iyun.
  13. Mamiit, Aaron. „Meet APT28, Russian-backed malware for gathering intelligence from governments, militaries: Report“. Tech Times (2014-yil 30-oktyabr). 2016-yil 14-avgustda asl nusxadan arxivlangan. Qaraldi: 2016-yil 11-oktyabr.
  14. „APT28: A Window into Russia's Cyber Espionage Operations?“. FireEye (2014-yil 27-oktyabr). 2016-yil 11-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 11-oktyabr.
  15. Weissman, Cale Guthrie. „France: Russian hackers posed as ISIS to hack a French TV broadcaster“. Business Insider (2015-yil 11-iyun). 2016-yil 16-avgustda asl nusxadan arxivlangan. Qaraldi: 2016-yil 11-oktyabr.
  16. „Меркель не исключила санкций из-за атак «российских хакеров» на бундестаг“ (ru). РБК. 2020-yil 20-mayda asl nusxadan arxivlangan. Qaraldi: 2020-yil 13-may.
  17. Deutsche Welle (www.dw.com). „Посол РФ вызван в МИД Германии из-за кибератак на бундестаг | DW | 28.05.2020“ (ru). DW.COM. 2020-yil 14-iyunda asl nusxadan arxivlangan. Qaraldi: 2020-yil 28-may.
  18. „Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack“. Daily Telegraph (2015-yil 9-aprel). 2015-yil 9-aprelda asl nusxadan arxivlangan. Qaraldi: 2015-yil 10-aprel.
  19. „France probes Russian lead in TV5Monde hacking: sources“. Reuters (2015-yil 10-iyun). 2015-yil 10-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2015-yil 9-iyul.
  20. „French media groups to hold emergency meeting after Isis cyber-attack“. The Guardian (2015-yil 9-aprel). 2015-yil 10-aprelda asl nusxadan arxivlangan. Qaraldi: 2015-yil 10-aprel.
  21. Doctorow, Cory. „Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House“. Boing Boing (2015-yil 28-avgust). 2019-yil 22-martda asl nusxadan arxivlangan. Qaraldi: 2020-yil 30-iyun.
  22. „New Spear Phishing Campaign Pretends to be EFF“. EFF (2015-yil 27-avgust). 2019-yil 7-avgustda asl nusxadan arxivlangan. Qaraldi: 2016-yil 15-may.
  23. Елизавета Фохт. „Ответственность за взлом сетей Демократической партии взял хакер-одиночка“. РБК (2016-yil 16-iyun). 2016-yil 16-iyunda asl nusxadan arxivlangan. Qaraldi: 0116-yil 25-iyul.
  24. Hyacinth Mascarenhas. „Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say“. International Business Times (2016-yil 23-avgust). 2021-yil 21-aprelda asl nusxadan arxivlangan. Qaraldi: 2016-yil 25-avgust.
  25. „Боксёр из РФ Миша Алоян сдал положительный допинг-тест в Рио — Хакеры“. 2016-yil 18-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 18-sentyabr.
  26. „Хакеры выложили новые документы о принимающих допинг спортсменах, в том числе о боксёре Алояне“. 2016-yil 18-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 18-sentyabr.
  27. „WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз“. 2016-yil 13-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 18-sentyabr.
  28. „Байлз заявила, что ей нечего стыдиться из-за применения лекарств от СДВГ“. 2016-yil 14-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 18-sentyabr.
  29. „Fancy Bears выложили пятую часть документов WADA“. 2016-yil 24-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 24-sentyabr.
  30. „Хакеры узнали о 200 американских спортсменах с разрешением на приём допинга“. 2016-yil 9-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2016-yil 8-oktyabr.
  31. „Макларен оказался орудием против России“. 2020-yil 31-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2018-yil 10-yanvar.