APT29

APT29 Apraksts

APT29 ( Advanced Persistent Threat ) ir hakeru grupa, kuras izcelsme ir Krievija. Šī hakeru grupa darbojas arī ar aizstājvārdiem Cozy Bear, Cozy Duke, The Dukes un Office Monkeys. Kibergangas pirmsākumi meklējami 2008. gada ļaunprogrammatūrā MiniDuke, un viņi nepārtraukti uzlabo un atjaunina savu hakeru arsenālu, kā arī uzbrukuma stratēģijas un infrastruktūru. APT29 bieži tiecas pēc augstvērtīgiem mērķiem visā pasaulē. APT29 jaunākie centieni ir vērsti uz COVID-19 vakcīnas datu zagšanu no medicīnas iestādēm visā pasaulē.

Dažiem kiberdrošības pētniekiem ir lielas aizdomas, ka APT29 ir cieši saistīti ar Krievijas izlūkdienestiem un jo īpaši ar Krievijas Federālo drošības dienestu (FSB).


Šonedēļ ļaunprātīgas programmatūras 19. sērijas 1. daļa: Krievijas APT29 hakeri ir vērsti pret koronavīrusa/COVID-19 vakcīnu izpētes firmām

Instrumentu komplekts un ievērojami uzbrukumi

Neatkarīgi no izvēlētā mērķa, APT29 vienmēr veic divpakāpju uzbrukumus, izmantojot aizmugures Trojas zirgu un ļaunprātīgas programmatūras pilinātāju. Pirmā mērķis ir izgūt personas datus un nosūtīt tos atpakaļ uz attālo Command-and-Control serveri (C&C), savukārt otrā nodara faktisko kaitējumu atkarībā no mērķa organizācijas. Rīku komplekti tiek regulāri atjaunināti un pielāgoti, lai uzlabotu AV izvairīšanos.
APT29 ir diezgan populāra hakeru grupa, jo tā bieži nonāk virsrakstos, pateicoties saviem uzbrukumiem, kas vērsti pret augsta līmeņa organizācijām visā pasaulē - valdības aģentūrām, militārajām organizācijām, diplomātiskajām pārstāvniecībām, telekomunikāciju uzņēmumiem un dažādām komerciālām struktūrām. Šeit ir daži no ievērojamākajiem uzbrukumiem, ar kuriem APT29, iespējams, ir bijis saistīts:

  • 2014. gada surogātpasta e-pasta kampaņas, kuru mērķis bija izplatīt CozyDuke un Miniduke ļaunprātīgu programmatūru pētniecības institūtos un valsts aģentūrās ASV
  • 2015. gada Cozy Bear šķēpu pikšķerēšanas uzbrukums, kas uz brīdi kropļoja Pentagona e-pasta sistēmu.
  • Cozy Bear uzbrukums Demokrātu nacionālajai komitejai pirms 2016. gada prezidenta vēlēšanām Amerikas Savienotajās Valstīs, kā arī vairāki reidi pret ASV bāzētām NVO un ideju laboratorijām.
  • 2017. gada janvāra Norvēģijas valdības slepenais uzbrukums, kas skāra valsts Darba partiju, Aizsardzības ministriju un Ārlietu ministriju.
  • 2019. gada Operation Ghost infekcijas vilnis, kas ieviesa jaunizveidotās Polyglot Duke, RegDuke un FatDuke ļaunprātīgas programmatūras saimes.

Joprojām stiprs divpadsmit gadus vēlāk

APT29 turpina sasniegt augsta līmeņa mērķus 2020. gadā. Ir ziņojumi, ka šī hakeru grupa ir ķērusies pie dažādām medicīniskās pētniecības iestādēm, kas atrodas Amerikas Savienotajās Valstīs, Kanādā un Apvienotajā Karalistē. Šķiet, ka APT29 ir īpaši vērsta uz medicīnas iestādēm, kas ir tieši saistītas ar Covid-19 izpēti, tostarp potenciālas vakcīnas izstrādi, kā arī efektīvu ārstēšanu. APT29 skenē IP diapazonus, kas pieder attiecīgajām medicīnas iestādēm, un pēc tam pārbauda, vai nav ievainojamības, ko tas var izmantot. Tiklīdz APT29 veiksmīgi uzlauž mērķa tīklu, uzlaušanas grupa izvieto WellMess ļaunprogrammatūru vai WellMail draudus.

Mērķa ārstniecības iestādes nav sniegušas daudz informācijas par lietu, jo tas, iespējams, ietver klasificētus datus. Tomēr var droši pieņemt, ka APT29 meklē klasificētu informāciju un dokumentus saistībā ar COVID-19 izpēti. Uzlaušanas rīki, ko izmanto APT29, spēj iegūt datus no apdraudētā resursdatora, kā arī radīt papildu apdraudējumus inficētajai sistēmai.

Sargieties no jaunām ar APT29 saistītām krāpniecībām

Daudzi kibernoziedznieki izmanto Covid-19, lai izplatītu zema līmeņa krāpniecību un dažādus draudus. Tomēr APT29 gadījums ir daudz interesantāks. Var izteikt minējumus, ka tā ir Krievijas izlūkošanas operācija, ko var atbalstīt vai neatbalstīt Kremlis.

Medicīnas iestādēm ir jābūt ļoti piesardzīgām pret kiberuzbrukumiem, jo tie ir bijuši vētras acīs visu 2020. gadu. Ir svarīgi, lai visa programmatūra būtu atjaunināta, pārliecinieties, ka izmantojat ļoti drošus pieteikšanās akreditācijas datus, uzklājiet visus ielāpus programmaparatūru un neaizmirstiet iegūt cienījamu, modernu pretvīrusu programmatūras komplektu.