APT29

APT29 Beskrivelse

APT29 ( Advanced Persistent Threat ) er en hackegruppe, der stammer fra Rusland. Denne hackinggruppe optræder også under aliaserne Cozy Bear, Cozy Duke, Dukes og Office Monkeys. Cybergang sporer sin oprindelse til MiniDuke-malware fra 2008, og de har løbende forbedret og opdateret deres hackingarsenal samt angrebsstrategier og infrastruktur. APT29 følger ofte mål med høj værdi over hele verden. APT29s seneste indsats har fokuseret på at stjæle COVID-19-vaccinedata fra medicinske institutioner over hele kloden.

Nogle cybersikkerhedsforskere har stærkt mistanke om, at APT29 har tætte bånd med russiske efterretningstjenester og især den russiske føderale sikkerhedstjeneste (FSB).


Denne uge i malware, afsnit 19, del 1: Russiske APT29-hackere målretter mod Coronavirus / COVID-19-vaccineforskningsfirmaer

Værktøjssæt og bemærkelsesværdige angreb

Uanset det valgte mål udfører APT29 altid to-trins angreb med en bagdør Trojan og en malware-dropper. Førstnævnte sigter mod at hente personlige data og sende dem tilbage til en ekstern Command-and-Control-server (C&C), mens sidstnævnte gør den faktiske skade afhængigt af den målrettede organisation. Værktøjssættene er underlagt regelmæssige opdateringer og tweaks for forbedret AV-unddragelse.
APT29 er en temmelig populær hackegruppe, da de ofte skaber overskrifter på grund af deres angreb, der er rettet mod højt profilerede organisationer overalt i verden - regeringsagenturer militære organisationer, diplomatiske missioner, telekommunikationsvirksomheder og forskellige kommercielle enheder. Her er nogle af de mest bemærkelsesværdige angreb, som APT29 angiveligt har været involveret i:

  • Spam-e-mail-kampagnerne fra 2014, der havde til formål at plante CozyDuke og Miniduke malware i forskningsinstitutter og statslige agenturer i USA
  • 2015 Cozy Bear spear-phishing-angreb, der lammede Pentagons e-mail-system i et stykke tid.
  • Cozy Bear-angrebet mod den demokratiske nationale komité forud for præsidentvalget i 2016 i USA samt rækken af razziaer mod USA-baserede NGO'er og tænketanke.
  • Den norske regerings spearphishing-angreb i januar 2017, som ramte landets Labour Party, Forsvarsministeriet og Udenrigsministeriet.
  • Operation Ghost-infektionsbølgen fra 2019, der introducerede de nyligt udformede Polyglot Duke, RegDuke og FatDuke malware-familier.

Bliver stadig stærk tolv år senere

APT29 fortsætter med at følge højt profilerede mål i 2020. Der er rapporter om, at denne hackinggruppe er gået efter forskellige medicinske forskningsinstitutioner i USA, Canada og Det Forenede Kongerige. Det ser ud til, at APT29 specifikt er rettet mod medicinske institutioner, der er direkte knyttet til COVID-19-forskning, herunder udvikling af en potentiel vaccine såvel som effektive behandlinger. APT29 scanner IP-intervaller, som tilhører de pågældende medicinske institutioner, og kontrollerer derefter, om der er nogen sårbarheder, som den kan udnytte. Når APT29 med succes bryder et målrettet netværk, implementerer hackinggruppen WellMess-malware eller WellMail-truslen.

De målrettede medicinske institutioner har ikke givet meget information om sagen, fordi det sandsynligvis involverer klassificerede data. Det er dog sikkert at antage, at APT29 er på udkig efter klassificerede oplysninger og dokumenter med hensyn til COVID-19-forskningen. Hackingværktøjerne, som APT29 bruger, er i stand til at indhente data fra den kompromitterede vært samt udplante yderligere trusler på det inficerede system.

Pas på nye APT29-relaterede svindel

Mange cyberkriminelle bruger COVID-19 til at udbrede svindel på lavt niveau og forskellige trusler. Imidlertid er sagen om APT29 langt mere interessant. Man kan spekulere i, at det er en russisk rekognosceringsoperation, der måske eller ikke støttes af Kreml.

Medicinske institutioner skal være meget forsigtige med cyberangreb, da de har været i stormens øje i hele 2020. Det er vigtigt at holde al din software opdateret, sørg for at bruge meget sikre loginoplysninger, anvende alle rettelser på din firmware, og glem ikke at skaffe dig en velrenommeret, moderne antivirus-softwarepakke.