APT29

APT29

APT29 ( Advanced Persistent Threat ) ialah kumpulan penggodaman yang berasal dari Rusia. Kumpulan penggodaman ini juga bertindak di bawah alias Cozy Bear, Cozy Duke, the Dukes dan Office Monkeys. Geng siber mengesan asal-usulnya kepada perisian hasad MiniDuke 2008, dan mereka terus menambah baik serta mengemas kini senjata penggodaman serta strategi dan infrastruktur serangan mereka. APT29 sering mengejar sasaran bernilai tinggi di seluruh dunia. Usaha terbaru APT29 telah memfokuskan pada mencuri data vaksin COVID-19 daripada institusi perubatan di seluruh dunia.

Sesetengah penyelidik keselamatan siber sangat mengesyaki APT29 mempunyai hubungan rapat dengan perkhidmatan perisikan Rusia dan Perkhidmatan Keselamatan Persekutuan Rusia (FSB), khususnya.


Minggu Ini Dalam Malware Episod 19 Bahagian 1: Penggodam APT29 Rusia Sasar Firma Penyelidikan Vaksin Coronavirus/COVID-19

Kit Alat dan Serangan Terkenal

Tanpa mengira sasaran yang dipilih, APT29 sentiasa menjalankan serangan dua peringkat yang menampilkan Trojan pintu belakang dan penitis perisian hasad. Yang pertama bertujuan untuk mendapatkan semula data peribadi dan menghantarnya kembali ke pelayan Perintah-dan-Kawalan jauh (C&C), manakala yang kedua melakukan kerosakan sebenar, bergantung pada organisasi yang disasarkan. Kit alat tertakluk kepada kemas kini dan tweak tetap untuk pengelakan AV yang dipertingkatkan.
APT29 ialah kumpulan penggodaman yang agak popular kerana mereka sering menjadi tajuk utama kerana serangan mereka yang menyasarkan organisasi berprofil tinggi di seluruh dunia - organisasi ketenteraan agensi kerajaan, misi diplomatik, perniagaan telekomunikasi dan pelbagai entiti komersial. Berikut adalah beberapa serangan paling ketara yang didakwa terlibat dengan APT29:

  • Kempen e-mel spam 2014 yang bertujuan untuk menanam perisian hasad CozyDuke dan Miniduke ke dalam institut penyelidikan dan agensi negeri di AS
  • Serangan pancingan lembing Cozy Bear 2015 yang melumpuhkan sistem e-mel Pentagon untuk seketika.
  • Serangan Cozy Bear terhadap Jawatankuasa Kebangsaan Demokratik sebelum Pilihan Raya Presiden 2016 di Amerika Syarikat, serta siri serbuan terhadap NGO dan badan pemikir yang berpangkalan di AS.
  • Serangan spearphishing Kerajaan Norway pada Januari 2017 yang menjejaskan Parti Buruh negara itu, Kementerian Pertahanan dan Kementerian Luar Negeri.
  • Gelombang jangkitan Operation Ghost 2019 yang memperkenalkan keluarga perisian hasad Polyglot Duke, RegDuke dan FatDuke yang baru dibuat.

Masih Kukuh Dua Belas Tahun Kemudian

APT29 terus mengejar sasaran berprofil tinggi pada 2020. Terdapat laporan bahawa kumpulan penggodam ini telah mengejar pelbagai institusi penyelidikan perubatan yang terletak di Amerika Syarikat, Kanada dan United Kingdom. Nampaknya APT29 menyasarkan secara khusus institusi perubatan, yang dikaitkan secara langsung dengan penyelidikan COVID-19, termasuk pembangunan vaksin yang berpotensi serta rawatan yang berkesan. APT29 mengimbas julat IP, yang dimiliki oleh institusi perubatan berkenaan dan kemudian menyemak sama ada terdapat sebarang kelemahan, yang boleh dieksploitasi. Sebaik sahaja APT29 berjaya melanggar rangkaian yang disasarkan, kumpulan penggodaman itu menggunakan perisian hasad WellMess atau ancaman WellMail.

Institusi perubatan yang disasarkan tidak memberikan banyak maklumat mengenai kes itu kerana ia mungkin melibatkan data sulit. Walau bagaimanapun, adalah selamat untuk mengandaikan bahawa APT29 sedang mencari maklumat dan dokumen sulit berkaitan dengan penyelidikan COVID-19. Alat penggodaman yang APT29 gunakan mampu mendapatkan data daripada hos yang terjejas, serta menanam ancaman tambahan pada sistem yang dijangkiti.

Berhati-hati dengan Penipuan Baharu Berkaitan APT29

Ramai penjenayah siber menggunakan COVID-19 untuk menyebarkan penipuan peringkat rendah dan pelbagai ancaman. Walau bagaimanapun, kes APT29 jauh lebih menarik. Orang boleh membuat spekulasi bahawa ia adalah operasi peninjauan Rusia yang mungkin disokong atau tidak oleh Kremlin.

Institusi perubatan perlu sangat berhati-hati terhadap serangan siber kerana mereka telah menghadapi ribut sepanjang tahun 2020. Adalah penting untuk memastikan semua perisian anda dikemas kini, pastikan anda menggunakan bukti kelayakan log masuk yang sangat selamat, gunakan semua tampung untuk perisian tegar anda, dan jangan lupa untuk mendapatkan suite perisian anti-virus moden yang bereputasi baik.

Loading...