Таємні кузени: розуміння Cozy Bear та Fancy Bear, двох стовпів кібершпигунства Росії
- Matthew Parish
- кілька секунд тому
- Читати 4 хв
У тіньовому світі кібервійни та цифрового шпигунства мало які імена викликають стільки ж визнання — чи побоювань — як Cozy Bear та Fancy Bear. Ці дві передові групи стійких загроз (APT — отримання несанкціонованого доступу до системи та подальше перебування непоміченим до атаки), які широко приписують російській розвідці, стали центральними дійовими особами в арсеналі гібридної війни Москви. Хоча вони іноді мають однакові цілі, їхні методи, зв'язки та операційні філософії показово розходяться. Розуміння Cozy Bear (APT29) на відміну від Fancy Bear (APT28) пропонує не лише розуміння російської кіберстратегії, але й уявлення про внутрішню структуру та суперництво російського розвідувального співтовариства.
Затишний ведмедик: непомітний професіонал
Вважається, що Cozy Bear, також відстежувана як APT29, пов'язана з російською Службою зовнішньої розвідки (СЗР) — наступницею Першого головного управління КДБ, відповідального за збір зовнішньої розвідувальної інформації. Інші назви цієї групи включають The Dukes, Yttrium та Nobelium (назва, яку Microsoft використовує стосовно атаки SolarWinds).
Ключові характеристики
Стелс: Cozy Bear відомий своєю дискретністю, тривалими вторгненнями та акцентом на спостереженні, а не на саботажі.
Цільова аудиторія: уряди, аналітичні центри, університети та дипломатичні установи, особливо в США, країнах ЄС та НАТО.
Тактика: Високотехнологічний фішинг, вразливості нульового дня та спеціальні бекдори. До сімейств шкідливих програм належать MiniDuke, CozyDuke та SeaDuke.
Відомі операції:
Злом SolarWinds (2020): Масштабна атака на ланцюг поставок, яка скомпрометувала федеральні агентства США та компанії зі списку Fortune 500, залишаючись непоміченою протягом місяців.
Вторгнення в дослідження COVID-19 (2020): Націлювання на центри дослідження вакцин у Великій Британії, Сполучених Штатах та Канаді.
«Затишний ведмідь» воліє залишатися непоміченим якомога довше, збираючи конфіденційну інформацію у спосіб, подібний до традиційного шпигунства. Їхнє ремесло відображає довгостроковий підхід, більш типовий для професійних розвідувальних служб.
Fancy Bear: Галасливий руйнівник
Вважається, що Fancy Bear, або APT28, пов'язаний з російською військовою розвідкою ГРУ. Відомий також як Sofacy, Strontium та Sednit, Fancy Bear часто діє, менше переймаючись прихованістю, і більше — політичним ефектом.
Ключові характеристики
Агресія: Відомий сміливими, гучними атаками та готовністю спалювати інструменти заради ефекту.
Цільова аудиторія: НАТО, міністерства оборони, медіа-організації та політичні кампанії.
Тактики: фішинг, збір облікових даних, розгортання шкідливого програмного забезпечення. Відомі інструменти включають X-Agent, XTunnel та CHOPSTICK.
Відомі операції:
Злом DNC (2016): порушення роботи Національного комітету Демократичної партії під час президентських виборів у США, після чого відбувалися витоки інформації через DCLeaks та WikiLeaks у певний час.
Злом кампанії Макрона (2017): кібератака на кандидата в президенти Франції Еммануеля Макрона.
Олімпійський руйнівник (2018): Спроба зірвати зимові Олімпійські ігри в Південній Кореї.
На відміну від Cozy Bear, Fancy Bear тісно пов'язаний з інформаційними операціями та гібридною війною, поєднуючи військову кіберактивність з дезінформаційними кампаніями та психологічними операціями.
Порівняння Затишного Ведмедика та Вишуканого Ведмедика
Атрибут | Затишний ведмідь (APT29) | Вишуканий ведмедик (APT28) |
Афілійоване агентство | СВР (Служба зовнішньої розвідки) | ГРУ (Військова розвідка) |
Основна мета | Шпигунство | Шпигунство + Підрив + Операції впливу |
Операційний стиль | Прихований, наполегливий | Агресивний, сміливий та політично своєчасний |
Удосконалення інструментів | Надзвичайно високий рівень, спеціальне шкідливе програмне забезпечення | Високий, з більшою кількістю готових інструментів |
Відомі жертви | Федеральні агентства США, дипломати ЄС | Національний комітет Демократичної партиї, ВАДА, НАТО, ЗМІ |
Ключові кампанії | SolarWinds, дослідження вакцини проти COVID-19 | Витоки DNC, MacronLeaks, NotPetya |
Інформаційне посилання на операцію | Рідкісний | Часта співпраця з тролями/ЗМІ |
У той час як Cozy Bear непомітно проникає та збирає розвідувальні дані протягом тривалого часу, операції Fancy Bear розраховані на удар — кібератаки, за якими йдуть витоки інформації, пропаганда чи саботаж.
Внутрішнє суперництво та координація
Незважаючи на спільну вірність російській державі, вважається, що Cozy Bear та Fancy Bear діють незалежно, а часом і конкурують між собою. Звіти свідчать про перекриття цілей без чіткого розмежування ролей, як, наприклад, під час витоку даних Національного комітету Демократичної партизиї у 2016 році, коли обидві групи проникли в одні й ті ж системи, але використовували різні точки доступу та інструменти.
Така поведінка відображає фрагментований характер російського розвідувального апарату, де різні агентства здійснюють паралельні операції за конкуруючими мандатами. Аналітики вважають, що відсутність централізованого контролю іноді призводить до надмірних зусиль або випадкового викриття.
Останні події та Україна
З моменту вторгнення Росії в Україну у 2022 році, як Cozy Bear, так і Fancy Bear активізували свою діяльність:
Fancy Bear була причетна до атак на засоби зв'язку української армії, пошкодження вебсайтів та проведення деструктивних операцій на інфраструктурі.
«Козі Ведмідь», ймовірно, брав участь у довгостроковому спостереженні за обговореннями НАТО, енергетичною політикою та дипломатичними дискусіями, особливо в міру загострення війни.
Зокрема, західні неурядові організації та гуманітарні організації стали мішенню фішингу та шкідливого програмного забезпечення, причому Cozy Bear підозрюють у спробах проникнення на гуманітарні логістичні платформи.
Звіти за 2024 та 2025 роки свідчать про те, що Fancy Bear експериментувала зі злому українських мереж дорожніх камер та міської інфраструктури, щоб збирати розвідувальні дані про стан бою в режимі реального часу та допомагати у наведенні ракет.
Наслідки для Заходу
Поточна діяльність груп Cozy Bear та Fancy Bear підкреслює постійну загрозу, яку становлять російські кіберможливості. Ці групи є прикладами різних аспектів гібридної війни Москви:
Затишний Ведмедик уособлює тихе проникнення західних систем, часто непомітне, доки шкода вже не завдана.
«Fancy Bear» втілює використання незаконно отриманої інформації та деструктивного підриву як зброї, спрямованої на підрив суспільної довіри та політичної стабільності.
Обидва є активними елементами державної агресії, спрямованої не лише на Україну, а й на підрив єдності, безпеки та демократичного управління на всьому Заході.
Висновок
«Затишний ведмедик» та «Вишуканий ведмедик» – це два двигуни російської машини кібершпигунства: один тонкий та клінічний, інший зухвалий та кінетичний. Хоча вони відображають різні культури та тактики в російському розвідувальному співтоваристві, вони мають єдину стратегічну мету: просувати державні інтереси Росії асиметричними засобами. Оскільки війна в Україні вирує, а поле бою в глобальному кіберпросторі розширюється, розуміння цих дійових осіб є важливим не лише для оборони, але й для формування майбутньої політики в епоху, коли шпигунство та агресія більше не визнають кордонів чи миру.