APT29

APT29

Az APT29 ( Advanced Persistent Threat ) egy Oroszországból származó hackercsoport. Ez a hackercsoport Cozy Bear, Cozy Duke, the Dukes és Office Monkeys álneveken is működik. A cybergang eredete a 2008-as MiniDuke rosszindulatú programra vezethető vissza, és folyamatosan fejlesztik és frissítik hacker-arzenáljukat, valamint támadási stratégiáikat és infrastruktúrájukat. Az APT29 gyakran nagy értékű célokat követ a világ minden tájáról. Az APT29 legutóbbi erőfeszítései arra irányultak, hogy ellopják a COVID-19 vakcina adatait egészségügyi intézményektől szerte a világon.

Egyes kiberbiztonsági kutatók erősen gyanítják, hogy az APT29 szoros kapcsolatban áll az orosz hírszerző szolgálatokkal és különösen az Orosz Szövetségi Biztonsági Szolgálattal (FSB).


Ezen a héten a rosszindulatú programok 19. epizódjában, 1. rész: Az orosz APT29 hackerek a koronavírus/COVID-19 vakcinakutató cégeket célozzák

Szerszámkészlet és figyelemre méltó támadások

A kiválasztott célponttól függetlenül az APT29 mindig kétlépcsős támadásokat hajt végre, amelyekben egy hátsó ajtós trójai és egy rosszindulatú programledobó található. Előbbi célja a személyes adatok lekérése és visszaküldése egy távoli Command-and-Control szerverre (C&C), míg az utóbbi a tényleges kárt okozza, a megcélzott szervezettől függően. Az eszközkészleteket rendszeresen frissítik és módosítják a fokozott AV-kijátszás érdekében.
Az APT29 meglehetősen népszerű hackercsoport, mivel gyakran kerülnek a címlapokra a világszerte nagy horderejű szervezeteket célzó támadásaik miatt – kormányzati szervek katonai szervezetek, diplomáciai képviseletek, távközlési vállalkozások és különféle kereskedelmi szervezetek. Íme néhány a legfigyelemreméltóbb támadások közül, amelyekben az APT29 állítólag részt vett:

  • A 2014-es spam e-mail kampányok, amelyek célja a CozyDuke és Miniduke rosszindulatú szoftverek beültetése volt az Egyesült Államok kutatóintézeteibe és állami ügynökségeibe.
  • A 2015-ös Cozy Bear lándzsás adathalász támadás, amely egy időre megbénította a Pentagon levelezőrendszerét.
  • A Cozy Bear támadás a Demokrata Nemzeti Bizottság ellen a 2016-os amerikai elnökválasztás előtt, valamint az egyesült államokbeli székhelyű nem kormányzati szervezetek és agytrösztök elleni razziák sorozata.
  • A 2017. januári norvég kormány szélhámos támadása, amely az ország Munkáspártját, a Honvédelmi Minisztériumot és a Külügyminisztériumot érintette.
  • A 2019-es Operation Ghost fertőzési hullám, amely bemutatta az újonnan kialakított Polyglot Duke, RegDuke és FatDuke rosszindulatú programcsaládokat.

Még mindig erős tizenkét év múlva

Az APT29 továbbra is nagy horderejű célokat követ 2020-ban. A jelentések szerint ez a hackercsoport az Egyesült Államokban, Kanadában és az Egyesült Királyságban található különböző orvosi kutatóintézetek után ment. Úgy tűnik, hogy az APT29 kifejezetten olyan egészségügyi intézményeket céloz meg, amelyek közvetlenül kapcsolódnak a COVID-19-kutatáshoz, ideértve egy lehetséges vakcina és hatékony kezelések kifejlesztését. Az APT29 átvizsgálja az érintett egészségügyi intézményekhez tartozó IP-tartományokat, majd ellenőrzi, hogy vannak-e olyan sebezhetőségek, amelyeket kihasználhat. Miután az APT29 sikeresen áttört egy célzott hálózatot, a hackercsoport beveti a WellMess rosszindulatú programot vagy a WellMail fenyegetést.

A megcélzott egészségügyi intézmények nem sok információt adtak az üggyel kapcsolatban, mert valószínűleg minősített adatokról van szó. Azonban nyugodtan feltételezhető, hogy az APT29 minősített információkat és dokumentumokat keres a COVID-19 kutatással kapcsolatban. Az APT29 által használt hackereszközök képesek adatokat szerezni a feltört gazdagéptől, valamint további fenyegetéseket telepíteni a fertőzött rendszerre.

Óvakodjon az új APT29-hez kapcsolódó csalásoktól

Sok kiberbűnöző használja a COVID-19-et alacsony szintű csalások és különféle fenyegetések terjesztésére. Az APT29 esete azonban sokkal érdekesebb. Feltételezhető, hogy egy orosz felderítő műveletről van szó, amelyet a Kreml támogat, vagy nem.

Az egészségügyi intézményeknek nagyon óvatosnak kell lenniük a kibertámadásokkal szemben, mivel 2020-ban a vihar szemében voltak. Fontos, hogy minden szoftverét naprakészen tartsa, ügyeljen arra, hogy nagyon biztonságos bejelentkezési adatokat használjon, és alkalmazzon minden javítást firmware-jét, és ne felejtsen el beszerezni egy jó hírű, modern vírusirtó szoftvercsomagot.

Trending

Loading...