APT29
APT29 ( Advanced Persistent Threat ) yra įsilaužimo grupė, kilusi iš Rusijos. Ši įsilaužimo grupė taip pat veikia su slapyvardžiais Cozy Bear, Cozy Duke, Dukes ir Office Monkeys. „Cybergang“ ištakos siekia 2008 m. „MiniDuke“ kenkėjišką programinę įrangą. Jie nuolat tobulino ir atnaujino savo įsilaužimo arsenalą, taip pat atakų strategijas ir infrastruktūrą. APT29 dažnai siekia didelės vertės taikinių visame pasaulyje. Naujausios APT29 pastangos buvo nukreiptos į COVID-19 vakcinos duomenų vagystę iš medicinos įstaigų visame pasaulyje.
Kai kurie kibernetinio saugumo tyrinėtojai tvirtai įtaria, kad APT29 palaiko glaudžius ryšius su Rusijos žvalgybos tarnybomis ir ypač su Rusijos federaline saugumo tarnyba (FSB).
Šią savaitę kenkėjiškų programų 19 serijos 1 dalis: Rusijos APT29 įsilaužėliai taikosi į koronaviruso / COVID-19 vakcinos tyrimų įmones
Turinys
Įrankių rinkinys ir žymūs išpuoliai
Nepriklausomai nuo pasirinkto tikslo, APT29 visada vykdo dviejų etapų atakas, kuriose yra Trojos arklys ir kenkėjiškų programų lašintuvas. Pirmuoju siekiama nuskaityti asmens duomenis ir išsiųsti juos atgal į nuotolinį komandų ir valdymo serverį (C&C), o antroji padaro tikrąją žalą, priklausomai nuo tikslinės organizacijos. Įrankių rinkiniai reguliariai atnaujinami ir patobulinami, kad būtų galima geriau išvengti AV.
APT29 yra gana populiari programišių grupė, nes jos dažnai patenka į antraštes dėl savo atakų, nukreiptų prieš aukšto lygio organizacijas visame pasaulyje – vyriausybines agentūras, karines organizacijas, diplomatines atstovybes, telekomunikacijų įmones ir įvairius komercinius subjektus. Štai keletas žymiausių išpuolių, su kuriais tariamai dalyvavo APT29:
- 2014 m. šlamšto el. pašto kampanijos, kuriomis buvo siekiama į JAV tyrimų institutus ir valstybines agentūras įtraukti CozyDuke ir Miniduke kenkėjiškas programas.
- 2015 m. „Cozy Bear“ sukčiavimo išpuolis, kuriam laikui sugadino Pentagono el. pašto sistemą.
- „Jaukus lokys“ ataka prieš Demokratų nacionalinį komitetą prieš 2016 m. JAV prezidento rinkimus, taip pat daugybė reidų prieš JAV įsikūrusias NVO ir ekspertų grupes.
- 2017 m. sausio mėn. Norvegijos vyriausybės slaptas išpuolis, palietęs šalies Darbo partiją, Gynybos ministeriją ir Užsienio reikalų ministeriją.
- 2019 m. Operation Ghost infekcijos banga, kuri pristatė naujai sukurtas Polyglot Duke, RegDuke ir FatDuke kenkėjiškų programų šeimas.
Vis dar stiprus ir po dvylikos metų
2020 m. APT29 ir toliau siekia aukšto lygio taikinių. Yra pranešimų, kad ši programišių grupė ėmėsi įvairių medicinos tyrimų institucijų, esančių JAV, Kanadoje ir Jungtinėje Karalystėje. Atrodo, kad APT29 yra specialiai skirtas medicinos įstaigoms, kurios yra tiesiogiai susijusios su COVID-19 tyrimais, įskaitant galimos vakcinos kūrimą ir veiksmingą gydymą. APT29 nuskaito IP diapazonus, priklausančius atitinkamoms medicinos įstaigoms, ir tada patikrina, ar nėra pažeidžiamumų, kuriuos gali išnaudoti. Kai APT29 sėkmingai pažeidžia tikslinį tinklą, įsilaužimo grupė diegia WellMess kenkėjišką programą arba WellMail grėsmę.
Tikslinės gydymo įstaigos daug informacijos apie atvejį nepateikė, nes greičiausiai tai susiję su įslaptintais duomenimis. Tačiau galima drąsiai manyti, kad APT29 ieško įslaptintos informacijos ir dokumentų, susijusių su COVID-19 tyrimu. Įsilaužimo įrankiai, kuriuos naudoja APT29, gali gauti duomenis iš pažeisto pagrindinio kompiuterio ir užkrėstai sistemai sukelti papildomų grėsmių.
Saugokitės naujų su APT29 susijusių sukčių
Daugelis kibernetinių nusikaltėlių naudoja COVID-19 žemo lygio sukčiavimui ir įvairioms grėsmėms platinti. Tačiau APT29 atvejis yra daug įdomesnis. Galima spėlioti, kad tai Rusijos žvalgybos operacija, kurią gali paremti Kremlius, o gal ir ne.
Medicinos įstaigos turi būti labai atsargios dėl kibernetinių atakų, nes 2020 m. jos buvo audros akyse. Svarbu, kad visa programinė įranga būtų atnaujinta, įsitikinkite, kad naudojate labai saugius prisijungimo duomenis, pritaikykite visas pataisas savo programinę-aparatinę įrangą ir nepamirškite įsigyti patikimos, modernios antivirusinės programinės įrangos rinkinio.
