Fancy Bear

Fancy Bear היא קבוצת תקיפת סייבר רוסית המשויכת בסבירות גבוהה למינהל הראשי של המטה הכללי הרוסי (GRU)^[1]. הקבוצה פעילה לפחות משנת 2004. בין פעילויות הסייבר ההתקפיות הידועות שהקבוצה ביצעה היו פריצה לקמפיין הבחירות של הילרי קלינטון ול-Democratic Congressional Campaign Committee (אנ') של המפלגה הדמוקרטית בארצות הברית בשנת 2016. מטרת התקיפות הייתה להתערב בבחירות לנשיאות ארצות-הברית בשנת 2018^[2]. Fancy Bear מבצעת פעולות סייבר התקפיות נגד מגוון רחב של גורמים ברחבי העולם בהם משרדי ביטחון וגורמי צבא^[3].

Fancy Bear
Unit 26165

פעילות	פעולות סייבר התקפיות
תחום	אבטחת מידע
מדינה	רוסיה רוסיה
תקופת הפעילות	2004–הווה (כ־20 שנה)

חברות אבטחת מידע קוראות לקבוצה במספר שמות. למשל:

שם	חברת אבטחה
APT28	מנדיאנט[4]
Sofacy	קספרסקי[4]
STRONTIUM	מיקרוסופט[4]
Forest Blizzard	מיקרוסופט[5]
Sednit	ESET[6]
Pawn Storm	Trend Micro[7]
IRON TWILIGHT	Secureworks[8]
FROZENLAKE	גוגל[8]
Tsar Team	iSight[8]
Swallowtail[9]
Grizzly Steppe[9]
Group 74[10]	Talos[8]

תקיפות בשנים האחרונות

יעד התקיפה	שנה	תיאור
ממשלת אוקראינה	2023	שליחת מיילים לגורמי ממשל אוקראינים הכוללים מידע לגבי עדכוני Windows, הגורמים להורדת פוגענים ליעדים הנתקפים[11].
ממשל, צבא, אנרגיה ותחבורה	2022	פריצה ל-15 ארגונים על ידי שימוש בחולשה של outlook[12].
בכירי ממשל במערב אסיה ומזרח אירופה	2021	שליחת מיילים המכילים קובצי אקסל לבכירים במערב אסיה ומזרח אירופה. פתיחת האקסל גרמה להתקנת הפוגען במחשבי הנתקפים[13].

ראו גם

• לוחמת רשת
• טרור קיברנטי
• האקינג
• האקטיביזם
• לוחמת הרשת האוקראינית–רוסית

קישורים חיצוניים

• שיטות פעולה של קבוצת התקיפה APT28 באתר מערך הסייבר הלאומי
• קבוצת הריגול Sofacy (ידועה גם כ-APT 28 ו-Fancy Bear) שינתה כיוון למזרח באתר telecomnews.co.il
• A Deep Dive Into the APT28’s stealer called CredoMap באתר securityscorecard.com
• In the footsteps of the Fancy Bear: PowerPoint mouse-over event abused to deliver Graphite implants באתר duskrise.com
• Threat Profiles באתר Secureworks.com
• IRON TWILIGHT Supports Active Measures באתר Secureworks.com

הערות שוליים

1. APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers | CISA, www.cisa.gov, ‏2023-04-18 (באנגלית)
2. APT28, IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Group G0007 | MITRE ATT&CK®, attack.mitre.org
3. Editorial Team, Fancy Bear Hackers (APT28): Targets & Methods | CrowdStrike, crowdstrike.com, ‏2019-02-12 (באנגלית)
4. About: Fancy Bear, dbpedia.org
5. diannegali, How Microsoft names threat actors, learn.microsoft.com, ‏2023-07-12 (באנגלית אמריקאית)
6. New ESET research paper puts Sednit under the microscope, www.welivesecurity.com (באנגלית)
7. From Espionage to Cyber Propaganda: Pawn Storm's Activities over the Past Two Years - Nouvelles de sécurité - Trend Micro FR, www.trendmicro.com (באנגלית)
8. IRON TWILIGHT | Secureworks, www.secureworks.comhttp (באנגלית)
9. APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de
10. APT28 (Threat Actor), malpedia.caad.fkie.fraunhofer.de
11. Vlad CONSTANTINESCU, Russian Cyber Group APT28 Targets Ukraine Government with Fake Windows Update Emails, bitdefender.com, ‏July 21, 2023
12. Microsoft fixes Outlook zero-day used by Russian hackers since April 2022, BleepingComputer (באנגלית אמריקאית)
13. Marc Elias, Prime Minister’s Office Compromised: Details of Recent Espionage Campaign, www.trellix.com/, ‏January 25, 2022