Przytulny Miś znów atakuje - Cozy Bear

Czas czytania: 3 min

Kolejny atak Cozy Bear’a

Ubiegły weekend (27-28.01) z całą pewnością nie należał do najprzyjemniejszych dla bankowej i podatkowej społeczności Holandii. To właśnie w tym kraju, w sobotę i w niedzielę, kilka lokalnych banków i krajowy Urząd Skarbowy zostały sparaliżowane. Wszystko za sprawą serii potężnych ataków DDoS. Jak wynika z oficjalnych raportów ofiarą padły nie tylko takie korporacje bankowe jak: ABN Amro, ING, czy Rabobank. Wśród ofiar znalazł się także holenderski organ podatkowy. W oficjalnie wydanych oświadczeniach, potwierdzono jednak i uspokojono klientów, że pomimo potężnego ataku, systemów nie naruszono. Konta i wszelkie dane nie zostały wykradzione. Holenderski Urząd Skarbowy dodatkowo wspomniał, że atak w bardzo krótkim czasie zhakował również ich stronę internetową. Trwało to tylko kilka minut, a następnie uderzył w oficjalny system podpisów elektronicznych DigiD.

Cyberatak wymierzono kilka dni po tym, jak lokalne media poinformowały o szpiegowaniu ukrytą kamerą rosyjskiej grupy hakerów. Ich przewrotna nazwa to Cozy Bear, inwigilowani byli natomiast przez holenderską agencję wywiadu AIVD. Holendrzy dostarczyli cennych materiałów na temat sytuacji, która miała miejsce podczas trwania kampanii wyborczej przed wyborami prezydenckimi w USA w 2016 r. Wówczas Władze Partii Demokratycznej oraz sztab wyborczy Hillary Clinton, padły ofiarą głośnych włamań i anonimowych wycieków danych. Holenderscy analitycy ds. bezpieczeństwa badając to zdarzenie, przypisali jego odpowiedzialność właśnie rosyjskiej grupie hakerów „Cozy Bear”. Kim jest więc „Przytulny Miś”? i czy to on faktycznie w ramach odwetu zemścił się na Holendrach?

Cozy Bear – szpiegowanie szpiegów?

Cozy Bear, figurujący rzadziej również pod nazwą: Fancy Bear, APT29, APT28 – to określenia anonimowych sprawców, znanych głównie z szeregu głośnych i potężnych włamań i ataków komputerowych na całym świecie. Według specjalistów ds. bezpieczeństwa sieci informatycznych, za grupą Przytulnego Misia stoi rosyjska instytucja państwowa, prawdopodobnie część wojskowego wywiadu Federacji Rosyjskiej. Z oficjalnych źródeł Holendrów wynika, że siedziba hakerów „Cozy Bear” mieści się w budynku uniwersyteckim w pobliżu Placu Czerwonego w Rosji. W skład grupy wchodzi około 10 członków. Do dnia dzisiejszego, grupa została powiązana z włamaniami i próbami włamań m.in. do systemów parlamentu Niemiec, Białego Domu, Komisji Europejskiej, NATO i innych instytucji bankowych czy urzędowych na całym świecie. Również i w Polsce mieliśmy okazję doświadczyć prawdopodobnie działania Przytulnego Misia. W maju 2016 roku dokonano próbę włamania do systemów Ministerstwa Spraw Zagranicznych. Jak widać, niewątpliwie wszystkie te ataki łączy jedno – obranie sobie za cel jednostek rządowych, instytucji państwowych, finansowych. Po tych wszystkich informacjach, faktycznie holenderski weekendowy cyberatak nie wygląda na czysty przypadek.

Sposób ataku Cozy Bear’a

W większości przypadków Przytulny Miś działa na podobnej zasadzie. Wysyła on tysiące maili phishingowych nakierowanych już od samego początku na szeroki zestaw celów ataku. Znany jest przede wszystkim z profesjonalnych technik rejestrowania domen, które swoim wyglądem bardzo przypominają domeny legalnych organizacji. Następnie po utworzeniu witryn phishingowych w tych domenach, podszywa się pod wygląd internetowych usług pocztowych ofiaryw celu kradzieży, wyłudzenia danych uwierzytelniających. Grupa korzysta z płatności przy pomocy bitcoinów oraz fałszywych tożsamości. Niedźwiedź jest na tyle agresywny, że wykorzystuje najnowsze komponenty docelowego systemu operacyjnego. Ukrywając się przed wszelkiego rodzaju antywirusami i narzędziami bezpieczeństwa opartymi na hoście.

Jak się zatem uchronić?

Oczywiste jest posiadanie odpowiedniego oprogramowania antywirusowego, antyphishingowego, antyDDoSowego. Jednak przede wszystkim należy zachować szczególną ostrożność przy otwieraniu wszelkiego rodzaju e-mailingu, załączników, witryn internetowych. Nawet kiedy wyglądają nam one bardzo znajomo i nawet kiedy mamy pewność, że znamy nadawcę. Nigdy nie wiadomo bowiem, kiedy zły niedźwiedź ponownie zaatakuje.