APT29

APT29 Kirjeldus

APT29 ( Advanced Persistent Threat ) on Venemaalt pärit häkkimisrühmitus. See häkkimisrühmitus tegutseb ka varjunimede Cozy Bear, Cozy Duke, The Dukes ja Office Monkeys all. Kübergangi päritolu jälgib 2008. aasta MiniDuke'i pahavara ning nad on pidevalt täiustanud ja ajakohastanud oma häkkimisarsenali ning ründestrateegiaid ja infrastruktuuri. APT29 otsib sageli kõrge väärtusega sihtmärke üle kogu maailma. APT29 viimased jõupingutused on keskendunud COVID-19 vaktsiiniandmete varastamisele meditsiiniasutustest üle kogu maailma.

Mõned küberjulgeolekuteadlased kahtlustavad tugevalt, et APT29 omab tihedaid sidemeid Venemaa luureteenistuste ja eelkõige Venemaa Föderaalse Julgeolekuteenistusega (FSB).


Selle nädala pahavara 19. jao 1. osa: Venemaa APT29 häkkerid sihivad koroonaviiruse/COVID-19 vaktsiiniuuringute ettevõtteid

Tööriistakomplekt ja märkimisväärsed rünnakud

Olenemata valitud sihtmärgist viib APT29 alati läbi kaheastmelisi ründeid, mis sisaldavad tagaukse troojalast ja pahavara droppert. Esimese eesmärk on hankida isikuandmed ja saata need tagasi kaugjuhtimis- ja juhtimisserverisse (C&C), samas kui teise eesmärk on olenevalt sihtorganisatsioonist tegelik kahju. Tööriistakomplekte uuendatakse regulaarselt ja täiustatakse AV-st kõrvalehoidumise parandamiseks.
APT29 on üsna populaarne häkkimisrühmitus, kuna nad jõuavad sageli pealkirjadesse oma rünnakute tõttu, mis on suunatud kõrgetasemelistele organisatsioonidele kogu maailmas – valitsusasutused, sõjalised organisatsioonid, diplomaatilised esindused, telekommunikatsiooniettevõtted ja erinevad äriüksused. Siin on mõned kõige tähelepanuväärsemad rünnakud, millega APT29 on väidetavalt seotud:

  • 2014. aasta rämpspostikampaaniad, mille eesmärk oli levitada CozyDuke'i ja Miniduke'i pahavara USA uurimisinstituutidesse ja riigiasutustesse
  • 2015. aasta Cosy Beari oda-andmepüügirünnak, mis halvaks mõneks ajaks Pentagoni meilisüsteemi.
  • Cozy Bear rünnak Demokraatliku Rahvuskomitee vastu enne 2016. aasta presidendivalimisi Ameerika Ühendriikides, samuti rida haaranguid USA-s asuvate valitsusväliste organisatsioonide ja mõttekodade vastu.
  • 2017. aasta jaanuaris toimunud Norra valitsuse rünnak, mis mõjutas riigi Tööpartei, kaitseministeeriumi ja välisministeeriumi.
  • 2019. aasta Operation Ghost nakkuslaine, mis tutvustas äsja loodud pahavaraperekondi Polyglot Duke, RegDuke ja FatDuke.

Kaksteist aastat hiljem endiselt tugev

APT29 jätkab 2020. aastal kõrgetasemeliste sihtmärkide poole püüdlemist. On teateid, et see häkkimisrühm on jalule ajanud mitmetele Ameerika Ühendriikides, Kanadas ja Ühendkuningriigis asuvatele meditsiiniuuringute institutsioonidele. Näib, et APT29 on suunatud konkreetselt meditsiiniasutustele, mis on otseselt seotud COVID-19 uuringutega, sealhulgas potentsiaalse vaktsiini ja tõhusa ravi väljatöötamisega. APT29 skannib IP-vahemikke, mis kuuluvad kõnealustele meditsiiniasutustele, ja seejärel kontrollib, kas seal on turvaauke, mida see võib ära kasutada. Kui APT29 on edukalt sihitud võrku rikkunud, juurutab häkkimisrühm WellMessi pahavara või WellMaili ohu.

Sihtraviasutused ei ole juhtumi kohta palju teavet andnud, kuna tõenäoliselt on tegemist salastatud andmetega. Siiski võib kindlalt eeldada, et APT29 otsib COVID-19 uuringuga seoses salastatud teavet ja dokumente. Häkkimistööriistad, mida APT29 kasutavad, on võimelised hankima andmeid ohustatud hostilt ja tekitama nakatunud süsteemile täiendavaid ohte.

Hoiduge uute APT29-ga seotud pettuste eest

Paljud küberkurjategijad kasutavad COVID-19 madala tasemega pettuste ja erinevate ohtude levitamiseks. APT29 juhtum on aga palju huvitavam. Võib oletada, et tegemist on Venemaa luureoperatsiooniga, mida võib, aga ei pruugi toetada Kreml.

Meditsiiniasutused peavad olema küberrünnakute suhtes väga ettevaatlikud, kuna need on olnud tormi silma all kogu 2020. aasta. Oluline on hoida kogu oma tarkvara ajakohasena, veenduda, et kasutate väga turvalisi sisselogimismandaate, rakendada kõik paigad oma püsivara ja ärge unustage hankida hea mainega kaasaegset viirusetõrjetarkvara.