APT29

APT29 ( Advanced Persistent Threat ) रुसबाट आएको ह्याकिङ समूह हो। यस ह्याकिङ समूहले कोजी बियर, कोजी ड्यूक, द ड्युक्स र अफिस मोन्कीज उपनामहरू अन्तर्गत पनि कार्य गर्दछ। साइबर्गाङ्गले यसको उत्पत्ति 2008 MiniDuke मालवेयरमा पत्ता लगाउँदछ, र तिनीहरूले लगातार आफ्नो ह्याकिंग शस्त्रागारका साथै आक्रमण रणनीति र पूर्वाधारमा सुधार र अद्यावधिक गर्दै आएका छन्। APT29 प्रायः विश्वभर उच्च-मूल्य लक्ष्यहरू पछि जान्छ। APT29 को हालैका प्रयासहरू विश्वभरका चिकित्सा संस्थाहरूबाट COVID-19-भ्याक्सिन डेटा चोरी गर्नमा केन्द्रित छन्।

केही साइबरसुरक्षा अनुसन्धानकर्ताहरूले APT29 लाई रूसी खुफिया सेवाहरू र रूसी संघीय सुरक्षा सेवा (FSB) सँग घनिष्ठ सम्बन्ध रहेकोमा कडा आशंका गर्छन्।

यो हप्ता मालवेयर एपिसोड 19 भाग 1 मा: रूसी APT29 ह्याकरहरूले कोरोनाभाइरस/COVID-19 भ्याक्सिन अनुसन्धान फर्महरूलाई लक्षित गर्छन्

उपकरण किट र उल्लेखनीय आक्रमणहरू

चयन गरिएको लक्ष्यलाई ध्यान नदिई, APT29 ले सधैं ब्याकडोर ट्रोजन र मालवेयर ड्रपर सहित दुई-चरण आक्रमणहरू सञ्चालन गर्दछ। पहिलेको लक्ष्य व्यक्तिगत डेटा पुन: प्राप्त गर्न र यसलाई रिमोट कमाण्ड-एन्ड-कन्ट्रोल सर्भर (C&C) मा फिर्ता पठाउने हो, जबकि पछिल्लोले लक्षित संगठनको आधारमा वास्तविक क्षति गर्छ। टूलकिटहरू नियमित अपडेटहरू र परिष्कृत AV चोरीका लागि ट्वीकहरूको अधीनमा छन्।
APT29 एक बरु लोकप्रिय ह्याकिङ समूह हो किनभने तिनीहरू प्रायः उनीहरूको आक्रमणका कारण हेडलाइन बनाउँछन् जसले विश्वव्यापी उच्च-प्रोफाइल संगठनहरू - सरकारी एजेन्सीहरू सैन्य संगठनहरू, कूटनीतिक नियोगहरू, दूरसञ्चार व्यवसायहरू, र विभिन्न व्यावसायिक संस्थाहरूलाई लक्षित गर्दछ। यहाँ केहि उल्लेखनीय आक्रमणहरू छन् जसमा APT29 कथित रूपमा संलग्न भएको छ:

• 2014 स्प्याम इमेल अभियानहरू जसको उद्देश्य CozyDuke र Miniduke मालवेयरलाई संयुक्त राज्य अमेरिकामा अनुसन्धान संस्थान र राज्य एजेन्सीहरूमा रोप्ने थियो।
• 2015 Cozy Bear भाला-फिसिङ आक्रमण जसले पेन्टागनको इमेल प्रणालीलाई केही समयको लागि अपाङ्ग बनायो।
• संयुक्त राज्य अमेरिकामा 2016 को राष्ट्रपति चुनाव अघि डेमोक्र्याटिक नेश्नल कमिटी विरुद्ध Cozy Bear आक्रमण, साथै अमेरिकामा आधारित गैरसरकारी संस्थाहरू एक थिंक ट्याङ्क विरुद्ध छापा मार्ने श्रृंखला।
• जनवरी 2017 नर्वेली सरकारको भाला फिसिङ आक्रमण जसले देशको लेबर पार्टी, रक्षा मन्त्रालय र विदेश मन्त्रालयलाई असर गर्यो।
• 2019 अपरेशन घोस्ट इन्फेक्सन वेभ जसले भर्खरै डिजाइन गरिएको पोलिग्लट ड्यूक, रेगड्यूक र फ्याटड्यूक मालवेयर परिवारहरू प्रस्तुत गर्‍यो।

अझै पनि बाह्र वर्ष पछि बलियो जाँदैछ

APT29 ले 2020 मा उच्च-प्रोफाइल लक्ष्यहरू पछ्याउन जारी राखेको छ। त्यहाँ रिपोर्टहरू छन् कि यो ह्याकिङ समूह संयुक्त राज्य अमेरिका, क्यानडा, र युनाइटेड किंगडममा स्थित विभिन्न चिकित्सा अनुसन्धान संस्थाहरू पछि गएको छ। यस्तो देखिन्छ कि APT29 ले विशेष गरी चिकित्सा संस्थाहरूलाई लक्षित गरिरहेको छ, जुन प्रत्यक्ष रूपमा COVID-19 अनुसन्धानसँग जोडिएको छ, जसमा सम्भावित खोपको विकास र प्रभावकारी उपचारहरू समावेश छन्। APT29 ले IP दायराहरू स्क्यान गर्दछ, जुन प्रश्नमा रहेको चिकित्सा संस्थाहरूसँग सम्बन्धित छ र त्यसपछि त्यहाँ कुनै कमजोरीहरू छन् कि छैनन् भनेर जाँच गर्दछ, जसलाई यसले शोषण गर्न सक्छ। एकपटक APT29 ले लक्षित नेटवर्कलाई सफलतापूर्वक उल्लङ्घन गरेपछि, ह्याकिङ समूहले WellMess मालवेयर वा WellMail खतरा तैनात गर्दछ।

लक्षित चिकित्सा संस्थाहरूले केसको बारेमा धेरै जानकारी प्रदान गरेका छैनन् किनभने यसमा वर्गीकृत डाटा समावेश छ। यद्यपि, यो मान्न सुरक्षित छ कि APT29 ले COVID-19 अनुसन्धानको सन्दर्भमा वर्गीकृत जानकारी र कागजातहरू खोजिरहेको छ। APT29 ले प्रयोग गर्ने ह्याकिङ उपकरणहरू सम्झौता गरिएको होस्टबाट डाटा प्राप्त गर्नका साथै संक्रमित प्रणालीमा थप खतराहरू रोप्न सक्षम छन्।

नयाँ APT29-सम्बन्धित घोटालाहरूबाट सावधान रहनुहोस्

धेरै साइबर अपराधीहरूले निम्न स्तरको घोटाला र विभिन्न धम्कीहरू प्रचार गर्न COVID-19 को प्रयोग गरिरहेका छन्। यद्यपि, APT29 को मामला धेरै रोचक छ। कसैले अनुमान गर्न सक्छ कि यो एक रूसी टोही अपरेशन हो जुन क्रेमलिन द्वारा समर्थित हुन सक्छ वा नहुन सक्छ।

मेडिकल संस्थाहरू साइबर आक्रमणहरूबाट धेरै सावधान हुन आवश्यक छ किनकि तिनीहरू २०२० भरि आँधीबेहरीको नजरमा रहेका छन्। तपाईंको सबै सफ्टवेयर अप-टु-डेट राख्नु महत्त्वपूर्ण छ, सुनिश्चित गर्नुहोस् कि तपाईंले धेरै सुरक्षित लगइन प्रमाणहरू प्रयोग गर्नुभयो, सबै प्याचहरू लागू गर्नुहोस्। तपाईको फर्मवेयर, र सम्मानित, आधुनिक एन्टिभाइरस सफ्टवेयर सुइट प्राप्त गर्न नबिर्सनुहोस्।