APT29

APT29

Το APT29 ( Advanced Persistent Threat ) είναι μια ομάδα hacking που προέρχεται από τη Ρωσία. Αυτή η ομάδα hacking ενεργεί επίσης με τα ψευδώνυμα Cozy Bear, Cozy Duke, the Dukes και Office Monkeys. Το cybergang εντοπίζει τις ρίζες του στο κακόβουλο λογισμικό MiniDuke του 2008 και βελτιώνουν και ενημερώνουν συνεχώς το οπλοστάσιο hacking καθώς και τις στρατηγικές και την υποδομή επίθεσης. Το APT29 συχνά ακολουθεί στόχους υψηλής αξίας σε όλο τον κόσμο. Οι πιο πρόσφατες προσπάθειες του APT29 επικεντρώθηκαν στην κλοπή δεδομένων εμβολίων COVID-19 από ιατρικά ιδρύματα σε όλο τον κόσμο.

Ορισμένοι ερευνητές κυβερνοασφάλειας υποπτεύονται έντονα ότι το APT29 έχει στενούς δεσμούς με τις ρωσικές υπηρεσίες πληροφοριών και τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB), ειδικότερα.


Αυτή την εβδομάδα στο επεισόδιο 19 του κακόβουλου λογισμικού, Μέρος 1: Ρώσοι χάκερ APT29 στοχεύουν σε εταιρείες έρευνας εμβολίων για τον κορωνοϊό/COVID-19

Εργαλειοθήκη και αξιοσημείωτες επιθέσεις

Ανεξάρτητα από τον επιλεγμένο στόχο, το APT29 πραγματοποιεί πάντα επιθέσεις δύο σταδίων με έναν Trojan backdoor και ένα dropper κακόβουλου λογισμικού. Η πρώτη στοχεύει στην ανάκτηση προσωπικών δεδομένων και την αποστολή τους πίσω σε έναν απομακρυσμένο διακομιστή Command-and-Control (C&C), ενώ ο δεύτερος προκαλεί την πραγματική ζημιά, ανάλογα με τον οργανισμό-στόχο. Τα κιτ εργαλείων υπόκεινται σε τακτικές ενημερώσεις και τροποποιήσεις για βελτιωμένη αποφυγή AV.
Το APT29 είναι μια αρκετά δημοφιλής ομάδα hacking καθώς συχνά γίνεται πρωτοσέλιδο λόγω των επιθέσεων που στοχεύουν οργανισμούς υψηλού προφίλ σε όλο τον κόσμο – κυβερνητικές υπηρεσίες στρατιωτικούς οργανισμούς, διπλωματικές αποστολές, επιχειρήσεις τηλεπικοινωνιών και διάφορες εμπορικές οντότητες. Ακολουθούν μερικές από τις πιο αξιοσημείωτες επιθέσεις με τις οποίες φέρεται να έχει εμπλακεί το APT29:

  • Οι καμπάνιες ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου του 2014 που στόχευαν στην εγκατάσταση κακόβουλου λογισμικού CozyDuke και Miniduke σε ερευνητικά ιδρύματα και κρατικές υπηρεσίες στις ΗΠΑ
  • Η επίθεση Cozy Bear 2015 spear-phishing που κατέστρεψε το σύστημα email του Πενταγώνου για λίγο.
  • Η επίθεση Cozy Bear εναντίον της Εθνικής Επιτροπής των Δημοκρατικών πριν από τις Προεδρικές Εκλογές του 2016 στις Ηνωμένες Πολιτείες, καθώς και η σειρά επιδρομών εναντίον ΜΚΟ και δεξαμενών σκέψης που εδρεύουν στις ΗΠΑ.
  • Η επίθεση spearphishing της Νορβηγικής κυβέρνησης τον Ιανουάριο του 2017 που έπληξε το Εργατικό Κόμμα της χώρας, το Υπουργείο Άμυνας και το Υπουργείο Εξωτερικών.
  • Το κύμα μόλυνσης Operation Ghost 2019 που εισήγαγε τις πρόσφατα δημιουργημένες οικογένειες κακόβουλου λογισμικού Polyglot Duke, RegDuke και FatDuke.

Ακόμα δυναμικά Δώδεκα χρόνια αργότερα

Το APT29 συνεχίζει να κυνηγά στόχους υψηλού προφίλ το 2020. Υπάρχουν αναφορές ότι αυτή η ομάδα hacking έχει κυνηγήσει διάφορα ιατρικά ερευνητικά ιδρύματα που βρίσκονται στις Ηνωμένες Πολιτείες, τον Καναδά και το Ηνωμένο Βασίλειο. Φαίνεται ότι το APT29 στοχεύει συγκεκριμένα ιατρικά ιδρύματα, τα οποία συνδέονται άμεσα με την έρευνα για τον COVID-19, συμπεριλαμβανομένης της ανάπτυξης ενός πιθανού εμβολίου καθώς και αποτελεσματικών θεραπειών. Το APT29 σαρώνει σειρές IP, που ανήκουν στα εν λόγω ιατρικά ιδρύματα και στη συνέχεια ελέγχει εάν υπάρχουν ευπάθειες, τις οποίες μπορεί να εκμεταλλευτεί. Μόλις το APT29 παραβιάσει επιτυχώς ένα στοχευμένο δίκτυο, η ομάδα hacking αναπτύσσει το κακόβουλο λογισμικό WellMess ή την απειλή WellMail.

Τα στοχευόμενα ιατρικά ιδρύματα δεν έχουν παράσχει πολλές πληροφορίες σχετικά με την υπόθεση, επειδή πιθανότατα περιλαμβάνει διαβαθμισμένα δεδομένα. Ωστόσο, είναι ασφαλές να υποθέσουμε ότι το APT29 αναζητά απόρρητες πληροφορίες και έγγραφα σχετικά με την έρευνα για τον COVID-19. Τα εργαλεία hacking που χρησιμοποιεί το APT29 είναι ικανά να λαμβάνουν δεδομένα από τον παραβιασμένο κεντρικό υπολογιστή, καθώς και να φυτεύουν πρόσθετες απειλές στο μολυσμένο σύστημα.

Προσοχή στις νέες απάτες που σχετίζονται με το APT29

Πολλοί κυβερνοεγκληματίες χρησιμοποιούν τον COVID-19 για να διαδώσουν απάτες χαμηλού επιπέδου και διάφορες απειλές. Ωστόσο, η περίπτωση του APT29 είναι πολύ πιο ενδιαφέρουσα. Μπορεί κανείς να υποθέσει ότι πρόκειται για μια ρωσική αναγνωριστική επιχείρηση που μπορεί να υποστηρίζεται ή όχι από το Κρεμλίνο.

Τα ιατρικά ιδρύματα πρέπει να είναι πολύ επιφυλακτικά με τις επιθέσεις στον κυβερνοχώρο, καθώς ήταν στο μάτι της καταιγίδας καθ' όλη τη διάρκεια του 2020. Είναι σημαντικό να διατηρείτε όλο το λογισμικό σας ενημερωμένο, να βεβαιωθείτε ότι χρησιμοποιείτε πολύ ασφαλή διαπιστευτήρια σύνδεσης, να εφαρμόζετε όλες τις ενημερώσεις κώδικα σε Το υλικολογισμικό σας και μην ξεχάσετε να αποκτήσετε μια αξιόπιστη, σύγχρονη σουίτα λογισμικού προστασίας από ιούς.

Trending

Loading...