En ansatt i sikkerhetsselskapet Secureworks i Atlanta 4. oktober 2017. Selskapet undersøkte angrepet mot serverne til Det demokratiske partis nasjonale komité.Scanpix
Dette er Fancy Bear
Hackere tilknyttet Russlands militære etterretning står trolig bak flere tusen angrep mot både stater og enkeltpersoner.
Denne artikkelen er over fire år gammel og kan inneholde utdatert informasjon.
Den russiske hackergruppen Fancy Bear står sannsynligvis bak et dataangrep mot Stortinget. Det meldte Politiets sikkerhetstjeneste (PST) tirsdag. Hackerne klarte ifølge PST å skaffe passordene til enkelte e-postkontoer, noe som gjorde dem i stand til å hente ut sensitive opplysninger.
Annonse
Fancy Bear er et navn som har dukket opp en rekke ganger i forbindelse med dataangrep de siste årene. Det er ikke gruppens eget navn, men de russiske hackerne har klart å gjøre seg beryktet gjennom sine mange og sofistikerte angrep
Hvem er Fancy Bear?
Fancy Bear er en gruppe hackere som står bak dataangrep mot enkeltpersoner, organisasjoner og offentlige instanser i en rekke land. Flere eksperter på datasikkerhet har fulgt sporene etter Fancy Bear til Russland og den militære etterretningsorganisasjonen GRU. Den spesifikke avdelingen heter Enhet 26165, og skal være underlagt 85. hovedsenter for spesielle tjenester.
Hvorfor heter gruppen Fancy Bear?
Gruppen har fått flere betegnelser av sikkerhetseksperter. Fancy Bear kommer fra et navnesystem oppfunnet av den russisk-amerikanske sikkerhetseksperten Dmitrij Alperovitsj. Navne Bear kommer av at hackergruppen er russisk, mens den har fått navnet Fancy etter at datasikkerhetsselskapet Crowdstrike fant ordet «Sofacy» i koden som gruppen har brukt, noe som fikk analytikerne til å tenke på Iggy Azelias hit «Fancy».
Andre navn på hackergruppen er APT28 (forkortelse for «Advanced Persistent Threat» – «Avansert vedvarende trussel»), Strontium, Pawn Storm, Tsar Team og Sofacy-gruppen.
Når dukket de først opp?
Fancy Bear ble først identifisert som en russisk hackergruppe i oktober 2014 av to amerikanske sikkerhetsfirmaer, Trend Micro og FireEye. Avsløringen kom etter at hackerne hadde angrepet både Det hvite hus og det amerikanske utenriksdepartementet.
Ifølge Trend Micro har Fancy Bear vært aktive siden senest 2007.
Hvordan vet man hvem som står bak?
Flere eksperter på IT-sikkerhet har analysert de russiske angrepene og funnet flere tegn på tilknytningen til militær etterretning. FireEye konkluderte i 2014 med at hackerne som angrep Det hvite hus var basert i Moskva og støttet russiske myndigheter. Analytikerne baserte seg på at koden hackerne brukte viste tegn på at den var laget av russisktalende utviklere og at arbeidet ble gjort innenfor normal arbeidstid i Moskva.
I 2018 siktet spesialetterforsker Robert Mueller, som undersøkte russiske forsøk på å påvirke det amerikanske presidentvalget i 2016, tolv russiske etterretningsoffiserer med tilknytning til Fancy Bear for hacking. Mueller baserte seg på informasjon fra USAs etterretningsorganisasjoner. Agentene tilhører ifølge siktelsen Enhet 26165 i den russiske militære etterretningsorganisasjonen GRU.
Hvilke metoder bruker Fancy Bear?
Fancy Bear har benyttet en rekke forskjellige metoder for å bryte seg inn i andres datasystemer. En vanlig metode er såkalt phishing, der hackerne sender en e-post med den ødeleggende programvaren skjult som et uskyldig vedlegg. Da e-postserverne til det demokratiske partiet i USA ble hacket før valget i 2016, var det fordi en ansatt i partiet hadde åpnet et vedlegg i en e-post.
Programmene som Fancy Bear bruker har gruppen i stor grad utviklet selv, og utnytter sikkerhetshull i Windows og andre programmer. To programmer gruppen bruker mye, X-Agent og EvilToss, åpner en bakdør til datamaskinen, som hackerne kan benytte seg av til å hente ut informasjon eller til å kontrollere maskinen.
Fancy Bear står ifølge Trend Micro, FireEye og andre analytikere bak flere tusen angrep, både i Russland og resten av verden. Ifølge en undersøkelse gjort av nyhetsbyrået AP har Fancy Bear uført angrep mot mål i minst 116 land, «fra pavens representant i Kiev til punkbandet Pussy Riot i Moskva».
I Russland er ofrene ofte uavhengige journalister og opposisjonelle politikere, mens i Vesten er målene både medier, politikere og offentlige instanser.
Fancy Bear har stått bak flere omfattende angrep. I 2014 ble det tyske parlamentet utsatt for et seks måneder langt angrep, og tyske myndigheter mistenker at Fancy Bear er synderen. Angrepet førte til at hele parlamentet var offline i flere dager.
I august 2016 ble Verdens antidopingbyrå (WADA) utsatt for phishing-forsøk av Fancy Bear. Angrepet kom etter at Wada hadde anbefalt å utestenge russiske utøvere fra de olympiske leker i Rio de Janeiro.
Det mest kjente angrepet til Fancy Bear, var da hackerne kom seg inn på serverne til Demokratene i USA før presidentvalget i USA. Russerne klarte å stjele en rekke dokumenter, blant annet tusenvis av e-poster, relatert til Hillary Clintons presidentvalgkamp.
Finnes flere russiske hackergrupper?
Ja. En annen russisk hackergruppe som skal ha tilknytning til russisk etterretning har fått navnet Cozy Bear. Denne gruppen skal være underlagt SVR, en av arvtagerne etter KGB og ansvarlig for mye av Russlands etterretning utenriks.
Cozy Bear omtales også som APT 29, og skal bla annet stå bak et angrep mot Pentagon, det amerikanske forsvarsdepartementet.