APT29

APT29 ( تهدید مداوم پیشرفته ) یک گروه هکری است که منشا آن روسیه است. این گروه هکری همچنین تحت نام های مستعار Cozy Bear، Cozy Duke، the Dukes و Office Monkeys نیز فعالیت می کند. سایبرنگ منشأ خود را در بدافزار MiniDuke 2008 دنبال می‌کند و آنها به طور مداوم زرادخانه هک و همچنین استراتژی‌ها و زیرساخت‌های حمله خود را بهبود و به روز می‌کنند. APT29 اغلب به دنبال اهداف با ارزش بالا در سراسر جهان است. جدیدترین تلاش‌های APT29 بر سرقت داده‌های واکسن COVID-19 از موسسات پزشکی در سراسر جهان متمرکز شده است.

برخی از محققان امنیت سایبری به شدت به APT29 به داشتن روابط نزدیک با سرویس های اطلاعاتی روسیه و به ویژه سرویس امنیت فدرال روسیه (FSB) مشکوک هستند.

این هفته در بدافزار قسمت 19 قسمت 1: هکرهای روسی APT29 شرکت‌های تحقیقاتی واکسن کرونا/COVID-19 را هدف قرار می‌دهند

کیت ابزار و حملات قابل توجه

صرف نظر از هدف انتخاب شده، APT29 همیشه حملات دو مرحله‌ای را انجام می‌دهد که دارای یک تروجان درب پشتی و یک دراپ‌کننده بدافزار است. هدف اولی بازیابی اطلاعات شخصی و ارسال آن به یک سرور کنترل و فرمان از راه دور (C&C) است، در حالی که دومی بسته به سازمان مورد نظر آسیب واقعی را وارد می کند. بسته‌های ابزار در معرض به‌روزرسانی‌ها و ترفندهای منظم برای فرار از AV پیشرفته هستند.
APT29 یک گروه هکری نسبتاً محبوب است زیرا آنها اغلب به دلیل حملاتی که سازمان‌های برجسته در سراسر جهان را هدف قرار می‌دهند - سازمان‌های نظامی سازمان‌های دولتی، مأموریت‌های دیپلماتیک، مشاغل مخابراتی و نهادهای تجاری مختلف، تیتر خبرها می‌شوند. در اینجا برخی از قابل توجه ترین حملاتی که APT29 گفته می شود با آنها درگیر بوده است آورده شده است:

• کمپین‌های ایمیل اسپم در سال 2014 که هدف آن نصب بدافزار CozyDuke و Miniduke در مؤسسات تحقیقاتی و آژانس‌های دولتی در ایالات متحده بود.
• حمله فیشینگ نیزه ای Cozy Bear در سال 2015 که سیستم ایمیل پنتاگون را برای مدتی فلج کرد.
• حمله خرس دنج به کمیته ملی دموکرات قبل از انتخابات ریاست جمهوری 2016 در ایالات متحده، و همچنین مجموعه ای از حملات علیه سازمان های غیر دولتی مستقر در ایالات متحده و اتاق های فکر.
• حمله ماه ژانویه 2017 دولت نروژ که حزب کارگر، وزارت دفاع و وزارت امور خارجه این کشور را تحت تأثیر قرار داد.
• موج آلودگی Operation Ghost 2019 که خانواده‌های بدافزار Polyglot Duke، RegDuke و FatDuke را معرفی کرد.

دوازده سال بعد همچنان قوی است

APT29 همچنان در سال 2020 به دنبال اهداف پرمخاطب است. گزارش‌هایی وجود دارد که این گروه هکری چندین موسسات تحقیقاتی پزشکی واقع در ایالات متحده، کانادا و بریتانیا را دنبال کرده است. به نظر می رسد که APT29 به طور خاص مؤسسات پزشکی را هدف قرار می دهد که مستقیماً با تحقیقات COVID-19 مرتبط هستند، از جمله توسعه یک واکسن بالقوه و همچنین درمان های مؤثر. APT29 محدوده‌های IP را که متعلق به مؤسسات پزشکی مورد نظر است اسکن می‌کند و سپس بررسی می‌کند که آیا آسیب‌پذیری وجود دارد که می‌تواند از آن سوء استفاده کند. هنگامی که APT29 با موفقیت یک شبکه هدف را نقض می کند، گروه هکر بدافزار WellMess یا تهدید WellMail را مستقر می کند.

مؤسسات پزشکی مورد نظر اطلاعات زیادی در مورد این پرونده ارائه نکرده اند زیرا احتمالاً شامل داده های طبقه بندی شده است. با این حال، می توان فرض کرد که APT29 به دنبال اطلاعات و اسناد طبقه بندی شده در رابطه با تحقیقات COVID-19 است. ابزارهای هکی که APT29 از آنها استفاده می کند، می توانند داده ها را از میزبان در معرض خطر به دست آورند و همچنین تهدیدهای اضافی را بر روی سیستم آلوده ایجاد کنند.

مراقب کلاهبرداری های جدید مرتبط با APT29 باشید

بسیاری از مجرمان سایبری از COVID-19 برای تبلیغ کلاهبرداری های سطح پایین و تهدیدهای مختلف استفاده می کنند. با این حال، مورد APT29 بسیار جالب تر است. می توان حدس زد که این یک عملیات شناسایی روسیه است که ممکن است مورد حمایت کرملین باشد یا نباشد.

مؤسسات پزشکی باید بسیار مراقب حملات سایبری باشند زیرا در طول سال 2020 در معرض طوفان بوده اند. مهم است که همه نرم افزارهای خود را به روز نگه دارید، اطمینان حاصل کنید که از اعتبارنامه های ورود بسیار ایمن استفاده می کنید، همه وصله ها را اعمال کنید. سیستم عامل خود را، و فراموش نکنید که یک مجموعه نرم افزار ضد ویروس معتبر و مدرن تهیه کنید.