APT29

APT29

APT29 ( Amenaça persistent avançada ) és un grup de pirates informàtics originari de Rússia. Aquest grup de pirateria també actua sota els àlies Cozy Bear, Cozy Duke, the Dukes i Office Monkeys. El cybergang té els seus orígens en el programari maliciós MiniDuke de 2008, i han millorat i actualitzat contínuament el seu arsenal de pirateria, així com les estratègies i la infraestructura d'atac. APT29 sovint persegueix objectius d'alt valor a tot el món. Els esforços més recents d'APT29 s'han centrat a robar dades de la vacuna contra la COVID-19 d'institucions mèdiques de tot el món.

Alguns investigadors de ciberseguretat sospiten fermament que l'APT29 té vincles estrets amb els serveis d'intel·ligència russos i el Servei Federal de Seguretat (FSB) de Rússia, en particular.


Aquesta setmana a l'episodi 19 de programari maliciós, part 1: els pirates informàtics russos APT29 es dirigeixen a empreses d'investigació de vacunes contra el coronavirus/COVID-19

Kit d'eines i atacs notables

Independentment de l'objectiu escollit, APT29 sempre realitza atacs en dues etapes que inclouen un troià de porta posterior i un compte de programari maliciós. El primer té com a objectiu recuperar dades personals i enviar-les de nou a un servidor de comandament i control (C&C) remot, mentre que el segon fa el dany real, depenent de l'organització objectiu. Els conjunts d'eines estan subjectes a actualitzacions i retocs periòdics per millorar l'evasió AV.
APT29 és un grup de pirates informàtics força popular, ja que sovint són titulars a causa dels seus atacs que tenen com a objectiu organitzacions d'alt perfil a tot el món: agències governamentals, organitzacions militars, missions diplomàtiques, empreses de telecomunicacions i diverses entitats comercials. Aquests són alguns dels atacs més notables en els quals suposadament ha estat involucrat APT29:

  • Les campanyes de correu brossa del 2014 que tenien com a objectiu plantar programari maliciós CozyDuke i Miniduke en instituts de recerca i agències estatals dels EUA
  • L'atac de pesca amb llança de Cozy Bear del 2015 que va paralitzar el sistema de correu electrònic del Pentàgon durant un temps.
  • L'atac de Cozy Bear contra el Comitè Nacional Demòcrata abans de les eleccions presidencials de 2016 als Estats Units, així com la sèrie d'atacs contra ONG i grups de reflexió amb seu als Estats Units.
  • L'atac de pesca amb lanza del govern noruec del gener de 2017 que va afectar el Partit Laborista del país, el Ministeri de Defensa i el Ministeri d'Afers Exteriors.
  • L'onada d'infeccions de l'Operació Fantasma del 2019 que va introduir les famílies de programari maliciós Polyglot Duke, RegDuke i FatDuke recentment creades.

Encara va fort Dotze anys després

APT29 continua perseguint objectius d'alt perfil el 2020. Hi ha informes que aquest grup de pirateria informàtica ha perseguit diverses institucions d'investigació mèdica ubicades als Estats Units, el Canadà i el Regne Unit. Sembla que l'APT29 s'adreça específicament a les institucions mèdiques, que estan directament relacionades amb la investigació sobre COVID-19, inclòs el desenvolupament d'una vacuna potencial i tractaments efectius. L'APT29 analitza els intervals d'IP, que pertanyen a les institucions mèdiques en qüestió, i després comprova si hi ha vulnerabilitats que pugui explotar. Un cop APT29 infringeix amb èxit una xarxa dirigida, el grup de pirateria desplega el programari maliciós WellMess o l'amenaça WellMail.

Les institucions mèdiques objectiu no han proporcionat molta informació sobre el cas perquè probablement implica dades classificades. Tanmateix, es pot suposar que l'APT29 està buscant informació i documents classificats pel que fa a la investigació sobre la COVID-19. Les eines de pirateria que utilitza APT29 són capaços d'obtenir dades de l'amfitrió compromès, així com de plantar amenaces addicionals al sistema infectat.

Aneu amb compte amb les noves estafes relacionades amb APT29

Molts ciberdelinqüents estan utilitzant la COVID-19 per propagar estafes de baix nivell i diverses amenaces. Tanmateix, el cas de l'APT29 és molt més interessant. Es pot especular que es tracta d'una operació de reconeixement russa que pot estar o no recolzada pel Kremlin.

Les institucions mèdiques han de desconfiar dels ciberatacs, ja que han estat a l'ull de la tempesta al llarg del 2020. És important mantenir tot el vostre programari actualitzat, assegureu-vos que feu servir credencials d'inici de sessió molt segures, apliqueu tots els pegats a el vostre microprogramari i no us oblideu d'obtenir una suite de programari antivirus modern i de bona reputació.

Loading...