Fancy Bear

Fancy Bear è uno dei nomi con cui è noto un gruppo di criminali informatici russi che si ritiene sia affiliato con il servizio segreto russo GRU.^[1]^[2]^[3] Il gruppo è anche conosciuto con i nomi APT28 (da Advanced Persistent Threat), Pawn Storm, Sofacy Group, Sednit, STRONTIUM, Tsar Team e Unità 26165.^[4]^[5]

Il gruppo prende di mira soprattutto governi, forze armate e organizzazioni che si occupano di sicurezza, specialmente nei paesi transcaucasici e nei membri della NATO, nonché cittadini russi considerati nemici politici del Cremlino.

Attacchi

Tra il 2014 e il 2017 Fancy Bear ha preso di mira numerosi giornalisti in USA, Ucraina, Russia, Moldavia, Paesi baltici e altre nazioni che hanno scritto articoli critici verso Vladimir Putin o si erano occupati della crisi russo-ucraina, tra cui Tina Kandelaki e Ksenija Sobčak.^[6]

Il gruppo è sospettato di avere condotto un attacco informatico contro il Parlamento federale tedesco tra il 2014 e il 2015. L'attacco ha completamente paralizzato l'infrastruttura informatica del Parlamento nel maggio 2015, rendendone necessaria la disconnessione per diversi giorni. Sono inoltre stati sottratti 16 GB di dati.^[7]

L'8 aprile 2015 un gruppo hacker che si autodenominava "CyberCaliphate" ha attaccato la rete televisiva francese TV5 Monde. I criminali sono entrati nella rete interna dell'emittente, modificandone il palinsesto dei suoi 12 canali per circa 3 ore. Hanno anche preso il controllo dei canali Facebook e Twitter dell'azienda, pubblicando informazioni personali sulle mogli dei soldati francesi impegnati nella guerra all'ISIS e messaggi critici verso il presidente François Hollande. I perpetratori hanno anche cancellato il firmware di alcuni sistemi elettronici dell'emittente. Nonostante sembrasse che l'attacco avesse matrice islamista, successive indagini hanno appurato che era stato invece perpetrato dal gruppo Fancy Bear.^[8]

Nell'agosto 2016 l'Agenzia mondiale antidoping (WADA) ha dichiarato di essere oggetto di una campagna di attacchi di tipo phishing, in cui i perpetratori inviavano agli utenti email camuffate da comunicazioni ufficiali della WADA chiedendo i loro dati di accesso. Tale attacco è avvenuto dopo che la WADA ha proposto di proibire agli atleti russi di partecipare alle Olimpiadi di Rio 2016 a causa della questione del doping di Stato in Russia. In seguito, la WADA ha confermato che c'era stato un furto di dati dai suoi server. I criminali hanno poi pubblicato in rete i dati relativi ai test antidoping di alcuni atleti che avevano ricevuto esenzioni per l'uso di sostanze dopanti ad uso terapeutico. Ulteriori analisi hanno portato alla conclusione che l'attacco è stato condotto dal gruppo Fancy Bear.^[9] Nel 2018 un gran giurì federale statunitense ha emesso un atto di accusa nei confronti di 7 russi, tutti appartenenti al servizio segreto GRU, per aver partecipato all'attacco informatico alla WADA.^[10]

Bellingcat, un sito Internet olandese di giornalismo investigativo, è stato oggetto di un attacco portato avanti attraverso l'invio di una grande quantità email di phishing mentre stava investigando sull'abbattimento del volo Malaysia Airlines 17, in cui hanno perso la vita numerosi cittadini olandesi. I giornalisti di Bellingcat hanno dimostrato che l'aereo civile è stato abbattuto di proposito dalle forze russe.^[11]^[12] L'organizzazione criminale ha anche attaccato, senza successo, il Consiglio olandese per la sicurezza, l'agenzia che stava conducendo l'indagine ufficiale sul disastro aereo.^[13]

Un altro attacco di phishing è stato condotto nel 2016 ai danni del Comitato nazionale democratico statunitense. Sono state prese di mira le caselle email degli esponenti del Partito Democratico e quelle del sito Hillaryclinton.com. L'account Gmail di John Podesta è stato violato e più di 50.000 email sono state trafugate. Il malware utilizzato proveniva dallo stesso server che era stato adoperato l'anno prima per l'attacco al Parlamento tedesco. Nonostante una falsa rivendicazione da parte di un hacker o gruppo di hacker autonominatosi "Guccifer 2.0", è stato appurato che l'attacco è stato effettuato da Fancy Bear.^[14] Curiosamente un altro gruppo di criminali informatici riconducibili al governo russo, Cozy Bear, aveva violato i server del Comitato nazionale democratico nello stesso periodo, ma apparentemente i due gruppi operano ciascuno all'insaputa dell'altro.

Tra il 2014 e il 2016, durante la crisi russo-ucraina, Fancy Bear ha preso di mira le Forze missilistiche e di artiglieria delle Forze Terrestri Ucraine. Il gruppo ha diffuso su forum militari una versione infetta dal virus X-Agent di un'app per Android utilizzata per controllare i dati di tiro dell'obice D-30. Si ritiene che questo attacco abbia portato alla distruzione di circa il 15–20% degli obici D-30 dell'esercito ucraino.^[15]

Il 31 ottobre 2016 ricercatori di Google hanno rivelato di avere scoperto una vulnerabilità 0-day in diverse versioni del sistema operativo Microsoft Windows che veniva utilizzata per effettuare attacchi malware. In seguito Microsoft ha indicato Fancy Bear come esecutore degli attacchi.^[16]

Nell'aprile 2017 la International Association of Athletics Federations ha comunicato che i suoi server erano stati attaccati da Fancy Bear il precedente 21 febbraio. I criminali hanno avuto accesso a documenti relativi all'uso di sostanze terapeutiche proibite dalla WADA.^[17]

Nel 2017 il gruppo ha cercato di influenzare le elezioni in Francia e in Germania. In particolare, è stato appurato che Fancy Bear ha preso di mira la campagna elettorale di Emmanuel Macron con attacchi di phishing e tentativi di installare malware sul loro sito; non sono stati invece rilevati attacchi verso la campagna della sfidante Marine Le Pen.^[18] I criminali informatici hanno anche attaccato le fondazioni tedesche Konrad Adenauer e Friedrich Ebert, vicine al partito di Angela Merkel.^[19]

Il 10 gennaio 2018 un account con il nome "Fancy Bears Hack Team" ha pubblicato online alcune email sottratte al Comitato Olimpico Internazionale e al Comitato Olimpico degli Stati Uniti e datate tra la fine del 2016 e l'inizio del 2017.^[20]

Nell'agosto 2020 il Parlamento norvegese ha informato il pubblico di un cyberattacco contro il suo sistema di posta elettronica. Il mese successivo la ministra degli esteri Ine Marie Eriksen Søreide ha accusato la Russia dell'attacco. Nel dicembre dello stesso anno, l'Agenzia di sicurezza della polizia ha confermato che l'autore dell'attacco è stato Fancy Bear e che alcuni dati sensibili sono stati sottratti dalle caselle email violate.^[21]

Note

[1]
Chi è il gruppo APT Fancy Bear, su securityopenlab.it.
[2]
Dai Democratici alle Olimpiadi: cosa sappiamo degli hacker Fancy Bear, su lastampa.it.
[3]
(EN) Meet Fancy Bear and Cozy Bear, Russian groups blamed for DNC hack, su csmonitor.com.
[4]
APT28 diffonde nuova variante del malware Lojax (alias Double-Agent), su difesaesicurezza.com.
[5]
(EN) Russian Hackers Are Trying to Brute-Force Hundreds of Networks, su wired.com.
[6]
(EN) Russian hackers hunted journalists in years-long campaign, su staradvertiser.com.
[7]
(DE) Cyberangriff auf Bundestag: Haftbefehl gegen russischen Hacker, su tagesschau.de.
[8]
(EN) France probes Russian lead in TV5Monde hacking: sources, su reuters.com.
[9]
(EN) Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say, su ibtimes.co.uk.
[10]
(EN) U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations, su justice.gov.
[11]
(EN) Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash, su washingtonpost.com.
[12]
(EN) British Intelligence Report Confirms Russian Military Origin of MH17 Murder Weapon, su bellingcat.com.
[13]
(EN) Pawn Storm Targets MH17 Investigation Team, su blog.trendmicro.com.
[14]
(EN) CrowdStrike’s work with the Democratic National Committee: Setting the record straight, su crowdstrike.com.
[15]
(EN) Cyber Firm Rewrites Part of Disputed Russian Hacking Report, su voanews.com.
[16]
(EN) Windows zero-day exploited by same group behind DNC hack, su arstechnica.com.
[17]
(EN) IAAF Says It Has Been Hacked, Athlete Medical Info Accessed, su voanews.com.
[18]
(EN) Macron campaign was target of cyber attacks by spy-linked group, su reuters.com.
[19]
(EN) Russia-linked Hackers Target German Political Foundations, su handelsblatt.com. URL consultato il 20 novembre 2021 (archiviato dall'url originale il 19 gennaio 2022).
[20]
(EN) Hack Brief: Russian Hackers Release Apparent IOC Emails in Wake of Olympics Ban, su wired.com.
[21]
(EN) Norway's Intelligence Service says Russian groups 'likely' behind Parliament cyber attack, su euronews.com.

Bibliografia

John Bambenek, Come la Russia proietta la sua potenza cibernetica, in Limes, n. 10/18, novembre 2018, 9788883716867.

Collegamenti esterni

(EN) Analisi tecnica dell'attacco al Parlamento tedesco, su netzpolitik.org.

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica

[1] [1]
Chi è il gruppo APT Fancy Bear, su securityopenlab.it.

[2] [2]
Dai Democratici alle Olimpiadi: cosa sappiamo degli hacker Fancy Bear, su lastampa.it.

[3] [3]
(EN) Meet Fancy Bear and Cozy Bear, Russian groups blamed for DNC hack, su csmonitor.com.

[4] [4]
APT28 diffonde nuova variante del malware Lojax (alias Double-Agent), su difesaesicurezza.com.

[5] [5]
(EN) Russian Hackers Are Trying to Brute-Force Hundreds of Networks, su wired.com.

[6] [6]
(EN) Russian hackers hunted journalists in years-long campaign, su staradvertiser.com.

[7] [7]
(DE) Cyberangriff auf Bundestag: Haftbefehl gegen russischen Hacker, su tagesschau.de.

[8] [8]
(EN) France probes Russian lead in TV5Monde hacking: sources, su reuters.com.

[9] [9]
(EN) Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say, su ibtimes.co.uk.

[10] [10]
(EN) U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations, su justice.gov.

[11] [11]
(EN) Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash, su washingtonpost.com.

[12] [12]
(EN) British Intelligence Report Confirms Russian Military Origin of MH17 Murder Weapon, su bellingcat.com.

[13] [13]
(EN) Pawn Storm Targets MH17 Investigation Team, su blog.trendmicro.com.

[14] [14]
(EN) CrowdStrike’s work with the Democratic National Committee: Setting the record straight, su crowdstrike.com.

[15] [15]
(EN) Cyber Firm Rewrites Part of Disputed Russian Hacking Report, su voanews.com.

[16] [16]
(EN) Windows zero-day exploited by same group behind DNC hack, su arstechnica.com.

[17] [17]
(EN) IAAF Says It Has Been Hacked, Athlete Medical Info Accessed, su voanews.com.

[18] [18]
(EN) Macron campaign was target of cyber attacks by spy-linked group, su reuters.com.

[19] [19]
(EN) Russia-linked Hackers Target German Political Foundations, su handelsblatt.com. URL consultato il 20 novembre 2021 (archiviato dall'url originale il 19 gennaio 2022).

[20] [20]
(EN) Hack Brief: Russian Hackers Release Apparent IOC Emails in Wake of Olympics Ban, su wired.com.

[21] [21]
(EN) Norway's Intelligence Service says Russian groups 'likely' behind Parliament cyber attack, su euronews.com.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]