APT29

APT29 ( التهديد المستمر المتقدم ) هي مجموعة قرصنة منشؤها روسيا. تعمل مجموعة القرصنة هذه أيضًا تحت الأسماء المستعارة Cozy Bear و Cozy Duke و Dukes و Office Monkeys. يتتبع cybergang أصوله إلى برنامج MiniDuke 2008 الخبيث ، وقد عملوا باستمرار على تحسين وتحديث ترسانة القرصنة الخاصة بهم بالإضافة إلى استراتيجيات الهجوم والبنية التحتية. غالبًا ما يلاحق APT29 أهدافًا عالية القيمة في جميع أنحاء العالم. ركزت أحدث جهود APT29 على سرقة بيانات لقاح COVID-19 من المؤسسات الطبية في جميع أنحاء العالم.

يشك بعض باحثي الأمن السيبراني بشدة في أن APT29 لها علاقات وثيقة مع أجهزة المخابرات الروسية وجهاز الأمن الفيدرالي الروسي (FSB) ، على وجه الخصوص.

هذا الأسبوع في البرامج الضارة الحلقة 19 الجزء 1: قراصنة روسيون APT29 يستهدفون شركات أبحاث لقاحات فيروس كورونا / COVID-19

مجموعة الأدوات والهجمات البارزة

بصرف النظر عن الهدف المختار ، ينفذ APT29 دائمًا هجمات على مرحلتين تتضمن حصان طروادة خلفي وقطارة برامج ضارة. يهدف الأول إلى استرداد البيانات الشخصية وإرسالها مرة أخرى إلى خادم الأوامر والتحكم عن بُعد (C&C) ، بينما يقوم الأخير بالضرر الفعلي ، اعتمادًا على المنظمة المستهدفة. تخضع مجموعات الأدوات لتحديثات وتعديلات منتظمة لتفادي AV محسن.
APT29 هي مجموعة قرصنة شائعة إلى حد ما لأنها غالبًا ما تتصدر عناوين الصحف بسبب هجماتها التي تستهدف المنظمات البارزة في جميع أنحاء العالم - الوكالات الحكومية والمنظمات العسكرية والبعثات الدبلوماسية وشركات الاتصالات السلكية واللاسلكية والكيانات التجارية المختلفة. فيما يلي بعض أبرز الهجمات التي يُزعم أن APT29 متورط فيها:

• حملات البريد الإلكتروني العشوائية لعام 2014 التي تهدف إلى زرع برامج ضارة من CozyDuke و Miniduke في معاهد البحوث ووكالات الدولة في الولايات المتحدة
• هجوم التصيد بالرمح Cozy Bear لعام 2015 الذي شل نظام البريد الإلكتروني للبنتاغون لفترة من الوقت.
• هجوم كوزي بير على اللجنة الوطنية الديمقراطية قبل الانتخابات الرئاسية لعام 2016 في الولايات المتحدة ، بالإضافة إلى سلسلة المداهمات ضد منظمات غير حكومية مقرها الولايات المتحدة ومراكز أبحاث.
• هجوم يناير / كانون الثاني 2017 الذي شنته الحكومة النرويجية على حزب العمل ووزارة الدفاع ووزارة الخارجية.
• موجة عدوى عملية شبح 2019 التي أدخلت عائلات البرمجيات الخبيثة Polyglot Duke و RegDuke و FatDuke المصممة حديثًا.

لا يزال يتقدم بقوة بعد اثني عشر عامًا

تواصل APT29 ملاحقة أهداف بارزة في عام 2020. وهناك تقارير تفيد بأن مجموعة القرصنة هذه قد طاردت العديد من مؤسسات البحث الطبي الموجودة في الولايات المتحدة وكندا والمملكة المتحدة. يبدو أن APT29 يستهدف على وجه التحديد المؤسسات الطبية التي ترتبط ارتباطًا مباشرًا بأبحاث COVID-19 ، بما في ذلك تطوير لقاح محتمل بالإضافة إلى علاجات فعالة. تفحص APT29 نطاقات IP ، التي تنتمي إلى المؤسسات الطبية المعنية ، ثم تتحقق مما إذا كانت هناك أي ثغرات يمكنها استغلالها. بمجرد أن تخترق APT29 شبكة مستهدفة بنجاح ، تنشر مجموعة القرصنة البرامج الضارة WellMess أو تهديد WellMail.

لم تقدم المؤسسات الطبية المستهدفة الكثير من المعلومات فيما يتعلق بالحالة لأنها تتضمن على الأرجح بيانات سرية. ومع ذلك ، من الآمن افتراض أن APT29 تبحث عن معلومات ووثائق سرية فيما يتعلق ببحوث COVID-19. أدوات القرصنة التي تستخدمها APT29 قادرة على الحصول على البيانات من المضيف المخترق ، بالإضافة إلى زرع تهديدات إضافية على النظام المصاب.

احذر من عمليات الاحتيال الجديدة ذات الصلة بـ APT29

يستخدم العديد من مجرمي الإنترنت COVID-19 لنشر عمليات الاحتيال منخفضة المستوى والتهديدات المختلفة. ومع ذلك ، فإن حالة APT29 أكثر إثارة للاهتمام. يمكن للمرء أن يتكهن بأنها عملية استطلاع روسية قد يدعمها الكرملين أو لا يدعمها.

يجب أن تكون المؤسسات الطبية حذرة للغاية من الهجمات الإلكترونية لأنها كانت في قلب العاصفة طوال عام 2020. من المهم أن تحافظ على تحديث جميع برامجك ، وتأكد من استخدام بيانات اعتماد تسجيل دخول آمنة للغاية ، وتطبيق جميع التصحيحات على البرامج الثابتة الخاصة بك ، ولا تنس الحصول على مجموعة برامج مكافحة فيروسات حديثة وذات سمعة طيبة.