APT29
APT29 ( Advanced Persistent Threat ) è un gruppo di hacker originario della Russia. Questo gruppo di hacker agisce anche sotto gli alias Cozy Bear, Cozy Duke, the Dukes e Office Monkeys. La cybergang fa risalire le sue origini al malware MiniDuke del 2008 e ha continuamente migliorato e aggiornato il proprio arsenale di hacking, nonché le strategie e l'infrastruttura di attacco. APT29 spesso insegue obiettivi di alto valore in tutto il mondo. Gli sforzi più recenti di APT29 si sono concentrati sul furto di dati sui vaccini COVID-19 dalle istituzioni mediche di tutto il mondo.
Alcuni ricercatori sulla sicurezza informatica sospettano fortemente che APT29 abbia stretti legami con i servizi di intelligence russi e il Servizio di sicurezza federale russo (FSB), in particolare.
This Week In Malware Episodio 19 Parte 1: Gli hacker russi APT29 prendono di mira le aziende di ricerca sui vaccini contro il coronavirus/COVID-19
Sommario
Kit di strumenti e attacchi notevoli
Indipendentemente dal target prescelto, APT29 conduce sempre attacchi in due fasi con un Trojan backdoor e un contagocce di malware. Il primo mira a recuperare i dati personali e inviarli a un server di comando e controllo remoto (C&C), mentre il secondo fa il danno effettivo, a seconda dell'organizzazione mirata. I toolkit sono soggetti ad aggiornamenti e modifiche regolari per un'evasione AV avanzata.
APT29 è un gruppo di hacker piuttosto popolare in quanto spesso fa notizia a causa dei suoi attacchi che prendono di mira organizzazioni di alto profilo in tutto il mondo: agenzie governative, organizzazioni militari, missioni diplomatiche, aziende di telecomunicazioni e varie entità commerciali. Ecco alcuni degli attacchi più importanti in cui APT29 sarebbe stato coinvolto:
- Le campagne e-mail di spam del 2014 che miravano a piantare malware CozyDuke e Miniduke negli istituti di ricerca e nelle agenzie statali negli Stati Uniti
- L'attacco di spear-phishing Cozy Bear del 2015 che ha paralizzato per un po' il sistema di posta elettronica del Pentagono.
- L'attacco di Cozy Bear contro il Comitato nazionale democratico prima delle elezioni presidenziali del 2016 negli Stati Uniti, così come la serie di raid contro le ONG con sede negli Stati Uniti e i think tank.
- L'attacco di spearphishing del governo norvegese del gennaio 2017 che ha colpito il partito laburista del paese, il ministero della Difesa e il ministero degli Affari esteri.
- L'ondata di infezioni da Operation Ghost del 2019 che ha introdotto le famiglie di malware Polyglot Duke, RegDuke e FatDuke di nuova creazione.
Ancora andando forte dodici anni dopo
APT29 continua a perseguire obiettivi di alto profilo nel 2020. Ci sono rapporti secondo cui questo gruppo di hacker ha perseguito vari istituti di ricerca medica situati negli Stati Uniti, in Canada e nel Regno Unito. Sembrerebbe che l'APT29 si rivolga specificamente alle istituzioni mediche, che sono direttamente collegate alla ricerca COVID-19, incluso lo sviluppo di un potenziale vaccino e trattamenti efficaci. APT29 scansiona gli intervalli IP, che appartengono alle istituzioni mediche in questione e quindi verifica se ci sono vulnerabilità, che può sfruttare. Una volta che APT29 viola con successo una rete mirata, il gruppo di hacker distribuisce il malware WellMess o la minaccia WellMail.
Le istituzioni mediche mirate non hanno fornito molte informazioni sul caso perché probabilmente coinvolge dati classificati. Tuttavia, è lecito ritenere che APT29 stia cercando informazioni e documenti classificati riguardo alla ricerca COVID-19. Gli strumenti di hacking utilizzati da APT29 sono in grado di ottenere dati dall'host compromesso, oltre a piantare ulteriori minacce sul sistema infetto.
Attenzione alle nuove truffe relative ad APT29
Molti criminali informatici stanno usando il COVID-19 per propagare truffe di basso livello e varie minacce. Tuttavia, il caso dell'APT29 è molto più interessante. Si può ipotizzare che si tratti di un'operazione di ricognizione russa che può essere o meno appoggiata dal Cremlino.
Le istituzioni mediche devono essere molto caute nei confronti degli attacchi informatici poiché sono state nell'occhio del ciclone per tutto il 2020. È importante mantenere tutti i software aggiornati, assicurarsi di utilizzare credenziali di accesso molto sicure, applicare tutte le patch a il tuo firmware e non dimenticare di procurarti una suite di software antivirus moderna e affidabile.
