APT29
APT29 ( Advanced Persistent Threat ) je hackerská skupina pocházející z Ruska. Tato hackerská skupina také vystupuje pod přezdívkami Cozy Bear, Cozy Duke, The Dukes a Office Monkeys. Cybergang odvozuje svůj původ od malwaru MiniDuke z roku 2008 a neustále zdokonaluje a aktualizuje svůj hackerský arzenál, stejně jako útočné strategie a infrastrukturu. APT29 často sleduje vysoce hodnotné cíle po celém světě. Nejnovější úsilí APT29 se zaměřilo na krádež dat o vakcínách COVID-19 ze zdravotnických zařízení po celém světě.
Někteří výzkumníci v oblasti kybernetické bezpečnosti silně podezřívají APT29 z úzkých vazeb s ruskými zpravodajskými službami a zejména s ruskou Federální bezpečnostní službou (FSB).
Tento týden v malwaru, epizoda 19, část 1: Ruští hackeři APT29 se zaměřují na firmy zabývající se výzkumem vakcín proti koronaviru/COVID-19
Obsah
Sada nářadí a pozoruhodné útoky
Bez ohledu na zvolený cíl APT29 vždy provádí dvoufázové útoky s trojským koněm typu backdoor a dropperem malwaru. První z nich má za cíl získat osobní údaje a odeslat je zpět na vzdálený server Command-and-Control (C&C), zatímco druhý způsobí skutečnou škodu v závislosti na cílové organizaci. Sady nástrojů podléhají pravidelným aktualizacím a vylepšením pro lepší úniky AV.
APT29 je poměrně populární hackerská skupina, protože se často dostává do titulků kvůli svým útokům, které se zaměřují na vysoce známé organizace po celém světě – vládní agentury, vojenské organizace, diplomatické mise, telekomunikační podniky a různé komerční subjekty. Zde jsou některé z nejpozoruhodnějších útoků, kterých se APT29 údajně účastnil:
- Spamové e-mailové kampaně z roku 2014, jejichž cílem bylo zasadit malware CozyDuke a Miniduke do výzkumných ústavů a státních agentur v USA
- Spear-phishingový útok Cozy Bear z roku 2015, který na chvíli ochromil e-mailový systém Pentagonu.
- Útok Cozy Bear proti Demokratickému národnímu výboru před prezidentskými volbami v roce 2016 ve Spojených státech, stejně jako série razií proti nevládním organizacím a think-tankům se sídlem v USA.
- Spearphishingový útok norské vlády z ledna 2017, který zasáhl Labouristickou stranu, ministerstvo obrany a ministerstvo zahraničních věcí.
- Vlna infekce Operation Ghost z roku 2019, která představila nově vytvořené rodiny malwaru Polyglot Duke, RegDuke a FatDuke.
O dvanáct let později stále silný
APT29 pokračuje v prosazování vysoce sledovaných cílů v roce 2020. Existují zprávy, že tato hackerská skupina šla po různých lékařských výzkumných institucích umístěných ve Spojených státech, Kanadě a Spojeném království. Zdá se, že APT29 se specificky zaměřuje na zdravotnická zařízení, která jsou přímo spojena s výzkumem COVID-19, včetně vývoje potenciální vakcíny a účinné léčby. APT29 skenuje rozsahy IP adres, které patří dotyčným lékařským institucím, a poté zkontroluje, zda neexistují nějaké zranitelnosti, které by mohl zneužít. Jakmile APT29 úspěšně prolomí cílenou síť, hackerská skupina nasadí malware WellMess nebo hrozbu WellMail.
Cílená zdravotnická zařízení neposkytla mnoho informací o případu, protože pravděpodobně zahrnuje utajovaná data. Dá se však s jistotou předpokládat, že APT29 hledá utajované informace a dokumenty týkající se výzkumu COVID-19. Hackerské nástroje, které APT29 využívá, jsou schopny získat data z kompromitovaného hostitele a také zasadit další hrozby do infikovaného systému.
Dejte si pozor na nové podvody související s APT29
Mnoho kyberzločinců využívá COVID-19 k šíření podvodů nízké úrovně a různých hrozeb. Daleko zajímavější je však případ APT29. Dá se spekulovat, že jde o ruskou průzkumnou operaci, kterou může, ale nemusí podporovat Kreml.
Zdravotnické instituce se musí mít velmi na pozoru před kybernetickými útoky, protože byly v oku bouře po celý rok 2020. Je důležité udržovat veškerý váš software aktuální, ujistěte se, že používáte velmi bezpečná přihlašovací pověření, aplikujte všechny záplaty na váš firmware a nezapomeňte si pořídit renomovaný, moderní antivirový software.