მსოფლიო “Cozy Bear” – რუსული ჰაკერული ჯგუფი, რომელსაც კრემლი დასავლეთთან ბრძოლაში იყენებს

“Cozy Bear” – რუსული ჰაკერული ჯგუფი, რომელსაც კრემლი დასავლეთთან ბრძოლაში იყენებს

metalab.ge

ავტორი: ირინა პეტროვა

რუსული ჰაკერული ჯგუფის Cozy Bear -(მყუდრო დათვი)-ის შესახებ საქართველოში ალბათ ბევრს არ სმენია. მოპოვებული ინფორმაციით, აღნიშნული გაერთიანება APT29, The Dukes-ის სახელითაცაა ცნობილი. დასავლეთ ქვეყნების ექსპერტების ვარაუდით, აღნიშნული ჰაკერული ჯგუფი რესეთის უსაფრთხოების სამსახურის ეგიდის ქვეშ, 2008 წლიდან მოქმედებს. სახელწოდება Cozy Bear ერთი შეხედვით თითქოს უწინარად ჟღერს, მაგრამ თავისი მავნებლური საქმიანობით მრავალი ქვეყნისა და ათასობით დაწესებულებისათვის თავსატეხს წარმოადგენს. 

“მყუდრო დათვი“ – ესაა  რესურსებით კარგად აღჭურვილი, მაღალ სპეციალიზებული და სტრუქტურირებული კიბერჯაშუშური დაჯგუფება. საკუთარ შესაძლებლობებში – საკმაოდ თავდაჯერებული.

ჯგუფის მიზანია, საზოგადოებაში ქაოსის შექმნა. მათი საქმიანობის სფერო ფართოა. Cozy Bear ძირითადად დაკავებულია დასავლეთ ქვეყნების საგარეო პოლიტიკის, უსაფრთხოების და თავდაცვის დარგში ინფორმაციის შეგროვებით. მისი თავდასხმის ობიექტები ნატოს და დასავლეთ ქვეყნების სამინისტროები, სააგენტოები, ანალიტიკური ცენტრები არიან.  ასევე-დსთ-ს, აფრიკის, აზიის, ახლო აღმოსავლეთის ქვეყნები, არასამთავრობო სექტორი (NGO), IT სერვისები და ტექნოლოგიები.

ჯგუფს თავისი საქმიანობისთვის აქვს ინსტრუმენტების ფართო სპექტრი თავის არსენალში, როგორიცაა მავნე პროგრამული უზრუნველყოფა. არიან მეტად მოქნილები, ამიტომ რთული და პრაქტიკულად შეუძლებელია მათი გამოვლენა. ისინი აღჭურვილნი არიან დიდი რესურსებით. ჯგუფს აქვს მოწინავე შესაძლებლობები, რათა  განახორციელოს უაღრესად მიზანმიმართული შეტევები. თავის საქმიანობაში იყენებს EnvyScout, BoomBox, NativeZone და VaporRage მავნე პროგრამებს.

2010-იანი წლების შუა პერიოდში შესაძლებელი იყო დაკვირვება მათ მასიური ფიშინგ ოპერაციებზე, რომელიც მიმართული იყო სხვადასხვა სამთავრობო და მასთან დაკავშირებულ ორგანიზაციის ასობით (ზოგჯერ ათასობით) წინააღმდეგ.

ჰაკერული ჯგუფის ტიპიური თავდასხმა წარმოდგენილია საინფორმაციო სისტემაში შეღწევით, სწრაფად ინფრომასციის შეგროვებითა და მოპარვით. თუ აღმოჩნდება, რომ მსხვერპლი მათთვის განსაკუთრებული ინტერესის საგანს წარმოადგენს, ჯგუფი გადადის ნაკლებად თვალსაჩინო ინსტრუმენტების გამოყენებაზე, რათა უზრუნველყოს მსხვერპლის ინფორმაციის სისტემაზე მუდმივი წვდომა. ისინი იშვიათ შემთხვევებში იყენებენ უკვე გამოყენებულ სტარტეგიებს, მაქსიმალურად ცდილობენ იყვენენ შეუმჩნევლები.

დასავლეთის ექსპერტების აზრით, Cozy Bear-ს კონკურენციას Fansy Bear იგივე APT 28 (Advanced Persistent Threat ) წარმოადგენს. ეს უკანასკნელი რუსეთის სახელმწიფო დაზვერვის სამსახურის ქოლგის ქვეშ მოღვაწეობს. რუსეთის ხელისუფლების წარმოამდგენლემა არაერთხელ უარყვეს აღნიშნულ ჰაკერულ ჯგუფებთან რაიმე ტიპის კავშირი, თუმცა ფაქტები სხვა რამეს მეტყველებს.

2020 წლის 14 დეკემბერს, ჰაკერული ჯგუფის შეტევის საზმინე გახდა ამიერიკის ვაჭრობისა და ფინანსების სამინისტრო. მათ გატეხეს სამინისტროს თანამშრომლების სამსახურეობრივი მეილები და წვდომა ჰქონდათ ორგანიზაციის ყველა სერვერზე. აღნიშნულ ფაქტზე ვაშინგტონში რუსეთის საელჩოს წარმომადგენლებმა ბრალდებებს უსაფუძვლო უწოდეს. რუსეთის საელჩოს განცხადებაში ნათქვამი იყო, რომ “საინფორმაციო სივრცეზე შეტევები ეწინააღმდეგებოდა რუსეთის საგარეო პოლიტიკას და ეროვნულ ინტერესებს, შესაბამისად რუსეთი არ ახდენს შემტევ ოპერაციებს კიბერ სივრცეში“. ამ ჰაკერულმა ჯგუფმა ობამას პრეზიდენტობის პერიოდში გატეხა სახელმწიფო დეპარტამენტის და თეთრი სახლის სერვერები.

კიბერ ფირმის, FireEye განცხადებით, რომელიც თავად გახდა მათი თავდასხმის სამიზნე, რუსულმა ჰაკერულმა ჯგუფმა ასევე განახორციელა თავდასხმა სხვადასხვა სამთავრობო, საკონსულტაციო, ტექნოლოგიების, ტელეკომუნიკაციების და ნავთობისა და გაზის კომპანიებზე ჩრდილოეთ ამერიკაში, ევროპაში, აზიასა და ახლო აღმოსავლეთში. „ყველა ორგანიზაცია გატეხილი იყო SolarWinds-ის მიერ შექმნილი ქსელის მართვის სისტემის განახლების სერვერის მეშვეობით“ – განაცხადა თავის ბლოგში FireEye-მა.

„როდესაც ასეთი აგერსიული ჯგუფი, როგორიც Cozy Bear-ია, ახერხებს უამრავ სასურველ სისტემაზე წვდომას, ისინი ყოველთვის შეეცდებიან მოპოვებული ინფორმაციის ფართო გამოყენებას“, – ნათქვამია მუნკის გლობალური ურთიერთობებისა და საჯარო პოლიტიკის სკოლის განცხადებაში.

ჰაკერული ჯგუფის თავდასხმის ობიექტი ასევე გახდა კომუნიკაციებისა და ინფორმაციის ეროვნული სამმართველო, რომელიც დაკავებულია ინტერნეტისა და ტელეკომუნიკაციის პოლიტიკით. აღნიშნული ჯგუფი შემჩნეულია კორონავირუსის ვაქცინის კვლევის მოპარვის მცდელობებთან.

2014-2015 წლებში იმავე ჯგუფმა ჩაატარა ფართომასშტაბიანი ჯაშუშური კამპანია, რომლის მიზანი იყო ათასობით მსხვილი ორგანიზაცია, მათ შორის სამთავრობო უწყებები, უცხოური საელჩოები, ენერგეტიკული კომპანიები, სატელეკომუნიკაციო კომპანიები და უნივერსიტეტები. ამ ოპერაციის ფარგლებში მათ გატეხეს თეთრი სახლის, პენტაგონის გაერთიანებული შტაბის უფროსობის და სახელმწიფო დეპარტამენტის ელექტრონული ფოსტის სისტემები.

“ეს იყო პირველი შემთხვევა, როდესაც ჩვენ დავინახეთ, რომ რუსები გახდნენ უფრო აგრესიულები და იმის მაგივრად, რომ ყოფილიყვნენ შეუმჩნევლები და მოჩვენებებივით გამქარალიყვნენ, ისინი პირიქით, სისტემებზე წვდომას განაგრძობდენენ“,- განაცხადა თეთრი სახლის კიბერ უსაფრთხოების კორდინატორმა, მაიკლ დენიელმა.

ამ ჰაკერული ჯგუფის მიერ დაზრალებულ ორგანიზაციათა ჩამონათვალი საკმაოდ დიდია. სამკარისია რამდენიმე გამხაურებული ფაქტების მოყვანა, რომ წარმოდგენა შეგვექმნას მათ საქმიანობაზე. 2015 წელს მათ შეაღწიეს ამერიკის დემოკრატების საინფორმაციო სისტემაში და მოახდინეს ინფორმაციის გაჟონვა. აღნიშნული ფაქტის გამოაშკარავების შესახებ მხოლოდ 2016 წელს გახდა ცნობილი. 2020 წელს ამერიკის, კანადის და დიდი ბრიტანეთის ფარმაცევტულ კვლევით და აკადემიურ კომპანიებზე განახორციელეს შეტევა, რომლებიც დაკავებულები იყვნენ covid-19 ვაქცინის შექმნით.

2021 წლის მაისში დანიის ეროვნული ბანკი მათი მორიგი მსხვერპლი გახდა. მათ დააინსტალირეს მავნე პროგრამა, რომელიც მათ ქსელში ექვსი თვის განმავლობაში შეუმჩნევლად მოქმედებდა და ჰქონდათ ყველა ტიპის ინფორმაციაზე წვდომა.

კიბერუსაფრთხოების მკვლევარებმა დააფიქსირეს, რომ ჯგუფი თავისი საქმიანობის დროს იყენებს სოციალურ მედია პლატფორმებს (Twitter, Reddit და ა.შ.), ასევე სხვადასხვა ინტერნეტ სერვისებს (Trello, Firebase და ა.შ.).

APT29 აქტიურად აკვირდება კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA), გამოძიების ფედერალური ბიუროს (FBI) და ეროვნული უსაფრთხოების სააგენტოს (NSA).

კიბერუსაფრთხოების სპეციალისტები იძლევიან რამდენიმე რჩევას, რაც  დაგეხმარებათ APT29-ისა და სხვა მსგავსი საფრთხეებისგან დაცვაში:

  • გაზარდეთ თქვენი ძალისხმევა ციფრული ჩრდილოვანი აქტივების იდენტიფიცირებისთვის, ღრუბლოვანი მასპინძლების ჩათვლით, Attack Surface Management გადაწყვეტის გამოყენებით.
  • შეინახეთ ინტერნეტთან დაკავშირებული ტექნოლოგიები და მოწყობილობები ყოველთვის შეფუთული, ვინაიდან საფრთხის მოქმედი პირები განუწყვეტლივ სკანირებენ ამ ბრმა წერტილების აღმოსაჩენად.
  • ფრთხილად იყავით გარე დისტანციური სერვისების მიმართ, როგორიცაა RDP, რომელიც ცნობილია როგორც დაუცველი. თუ არ არის საჭირო, დახურეთ იგი.
  • სწრაფად იმოქმედეთ, როდესაც მოგდით შეტობინება მოსალოდნელი საფრთხის ან სერვერის გატეხვის შესახებ.
  • მუდმივად შეამოწმეთ პოტენციური სისუსტეები თქვენს ინტერნეტ ინფრასტრუქტურაზე, როგორიცაა ვადაგასული დომენები, SSL სერთიფიკატები ან ქვედომენები.

დაკავშირებული სტატიები

www.metalab.ge

ანალიტიკური ცენტრი

TOP.GE

მოიწონე გვერდი

ბოლო სიახლეები

© metalab.ge –  საიტი შექმნილია  IWPR – ის მხარდაჭერით.