APT29

APT29 Popis

APT29 ( Advanced Persistent Threat ) je hackerská skupina pocházející z Ruska. Tato hackerská skupina také vystupuje pod přezdívkami Cozy Bear, Cozy Duke, The Dukes a Office Monkeys. Cybergang odvozuje svůj původ od malwaru MiniDuke z roku 2008 a neustále zdokonaluje a aktualizuje svůj hackerský arzenál, stejně jako útočné strategie a infrastrukturu. APT29 často sleduje vysoce hodnotné cíle po celém světě. Nejnovější úsilí APT29 se zaměřilo na krádež dat o vakcínách COVID-19 ze zdravotnických zařízení po celém světě.

Někteří výzkumníci v oblasti kybernetické bezpečnosti silně podezřívají APT29 z úzkých vazeb s ruskými zpravodajskými službami a zejména s ruskou Federální bezpečnostní službou (FSB).


Tento týden v malwaru, epizoda 19, část 1: Ruští hackeři APT29 se zaměřují na firmy zabývající se výzkumem vakcín proti koronaviru/COVID-19

Sada nářadí a pozoruhodné útoky

Bez ohledu na zvolený cíl APT29 vždy provádí dvoufázové útoky s trojským koněm typu backdoor a dropperem malwaru. První z nich má za cíl získat osobní údaje a odeslat je zpět na vzdálený server Command-and-Control (C&C), zatímco druhý způsobí skutečnou škodu v závislosti na cílové organizaci. Sady nástrojů podléhají pravidelným aktualizacím a vylepšením pro lepší úniky AV.
APT29 je poměrně populární hackerská skupina, protože se často dostává do titulků kvůli svým útokům, které se zaměřují na vysoce známé organizace po celém světě – vládní agentury, vojenské organizace, diplomatické mise, telekomunikační podniky a různé komerční subjekty. Zde jsou některé z nejpozoruhodnějších útoků, kterých se APT29 údajně účastnil:

  • Spamové e-mailové kampaně z roku 2014, jejichž cílem bylo zasadit malware CozyDuke a Miniduke do výzkumných ústavů a státních agentur v USA
  • Spear-phishingový útok Cozy Bear z roku 2015, který na chvíli ochromil e-mailový systém Pentagonu.
  • Útok Cozy Bear proti Demokratickému národnímu výboru před prezidentskými volbami v roce 2016 ve Spojených státech, stejně jako série razií proti nevládním organizacím a think-tankům se sídlem v USA.
  • Spearphishingový útok norské vlády z ledna 2017, který zasáhl Labouristickou stranu, ministerstvo obrany a ministerstvo zahraničních věcí.
  • Vlna infekce Operation Ghost z roku 2019, která představila nově vytvořené rodiny malwaru Polyglot Duke, RegDuke a FatDuke.

O dvanáct let později stále silný

APT29 pokračuje v prosazování vysoce sledovaných cílů v roce 2020. Existují zprávy, že tato hackerská skupina šla po různých lékařských výzkumných institucích umístěných ve Spojených státech, Kanadě a Spojeném království. Zdá se, že APT29 se specificky zaměřuje na zdravotnická zařízení, která jsou přímo spojena s výzkumem COVID-19, včetně vývoje potenciální vakcíny a účinné léčby. APT29 skenuje rozsahy IP adres, které patří dotyčným lékařským institucím, a poté zkontroluje, zda neexistují nějaké zranitelnosti, které by mohl zneužít. Jakmile APT29 úspěšně prolomí cílenou síť, hackerská skupina nasadí malware WellMess nebo hrozbu WellMail.

Cílená zdravotnická zařízení neposkytla mnoho informací o případu, protože pravděpodobně zahrnuje utajovaná data. Dá se však s jistotou předpokládat, že APT29 hledá utajované informace a dokumenty týkající se výzkumu COVID-19. Hackerské nástroje, které APT29 využívá, jsou schopny získat data z kompromitovaného hostitele a také zasadit další hrozby do infikovaného systému.

Dejte si pozor na nové podvody související s APT29

Mnoho kyberzločinců využívá COVID-19 k šíření podvodů nízké úrovně a různých hrozeb. Daleko zajímavější je však případ APT29. Dá se spekulovat, že jde o ruskou průzkumnou operaci, kterou může, ale nemusí podporovat Kreml.

Zdravotnické instituce se musí mít velmi na pozoru před kybernetickými útoky, protože byly v oku bouře po celý rok 2020. Je důležité udržovat veškerý váš software aktuální, ujistěte se, že používáte velmi bezpečná přihlašovací pověření, aplikujte všechny záplaty na váš firmware a nezapomeňte si pořídit renomovaný, moderní antivirový software.