Cozy Bear

Cozy Bear
	שיטת הפעולה של הקבוצה
פעילות	פעולות סייבר התקפיות
תחום	אבטחת מידע
מדינה	רוסיה
תקופת הפעילות	2008–הווה (כ־16 שנים)

קוזי ביר (באנגלית: Cozy Bear) היא קבוצת תקיפה רוסית המשויכת לשירות ביון החוץ של רוסיה (SVR).^[1] הקבוצה פעילה לפחות משנת 2008 והיא מבצעת פעולות סייבר התקפיות בדרך כלל נגד רשתות ממשלתיות באירופה, נאטו, מכוני מחקר וצוותי חשיבה.^[2]^[3]^[4] כמו כן היא פעילה במסגרת לוחמת הרשת האוקראינית–רוסית.

חברות אבטחת מידע קוראות לקבוצה במספר שמות. למשל:


שם	חברת אבטחה
APT29	מנדיאנט^[5]
NOBELIUM	מייקרוסופט^[6]
Cozy Duke	קספרסקי^[7]
The Dukes	F-Secure^[8]
Dark Halo	Volexity^[9]
IRON HEMLOCK	Secureworks^[10]
The Dukes^[10]
ATK7	Thales^[10]

תקיפות

התקפותיה של הקבוצה מתמקדות בחברות מסחריות וארגונים ממשלתיים ממגזרים שונים וממדינות מערביות כגון: גרמניה, אוזבקיסטן, דרום קוריאה וארצות הברית.


שנה	שם	תיאור
2014	Office Monkeys	התקפת פישינג נגד עובדי ממשל אמריקאים וניסיון לפתות אותם להפעיל קובץ וידאו (פלאש) שהכיל קוד זדוני^[11]
2015	Pentagon	התקפת פישינג נגד עובדי המטה של משרד ההגנה האמריקאי בפנטגון שגרמה לסגירה זמנית של מערכת הדוא"ל של המטות המשולבים^[12]^[13]
2016	Democratic National Committee	חוקרים מחברת קראודסטרייק (CrowdStrike) מצאו כי קבוצת התקיפה הייתה מעורבת בהתקפת הסייבר נגד הוועדה הדמוקרטית הלאומית בארצות הברית, שהתה ברשת המחשבים של הארגון כשנה וגנבה סיסמאות ומידע מסווג^[14]^[15]
2016	US think tanks and NGOs	כחלק מהתערבות רוסיה בבחירות לנשיאות ארצות הברית, ביצעה הקבוצה התקפות פישינג במטרה לשנות את בחירת המצביעים ואת דעת הקהל^[16]
2017	Norwegian government	התקפת פישינג ממוקדת נגד עובדי משרד הביטחון, החוץ ומפלגת העבודה בנורווגיה^[17]^[18]
2017	Dutch ministries	שירותי הביון הכללי של הולנד (AIVD) זיהו ניסיונות פריצה למחשבי משרד הכלכלה במטרה לגנוב מסמכים מסווגים. בעקבות ניסיונות אלה הורה משרד הפנים ההולנדי לספור באופן ידני את תוצאות הבחירות לפרלמנט שהתקיימו באותה שנה^[19]^[20]
2020	COVID-19 vaccine data	הסוכנות לביטחון לאומי זיהתה ניסיון לגניבת מידע על חיסונים נגד נגיף הקורונה ותרופות המפותחות בבריטניה, ארצות הברית וקנדה^[21]^[22]^[23]
2021	Sunbusrt supply chain attack	חברת FireEye האמריקאית הודיעה כי אוסף כלי תקיפה ומחקר שפיתחה נגנבו ממנה. מספר ימים לאחר הצהרה זו הודיעה חברת SolarWinds על התקפת סייבר שמתבצעת נגדה ונגד כ-18,000 לקוחות החברה, ביניהם מספר סוכנויות פדרליות בארצות הברית. הקמפיין זכה לשם SUNBURST ועל פי וושינגטון פוסט, התקיפה בוצעה על ידי קבוצת קוזי ביר (Cozy Bear)^[24]^[25]^[26]

ראו גם

קישורים חיצוניים

מי את, קבוצת ההאקרים APT29? באתר אנשים ומחשבים
, באתר Omegaton.com
קבוצת התקיפה APT29 פיתחה דלת אחורית חשאית חסרת קבצים, באתר Israel Defense
המתקפה שצריכה להדאיג את כלל התעשייה, באתר פרולוג'יק
קמפיין תקיפה מדינתי של קבוצת התקיפה APT29, באתר מערך הסייבר הלאומי
AP‏, האקרים רוסים חדרו לתשתיות של ליטא כדי לתקוף מקומות אחרים בעולם, באתר וואלה!‏, 4 במרץ 2021
באתר Treade.org.il
Threat Profiles באתר secureworks.com
APT29 recently faked the German embassy and issued a malicious PDF file באתר mp.weixin.qq.com
Malware analysis report: SNOWYAMBER (+APT29 related malwares) באתר mssplab.github.io
NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine באתר blogs.blackberry.com
Sophisticated APT29 Campaign Abuses Notion API to Target the European Commission באתר mrtiepolo.medium.com

הערות שוליים

^ THE WHITE HOUSE, FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government, THE WHITE HOUSE, ‏APRIL 15, 2021
^ APT29, MITRE ATT&CK, ‏31 May 2017
^ Alperovitch, Dmitri. "Bears in the Midst: Intrusion into the Democratic National Committee". CrowdStrike Blog. נבדק ב-27 בספטמבר 2016. {{cite web}}: (עזרה)
^ "Who Is COZY BEAR?". CrowdStrike. 19 בספטמבר 2016. {{cite news}}: (עזרה)
^ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor, ‏DEC 13, 2020
^ GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence, ‏March 4, 2021
^ What's behind APT29?
^ [chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://blog-assets.f-secure.com/wp-content/uploads/2020/03/18122307/F-Secure_Dukes_Whitepaper.pdf THE DUKES 7 YEARS OF RUSSIAN CYBERESPIONAGE], ‏September 2015
^ Dark Halo Leverages SolarWinds Compromise to Breach Organizations, ‏DECEMBER 14, 2020
^ ^10.0 ^10.1 ^10.2 IRON HEMLOCK | Secureworks, www.secureworks.comhttp (באנגלית)
^ Endpoint Protection - Symantec Enterprise, community.broadcom.com
^ Courtney Kube and Jim Miklaszewski, Russia hacks Pentagon computers: NBC, citing sources, CNBC, ‏2015-08-06 (באנגלית)
^ Barbara Starr, CNN Pentagon Correspondent, Official: Russia eyed in Joint Chiefs email intrusion - CNNPolitics, CNN
^ Our Work with the DNC: Setting the record straight, crowdstrike.com, ‏2020-06-05 (באנגלית)
^ "Bear on bear". The Economist. 2016-09-22. ISSN 0013-0613. נבדק ב-2021-09-14.
^ , www.volexity.com (בAmerican English)
^ Stanglin, Doug (3 בפברואר 2017). "Norway: Russian hackers hit spy agency, defense, Labour party". USA Today (באנגלית). {{cite news}}: (עזרה)
^ "Norge utsatt for et omfattende hackerangrep". NRK. 3 בפברואר 2017. {{cite web}}: (עזרה)
^ , myprivacy.dpgmedia.nl
^ Peter Cluskey in The Hague, Dutch opt for manual count after reports of Russian hacking, The Irish Times (באנגלית)
^ "NSA Teams with NCSC, CSE, DHS CISA to Expose Russian Intelligence Services Targeting COVID". National Security Agency Central Security Service. נבדק ב-25 ביולי 2020. {{cite web}}: (עזרה)
^ James, William (16 ביולי 2020). "Russia trying to hack and steal COVID-19 vaccine data, says Britain". Reuters UK. נבדק ב-16 ביולי 2020. {{cite news}}: (עזרה)
^ "UK and allies expose Russian attacks on coronavirus vaccine development". National Cyber Security Centre. 16 ביולי 2020. נבדק ב-16 ביולי 2020. {{cite web}}: (עזרה)
^ Security Advisory | SolarWinds, www.solarwinds.com (באנגלית)
^ cyber.dhs.gov - Emergency Directive 21-01, cyber.dhs.gov (באנגלית אמריקאית)
^ [עדכון התרעה דחופה: תוכנת SolarWinds Orion], באתר GOV.IL

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

37361619Cozy Bear

[1] THE WHITE HOUSE, FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government, THE WHITE HOUSE, ‏APRIL 15, 2021

[2] APT29, MITRE ATT&CK, ‏31 May 2017

[fsb-3] Alperovitch, Dmitri. "Bears in the Midst: Intrusion into the Democratic National Committee". CrowdStrike Blog. נבדק ב-27 בספטמבר 2016. {{cite web}}: (עזרה)

[4] "Who Is COZY BEAR?". CrowdStrike. 19 בספטמבר 2016. {{cite news}}: (עזרה)

[5] Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor, ‏DEC 13, 2020

[6] GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence, ‏March 4, 2021

[7] What's behind APT29?

[8] [chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://blog-assets.f-secure.com/wp-content/uploads/2020/03/18122307/F-Secure_Dukes_Whitepaper.pdf THE DUKES 7 YEARS OF RUSSIAN CYBERESPIONAGE], ‏September 2015

[9] Dark Halo Leverages SolarWinds Compromise to Breach Organizations, ‏DECEMBER 14, 2020

[:0-10] 10.0 ^10.1 ^10.2 IRON HEMLOCK | Secureworks, www.secureworks.comhttp (באנגלית)

[11] Endpoint Protection - Symantec Enterprise, community.broadcom.com

[12] Courtney Kube and Jim Miklaszewski, Russia hacks Pentagon computers: NBC, citing sources, CNBC, ‏2015-08-06 (באנגלית)

[13] Barbara Starr, CNN Pentagon Correspondent, Official: Russia eyed in Joint Chiefs email intrusion - CNNPolitics, CNN

[14] Our Work with the DNC: Setting the record straight, crowdstrike.com, ‏2020-06-05 (באנגלית)

[15] "Bear on bear". The Economist. 2016-09-22. ISSN 0013-0613. נבדק ב-2021-09-14.

[16] , www.volexity.com (בAmerican English)

[17] Stanglin, Doug (3 בפברואר 2017). "Norway: Russian hackers hit spy agency, defense, Labour party". USA Today (באנגלית). {{cite news}}: (עזרה)

[18] "Norge utsatt for et omfattende hackerangrep". NRK. 3 בפברואר 2017. {{cite web}}: (עזרה)

[19] , myprivacy.dpgmedia.nl

[20] Peter Cluskey in The Hague, Dutch opt for manual count after reports of Russian hacking, The Irish Times (באנגלית)

[21] "NSA Teams with NCSC, CSE, DHS CISA to Expose Russian Intelligence Services Targeting COVID". National Security Agency Central Security Service. נבדק ב-25 ביולי 2020. {{cite web}}: (עזרה)

[22] James, William (16 ביולי 2020). "Russia trying to hack and steal COVID-19 vaccine data, says Britain". Reuters UK. נבדק ב-16 ביולי 2020. {{cite news}}: (עזרה)

[23] "UK and allies expose Russian attacks on coronavirus vaccine development". National Cyber Security Centre. 16 ביולי 2020. נבדק ב-16 ביולי 2020. {{cite web}}: (עזרה)

[24] Security Advisory | SolarWinds, www.solarwinds.com (באנגלית)

[25] yber.dhs.gov - Emergency Directive 21-01, cyber.dhs.gov (באנגלית אמריקאית)

[26] [עדכון התרעה דחופה: תוכנת SolarWinds Orion], באתר GOV.IL

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

Cozy Bear

תוכן עניינים

תקיפות

ראו גם

קישורים חיצוניים

הערות שוליים

תפריט ניווט

Cozy Bear

תקיפות

ראו גם

קישורים חיצוניים

הערות שוליים

תפריט ניווט

חיפוש