APT29

APT29 תיאור

APT29 ( Advanced Persistent Threat ) היא קבוצת פריצה שמקורה ברוסיה. קבוצת הפריצה הזו פועלת גם תחת הכינויים Cozy Bear, Cozy Duke, the Dukes, ו-Office Monkeys. ה-cybergang מתחקה אחר מקורותיו לתוכנה הזדונית MiniDuke משנת 2008, והם משפרים ומעדכנים ללא הרף את ארסנל הפריצה שלהם, כמו גם אסטרטגיות ותשתית תקיפה. APT29 הולך לרוב אחרי יעדים בעלי ערך גבוה בכל רחבי העולם. המאמצים האחרונים של APT29 התמקדו בגניבת נתוני חיסוני COVID-19 ממוסדות רפואיים ברחבי העולם.

כמה חוקרי אבטחת סייבר חושדים מאוד ב-APT29 שיש להם קשרים הדוקים עם שירותי הביון הרוסיים ושירות הביטחון הפדרלי הרוסי (FSB), בפרט.


השבוע בתוכנות זדוניות פרק 19 חלק 1: האקרים רוסים APT29 מכוונים לחברות מחקר חיסונים לקורונה/COVID-19

ערכת כלים והתקפות בולטות

ללא קשר למטרה שנבחרה, APT29 תמיד מבצע התקפות דו-שלביות הכוללות סוס טרויאני בדלת אחורית ומפיל תוכנה זדונית. הראשון שואף לאחזר נתונים אישיים ולשלוח אותם בחזרה לשרת פיקוד ושליטה מרוחק (C&C), בעוד שהאחרון גורם לנזק בפועל, בהתאם לארגון היעד. ערכות הכלים כפופות לעדכונים ותיקונים שוטפים עבור התחמקות AV משופרת.
APT29 היא קבוצת פריצה פופולארית למדי, מכיוון שלעתים קרובות הן עולות לכותרות בשל התקפותיהן המכוונות לארגונים בעלי פרופיל גבוה ברחבי העולם - סוכנויות ממשלתיות ארגונים צבאיים, משלחות דיפלומטיות, עסקי תקשורת וגופים מסחריים שונים. להלן כמה מההתקפות הבולטות ביותר ש- APT29 היה מעורב בהן לכאורה:

  • מסעות פרסום הדואר הזבל לשנת 2014 שמטרתם לשתול תוכנות זדוניות CozyDuke ו-Miniduke במכוני מחקר וסוכנויות מדינה בארה"ב
  • מתקפת ה-Cozy Bear Spear-Pishing ב-2015 שהכתה את מערכת האימייל של הפנטגון לזמן מה.
  • מתקפת הדוב הנעים נגד הוועדה הלאומית הדמוקרטית לפני הבחירות לנשיאות בארצות הברית ב-2016, כמו גם סדרת הפשיטות נגד ארגונים לא ממשלתיים מבוססי ארה"ב וצוותי חשיבה.
  • מתקפת החנית של ממשלת נורבגיה בינואר 2017 שהשפיעה על מפלגת העבודה של המדינה, משרד ההגנה ומשרד החוץ.
  • גל ההידבקות של Operation Ghost של 2019 שהציג את משפחות התוכנות הזדוניות Polyglot Duke, RegDuke ו-FatDuke החדשות.

עדיין הולך חזק שתים עשרה שנים מאוחר יותר

APT29 ממשיכה ללכת אחרי יעדים בפרופיל גבוה בשנת 2020. ישנם דיווחים שקבוצת הפריצה הזו רדפה אחר מוסדות מחקר רפואיים שונים הממוקמים בארצות הברית, קנדה ובריטניה. נראה כי APT29 מכוונת ספציפית למוסדות רפואיים, הקשורים ישירות למחקר COVID-19, כולל פיתוח חיסון פוטנציאלי כמו גם טיפולים יעילים. APT29 סורקת טווחי IP, השייכים למוסדות הרפואיים המדוברים ולאחר מכן בודקת אם ישנן נקודות תורפה, אותן היא יכולה לנצל. ברגע ש-APT29 פורץ בהצלחה רשת ממוקדת, קבוצת הפריצה פורסת את התוכנה הזדונית WellMess או את האיום WellMail.

המוסדות הרפואיים הממוקדים לא סיפקו מידע רב בנוגע למקרה מכיוון שהוא כרוך ככל הנראה בנתונים מסווגים. עם זאת, ניתן להניח כי APT29 מחפש מידע ומסמכים מסווגים בנוגע למחקר COVID-19. כלי הפריצה שבהם משתמש APT29 מסוגלים להשיג נתונים מהמארח שנפגע, כמו גם לשתול איומים נוספים על המערכת הנגועה.

היזהר מהונאות חדשות הקשורות ל-APT29

פושעי סייבר רבים משתמשים ב-COVID-19 כדי להפיץ הונאות ברמה נמוכה ואיומים שונים. עם זאת, המקרה של APT29 מעניין הרבה יותר. אפשר לשער שמדובר במבצע סיור רוסי שאולי נתמך על ידי הקרמלין או לא.

מוסדות רפואיים צריכים להיזהר מאוד ממתקפות סייבר מכיוון שהם היו בעין הסערה לאורך 2020. חשוב לשמור על כל התוכנות שלך מעודכנות, לוודא שאתה משתמש באישורי התחברות מאובטחים מאוד, להחיל את כל התיקונים על הקושחה שלך, ואל תשכח להשיג חבילת תוכנות אנטי-וירוס מכובד ומודרני.