APT29
APT29 ( Advanced Persistent Threat ) е хакерска група, която произхожда от Русия. Тази хакерска група също действа под псевдонимите Cosy Bear, Cosy Duke, the Dukes и Office Monkeys. Cybergang проследява произхода си от зловредния софтуер MiniDuke от 2008 г. и те непрекъснато подобряват и актуализират своя арсенал за хакерство, както и стратегии за атака и инфраструктура. APT29 често преследва цели с висока стойност по целия свят. Последните усилия на APT29 са фокусирани върху кражбата на данни за ваксините срещу COVID-19 от медицински институции по целия свят.
Някои изследователи на киберсигурността силно подозират, че APT29 има тесни връзки с руските разузнавателни служби и по-специално с Руската Федерална служба за сигурност (ФСБ).
Тази седмица в епизод 19 на злонамерен софтуер, част 1: Руските APT29 хакери са насочени към фирми за изследване на ваксини за коронавирус/COVID-19
Съдържание
Комплект инструменти и забележителни атаки
Независимо от избраната цел, APT29 винаги провежда двуетапни атаки, включващи бекдор троянски кон и дропър за злонамерен софтуер. Първият има за цел да извлече лични данни и да ги изпрати обратно до отдалечен сървър за командване и управление (C&C), докато вторият нанася действителните щети, в зависимост от целевата организация. Наборите от инструменти подлежат на редовни актуализации и настройки за подобрено избягване на AV.
APT29 е доста популярна хакерска група, тъй като те често правят заглавия поради своите атаки, насочени към организации с висок профил по целия свят - правителствени агенции, военни организации, дипломатически мисии, телекомуникационни фирми и различни търговски субекти. Ето някои от най-забележителните атаки, в които се твърди, че е участвал APT29:
- Кампаниите за спам имейл през 2014 г., които имаха за цел да засадят зловреден софтуер CozyDuke и Miniduke в изследователски институти и държавни агенции в САЩ
- Фишинг атаката на Cozy Bear от 2015 г., която осакати имейл системата на Пентагона за известно време.
- Атаката на Cozy Bear срещу Националния комитет на Демократическата партия преди президентските избори в Съединените щати през 2016 г., както и поредицата от нападения срещу базирани в САЩ неправителствени организации и мозъчни тръстове.
- Атаката на норвежкото правителство през януари 2017 г., която засегна Лейбъристката партия, Министерството на отбраната и Министерството на външните работи.
- Инфекцията на Operation Ghost от 2019 г., която представи новосъздадените семейства злонамерен софтуер Polyglot Duke, RegDuke и FatDuke.
Все още е силен дванадесет години по-късно
APT29 продължава да се стреми към високопрофилни цели през 2020 г. Има съобщения, че тази хакерска група е преследвала различни медицински изследователски институции, разположени в Съединените щати, Канада и Обединеното кралство. Изглежда, че APT29 е насочен специално към медицински институции, които са пряко свързани с изследванията на COVID-19, включително разработването на потенциална ваксина, както и ефективни лечения. APT29 сканира IP диапазони, които принадлежат на въпросните медицински институции, и след това проверява дали има уязвимости, които може да използва. След като APT29 успешно пробие целева мрежа, хакерската група разгръща зловредния софтуер WellMess или заплахата WellMail.
Целевите лечебни заведения не са предоставили много информация по случая, тъй като вероятно има класифицирани данни. Въпреки това е безопасно да се предположи, че APT29 търси класифицирана информация и документи по отношение на изследването на COVID-19. Инструментите за хакване, които APT29 използва, са в състояние да получат данни от компрометирания хост, както и да поставят допълнителни заплахи в заразената система.
Пазете се от нови измами, свързани с APT29
Много киберпрестъпници използват COVID-19, за да разпространяват измами на ниско ниво и различни заплахи. Случаят с APT29 обаче е далеч по-интересен. Може да се предположи, че това е руска разузнавателна операция, която може или не може да бъде подкрепена от Кремъл.
Медицинските институции трябва да бъдат много предпазливи по отношение на кибератаките, тъй като те са били в окото на бурята през 2020 г. Важно е да поддържате целия си софтуер актуален, уверете се, че използвате много сигурни идентификационни данни за вход, прилагайте всички корекции към вашия фърмуер и не забравяйте да получите реномиран, модерен антивирусен софтуерен пакет.
