Jedna z najbardziej agresywnych grup hakerskich działająca na rzecz Kremla to Fancy Bear, znana też pod nazwą APT 28 oraz Tsar Team. Jej celem był m.in. Komitet Partii Demokratycznej czy też organy tej partii odpowiedzialne za finansowanie kampanii do Kongresu. Atak przeprowadzony w czasie wyborów miał wpłynąć na ich wynik oraz zdestabilizować życie polityczne w Stanach Zjednoczonych. Mimo że piszą o nich media na całym świecie, stosunkowo mało jest informacji o samej grupie. Nie wiadomo, ilu hakerów pracuje w jej ramach. Nieznana jest również jej struktura ani czy członkowie zlokalizowani są w jednym miejscu, czy rozsiani po całym terytorium Rosji.
Zdolności Fancy Bears
Jeden z ekspertów znajdującej się w Moskwie firmy Kaspersky powiedział, że grupa posiada zaawansowane zaplecze finansowe i techniczne, na które pozwolić mogą sobie tylko państwowe agencje wywiadowcze. Fancy Bear ma dostęp do dużej liczby wcześniej nieznanych luk typu zero day, będących jedną z najlepszych metod włamywania się do systemów. Grupa używa też zaawansowanych złośliwych aplikacji jak np. Sourface, która umieszczona na komputerze ofiary ściąga złośliwe oprogramowanie pozwalające na zdalne kontrolowanie komputera. Inne programy pozwalały Fancy Bear niszczyć istniejące pliki i tworzyć własne, spreparowane według potrzeb, oraz skutecznie zacierać ślady. Przedstawiciele firmy FireEye, którzy badali działalność tych hakerów zauważyli, że metadane użyte w złośliwym oprogramowaniu wskazywały na rosyjskie ustawienia języka. Mogło to świadczyć o tym, że złośliwy program został stworzony w rosyjskim czasie pracy, a adresy IP użyte podczas ataku mogą zostać wyśledzone i wskazują rosyjskie źródło.
Stopień zaawansowania rosyjskich zdolności w środowisku wirtualnym nie powinien dziwić. Państwo to, wraz z Chinami, Izraelem i Stanami Zjednoczonymi, posiada jeden z najpotężniejszych arsenałów ofensywnych w cyberprzestrzeni. W przeciwieństwie do wyżej wymienionych krajów niewiele jednak wiadomo na temat jego organizacji instytucjonalnej.
Zdaniem Andrieja Soldatowa, autora książki The Red Web, operacje w cyberprzestrzeni są organizowane przez FSB. W opinii jednego z oficerów amerykańskiego wywiadu zeszłoroczna kampania włamań do Departamentu Stanu i Białego Domu była właśnie dziełem jednostki operującej w ramach FSB. Również wywiad wojskowy – GRU, posiada własne oddziały do prowadzenia działań w świecie wirtualnym. Zdaniem Soldatowa to właśnie z tej organizacji wywodzi się Fancy Bear.
Witali Kremez, ekspert z firmy Flashpoint, uważa, że rosyjskie agencje wywiadowcze działają inaczej w cyberprzestrzeni niż ich odpowiednicy z innych państw. Nie ma tutaj umundurowanych jednostek hakerów dokonujących włamań. Zamiast tego umieszcza się "swoich" ludzi w różnych przedsiębiorstwach, np. energetycznych czy u dostarczycieli usług internetowych. Przeprowadzenie ataku na DNC nie wymagało udziału wielu osób – wystarczyły dwie lub trzy utalentowane.
Czytaj też: Luka w systemie Microsoftu wykorzystana przez Fancy Bears
Według jednego z urzędników w Departamencie Obrony, Stany Zjednoczone wcześniej nie spotkały się z takim działaniem, jakie ma miejsce w ramach grupy Fancy Bear. USA wciąż przygotowują strategię właściwej odpowiedzi. Rozmówca podkreślił, że nigdy nikt nie był tak bezczelnych w swoich działaniach oraz nie krył swojej tożsamości.
Operacje ofensywne
Eksperci śledzący poczynania grupy dostrzegli pierwsze przejawy jej aktywności podczas wojny w Gruzji w 2008 roku. Trzy tygodnie przed rozpoczęciem konfliktu militarnego gruzińskie strony rządowe doświadczyły zmasowanych ataków DDoS. Większość z nich była prymitywna i doprowadziła do czasowej niedostępności strony internetowej prezydenta Micheila Saakaszwilego, a wiele witryn agencji prasowych padło ofiarą hakerów. Tuż po rozpoczęciu wojny większość gruzińskiego ruchu internetowego, który przechodzi przez Rosję i Turcję została zablokowana, a na stronie prezydenckiej znalazły się obrazki porównujące przywódcę Gruzji do Adolfa Hitlera. Był to jeden z pierwszych przypadków połączenia działań konwencjonalnych z atakami cyfrowymi. Fancy Bear odgrywało istotną rolę w tej kampanii.
Po ataku na Gruzję rozmiar oraz poziom zaawansowania prowadzonych operacji tylko wzrósł. W jednym z raportów niemieckiego kontrwywiadu Federalnego Urzędu Ochrony Konstytucji można przeczytać, że Fancy Bear jest zaangażowane w prowadzoną przez Rosję wojnę hybrydową. Niemcy podejrzewają, że grupa ta stała za atakiem na ukraińską elektrownię, co doprowadziło do odcięcia od energii ponad 230 tys. osób. Ponadto Fancy Bear miało również dokonać włamań do Bundestagu oraz serwerów partii Angelli Merkel CDU. Celem było pozyskanie informacji strategicznych.
Rosyjska cyberagresja uderzyła również w media. W kwietniu 2015 roku francuska telewizja TV5 Monde nagle zaczęła wyświetlać hasła propagandowe Daesh, a na jej facebookowej stronie pojawiły się posty o następującej treści: „Żołnierze Francji, trzymajcie się z dala od Państwa Islamskiego. Macie możliwość ocalenia własnych rodzin, skorzystajcie z niej”. Początkowo wszystkie poszlaki wskazywały, że za ten cyberatak odpowiedzialna jest dywizja hakerów ISIS. Po przeprowadzeniu drobiazgowego śledztwa okazało się jednak, że za operacją stało Fancy Bear. Przedstawiciele firmy FireEye, badającej ten incydent, porównali adresy IP użyte w ataku na TV5 Monde z tymi wykorzystywanymi w poprzednich kampaniach Fancy Bear. Okazało się, że są ze sobą zbieżne. Była to typowa operacja pod fałszywą flagą, której zadaniem miało być szerzenie paniki i zbiorowej histerii. Rosja posiada długą historię tego typu działań wywiadowczych. Zdaniem ekspertów była to próba sprawdzenia, czy cyberatak jest w stanie sparaliżować działanie mediów.
Czytaj też: Nowe dowody potwierdzają, że rosyjscy cyberprzestępcy zaatakowali biura Demokratów
Nie była to jednak jedyna taka sytuacja. W tym samym czasie Fancy Bear starało się zastraszyć brytyjskiego dziennikarza Eliota Higginsa i skupione wokół niego osoby prowadzące stronę Bellingcat. Higgins, który opublikował dziesiątki artykułów poświęconych udziałowi Rosjan w zestrzeleniu MH-17 oraz dotyczących aktywności wojsk rosyjskich na Ukrainie, został nagle zalany olbrzymią ilością spear phisingowych maili. Powiadomił on o całym zdarzeniu jedną z firm zajmujących się cyberbezpieczeństwem, która potwierdziła, że za incydent odpowiedzialna jest grupa Fancy Bear. Według niepotwierdzonych informacji hakerzy mogli monitorować stronę Bellingcat i poznać efekty pracy związanych z nią dziennikarzy, zanim stały się publicznie dostępne. Należy również dodać, że prorosyjskie media "Sputnik" i "Russia Today" wielokrotnie sugerowały, że Bellingat jest częścią CIA.
Higgins uważa, że Rosjanie obawiali się wyników prac jego grupy dziennikarzy i dlatego próbowali go zdyskredytować. Był on jednak zaskoczony, że hakerzy przy ataku na DNC wykorzystali te same adresy IP, usług URL czy spreparowane, fałszywe wiadomości poczty elektronicznej. Jego zdaniem takie niedbalstwo było celowe. Chcieli oni zademonstrować światu, że nie obawiają się nikogo ani niczego, ponieważ wspiera ich Rosja.
Fancy Bear było jedną z najaktywniejszych grup hakerskich w 2016 roku. Odniosła ona wiele spektakularnych sukcesów, wspomagając realizację rosyjskiego interesu narodowego. W przyszłym roku wraz z wyborami we Francji i Niemczech, kontynuacją wojny na Ukrainie i w Syrii, zapotrzebowanie na usługi Fancy Bears prawdopodobnie nie zmniejszy się, a być może nawet wzrośnie. Nikogo nie powinno dziwić, jeżeli w wybory parlamentarne w Niemczech i prezydenckie we Francji zaangażuje się właśnie ta grupa hakerska.