Adversary

Cozy Bear

Ursprung

Russische Föderation

Community Identifiers

APT29, YTTRIUM, CozyCar, CozyDuke, The Dukes, IRON HEMLOCK

Cozy Bear ist eine Hacker-Gruppe aus Russland, von der angenommen wird, dass sie im Namen des Auswärtigen Geheimdienstes der Russischen Föderation handelt (auch bekannt als SVR oder Cлу́жба вне́шней разве́дки Росси́йской Федера́ции, abgekürzt als СВРФ РФ).

Im Dezember 2020 wurde der Angriff auf SolarWinds bekannt gegeben. SolarWinds, ein Hersteller von Software, die von über 33.000 Organisationen, darunter viele große Unternehmen und Regierungsbehörden, verwendet wird, gab bekannt, dass SUNBURST-Malware in ein Update seiner Orion-Plattform eingefügt worden war, das von mehr als 18.000 Kunden heruntergeladen wurde. Über Monate hinweg hatten Hacker Zugriff auf zahlreiche Systeme im privaten und öffentlichen Sektor. Diese Sicherheitslücke war so schwerwiegend, dass Dringlichkeitssitzungen des Nationalen Sicherheitsrats stattfanden. Wer war dafür verantwortlich? Die ausgeklügelte Komplexität eines solch beispiellosen Angriffs auf die Lieferkette wies auf einen nationalstaatlich unterstützten Angreifer hin. Obwohl Russland jegliche Beteiligung abstreitete, deuteten die Beweise auf einen berüchtigten Täter hin: Cozy Bear.

Derzeit ist jedoch nicht bestätigt, ob die Operationen von Cosy Bear direkt von einem internen Element des SVR oder von einem Teil einer unabhängigen Organisation (wie einem Auftragnehmer oder einer akademischen Einrichtung) durchgeführt werden, die den Geheimdienst unterstützt.

Es wurde festgestellt, dass dieser Angreifer groß angelegte Spear-Phishing-Kampagnen einsetzt, um eine breite Palette von Malware-Typen zu verbreiten, um politische, wissenschaftliche und nationale Sicherheitseinrichtungen in einer Vielzahl von Sektoren anzugreifen, die wahrscheinlich mit den dauerhaften Erfassungszielen mehrerer operativer SVR-Anweisungen übereinstimmen, die als mäßig vertrauenswürdig eingestuft werden. Dieses Targeting-Profil umfasst staatliche / politische Organisationen, nichtstaatliche / gemeinnützige Organisationen (NGOs), einschließlich Think Tanks, Verteidigungsunternehmen und akademische Institutionen. Trotz der geografischen Ausrichtung auf den größten Teil der Welt scheint sich die Aktivität von Cosy Bear hauptsächlich auf Ziele in den USA und Westeuropa zu konzentrieren. Von Cozy Bear kann mit an Sicherheit grenzender Wahrscheinlichkeit ausgegangen werden, dass die Gruppe mit ihrem Vorgehen den Diebstahl sensibler Zielunternehmen unterstützt.

Ein besonderes Merkmal des Modus Operandi dieser Gruppe ist die Beharrlichkeit und Konzentration auf bestimmte Ziele, die sich typischerweise durch wiederholte Versuche manifestieren, wieder Zugang zu Netzwerken zu erlangen und herzustellen, in denen sie zuvor die operative Kontrolle verloren haben. Cosy Bear-Operationen werden durch Bereitstellungs- und C2-Infrastrukturen unterstützt, was auf eine äußerst professionelle feindliche Gruppe schließen lässt, die stark auf Geheimhaltung setzt, und die auch die Netzwerkinfrastruktur legitimer Unternehmen schädigt, und über diese Payloads vermutlich in andere Ziele in ähnlichen Branchen einschleust, um bestehendes Vertrauen auszunutzen.

Malware-Familien, die Cosy Bear zugeschrieben werden, weisen eine beträchtliche Diversifizierung auf, was darauf hindeutet, dass sie wahrscheinlich von separaten Entwicklungsteams im Auftrag einer gut ausgestatteten Gruppe geschrieben wurden. Diese Tools sind häufig hochentwickelt und werden mit Hilfe aufwändiger Kryptografie- und Antianalysetechniken implementiert, um sie vor Erkennung und Untersuchung zu schützen. Cozy Bear entwickelt seine Malware mit einem starken Einfluss herkömmlicher menschlicher Intelligenz, die neue Merkmale wie Dead-Drop C2 umfasst, welches sich der Sozialen Medien und eines Tor-basierten Bereitstellungsmechanismus bedient. Bei späteren Operationen schien sich die Gruppe weniger stark auf komplette Malware-Familien zu verlassen. Stattdessen wurde eine vereinfachte Backdoor eingeführt, die manuelle, von einem Menschen durchgeführte Netzwerkschädigungen unterstützt und das Risiko senkt, den Kriminellen ausfindig zu machen.

Targeted Nations

  • Flag Icon of the country Österreich

    Österreich

  • Flag Icon of the country Brasilien

    Brasilien

  • Flag Icon of the country China

    China

  • Flag Icon of the country Frankreich

    Frankreich

  • Flag Icon of the country Deutschland

    Deutschland

  • Flag Icon of the country Ungarn

    Ungarn

  • Flag Icon of the country Japan

    Japan

  • Flag Icon of the country Mexiko

    Mexiko

  • Flag Icon of the country Niederlande

    Niederlande

  • Flag Icon of the country Neuseeland

    Neuseeland

  • Flag Icon of the country Norwegen

    Norwegen

  • Flag Icon of the country Portugal

    Portugal

  • Flag Icon of the country Südkorea

    Südkorea

  • Flag Icon of the country Spanien

    Spanien

  • Flag Icon of the country Türkei

    Türkei

  • Flag Icon of the country Ukraine

    Ukraine

  • Flag Icon of the country Vereinigtes Königreich

    Vereinigtes Königreich

  • Flag Icon of the country Vereinigte Staaten

    Vereinigte Staaten

  • Flag Icon of the country Usbekistan

    Usbekistan

Artwork

Gegner: Cozy Bear  - Bedrohungsakteur

Crowdstrike Cozy Bear

I have read and accept the terms and conditions

Download
Nächste Gruppe aufrufen

Terms and conditions

In order to download the adversary artwork, we kindly request you to accept our terms and conditions displayed below.

This image (“artwork”), is the intellectual property of CrowdStrike, Inc. and its affiliates and licensors (collectively, “us” or “we”) and may include other marks, trademarks, copyrighted materials, and other intellectual property (“assets”) that belong t o us, including, without limitation, CrowdStrike, the CrowdStrike logo, and CrowdStrike Falcon. We retain all right, title and interest in and to the artwork and all assets included therein. This artwork is offered to you as a convenience for your lawful a nd non-commercial use, solely as authorized by us, and subject to your compliance with these terms and conditions (“terms”) and any other guidelines or specifications that we may provide from time to time. We reserve the right to change these terms at any time without prior notice.

You should periodically check the latest information posted herein to be sure that you are in compliance. By downloading the artwork, you attest that you are at least 18 years of age and agree to the following terms, which const itute the sole and entire agreement between you and us with respect to the artwork. We reserve all rights not expressly granted to you herein. You may not use or display the artwork in any way: (i) that violates the rights of any person or entity or that may give rise to civil or criminal liability under laws or regulations applicable to you, another user, and/or CrowdStrike; (ii) that is defamatory, obscene, indecent, abusive, harassing, violent, hateful, inflammatory or otherwise objectionable; (iii) tha t is false, deceptive, misleading or fraudulent, including but not limited to: (a) any attempt to impersonate any person or entity, including any other user, CrowdStrike or a CrowdStrike employee; (b) any attempt to misrepresent your identity or affiliation with any person or organization; or (iv) for the purposes of recruiting, advertising, solicitation or commercial activities of any kind without our express written consent.

THE ARTWORK IS PROVIDED TO YOU BY CROWDSTRIKE ON AN “AS IS” AND “AS AVAILABLE” BA SIS, WITHOUT ANY WARRANTIES OF ANY KIND, EITHER EXPRESS OR IMPLIED. EXCEPT TO THE EXTENT THAT A DISCLAIMER OF LIABILITY IS PROHIBITED UNDER APPLICABLE LAW, IN NO EVENT WILL CROWDSTRIKE, ITS AFFILIATES AND ITS LICENSORS, EMPLOYEES, AGENTS, OFFICERS AND DIRE CTORS BE LIABLE FOR DAMAGES OF ANY KIND, UNDER ANY LEGAL THEORY, ARISING OUT OF OR IN CONNECTION WITH YOUR USE, OR INABILITY TO USE, THE ARTWORK.