APT29
APT29 ( Advanced Persistent Threat ) je hakerska grupa koja potječe iz Rusije. Ova hakerska grupa također djeluje pod pseudonima Cozy Bear, Cosy Duke, the Dukes i Office Monkeys. Cybergang vuče svoje podrijetlo do zlonamjernog softvera MiniDuke iz 2008. godine, a oni kontinuirano poboljšavaju i ažuriraju svoj hakerski arsenal, kao i strategije napada i infrastrukturu. APT29 često napada visokovrijedne mete diljem svijeta. Najnoviji napori APT29 usredotočeni su na krađu podataka o cjepivu protiv COVID-19 iz medicinskih ustanova diljem svijeta.
Neki istraživači kibernetičke sigurnosti snažno sumnjaju da APT29 ima bliske veze s ruskim obavještajnim službama i Ruskom Federalnom sigurnosnom službom (FSB), posebno.
Ovaj tjedan u 19. epizodi zlonamjernog softvera, 1. dio: Ruski APT29 hakeri ciljaju tvrtke za istraživanje cjepiva protiv koronavirusa/COVID-19
Sadržaj
Komplet alata i značajni napadi
Bez obzira na odabranu metu, APT29 uvijek provodi napade u dva stupnja koji uključuju backdoor trojanca i izbacivač zlonamjernog softvera. Prvi ima za cilj dohvatiti osobne podatke i poslati ih natrag na udaljeni Command-and-Control poslužitelj (C&C), dok drugi čini stvarnu štetu, ovisno o ciljanoj organizaciji. Skupovi alata podliježu redovitim ažuriranjima i ugađanjima za poboljšano izbjegavanje AV-a.
APT29 je prilično popularna hakerska grupa jer često dolaze na naslovnice zbog svojih napada koji ciljaju na organizacije visokog profila širom svijeta – vladine agencije, vojne organizacije, diplomatske misije, telekomunikacijske tvrtke i razne komercijalne subjekte. Evo nekih od najznačajnijih napada u koje je APT29 navodno bio uključen:
- Kampanje neželjene e-pošte iz 2014. koje su imale za cilj ubaciti zlonamjerni softver CozyDuke i Miniduke u istraživačke institute i državne agencije u SAD-u
- Cozy Bear napad krađe identitetom iz 2015. koji je na neko vrijeme osakatio Pentagonov sustav e-pošte.
- Napad Cozy Beara na Demokratski nacionalni odbor prije predsjedničkih izbora 2016. u Sjedinjenim Državama, kao i niz napada na nevladine organizacije sa sjedištem u SAD-u i think tankove.
- Napad norveške vlade u siječnju 2017. koji je pogodio Laburističku stranku, Ministarstvo obrane i Ministarstvo vanjskih poslova.
- Val zaraze Operation Ghost 2019. koji je uveo novonastale obitelji zlonamjernog softvera Polyglot Duke, RegDuke i FatDuke.
I dalje je jak dvanaest godina kasnije
APT29 nastavlja slijediti visoke ciljeve u 2020. Postoje izvješća da je ova hakerska skupina krenula na razne medicinske istraživačke institucije smještene u Sjedinjenim Državama, Kanadi i Ujedinjenom Kraljevstvu. Čini se da APT29 posebno cilja na medicinske ustanove, koje su izravno povezane s istraživanjem COVID-19, uključujući razvoj potencijalnog cjepiva kao i učinkovite tretmane. APT29 skenira IP raspone koji pripadaju dotičnim medicinskim ustanovama i zatim provjerava postoje li ranjivosti koje može iskoristiti. Nakon što APT29 uspješno probije ciljanu mrežu, hakerska grupa implementira zlonamjerni softver WellMess ili prijetnju WellMail.
Ciljane medicinske ustanove nisu dale puno informacija o slučaju jer se vjerojatno radi o tajnim podacima. Međutim, sigurno je pretpostaviti da APT29 traži povjerljive podatke i dokumente u vezi s istraživanjem COVID-19. Alati za hakiranje koje APT29 koristi sposobni su za dobivanje podataka od ugroženog hosta, kao i postavljanje dodatnih prijetnji na zaraženi sustav.
Čuvajte se novih prijevara povezanih s APT29
Mnogi cyber kriminalci koriste COVID-19 za propagiranje prijevara niske razine i raznih prijetnji. Međutim, slučaj APT29 je daleko zanimljiviji. Može se nagađati da je riječ o ruskoj izviđačkoj operaciji koju može, ali i ne mora, podržavati Kremlj.
Medicinske ustanove moraju biti vrlo oprezne s cyber napadima jer su bili u oku oluje tijekom 2020. Važno je održavati sav svoj softver ažurnim, pazite da koristite vrlo sigurne vjerodajnice za prijavu, primijeniti sve zakrpe na svoj firmware i ne zaboravite nabaviti renomiran, moderan antivirusni softverski paket.
