APT29

APT29 ( Advanced Persistent Threat ) to grupa hakerska wywodząca się z Rosji. Ta grupa hakerska działa również pod pseudonimami Cozy Bear, Cozy Duke, the Dukes i Office Monkeys. Cybergang wywodzi swoje korzenie ze złośliwego oprogramowania MiniDuke z 2008 roku i stale ulepsza i aktualizuje swój arsenał hakerski, a także strategie i infrastrukturę ataków. APT29 często podąża za celami o wysokiej wartości na całym świecie. Ostatnie wysiłki APT29 koncentrowały się na kradzieży danych dotyczących szczepionek przeciw COVID-19 z placówek medycznych na całym świecie.

Niektórzy badacze cyberbezpieczeństwa zdecydowanie podejrzewają, że APT29 ma bliskie powiązania z rosyjskimi służbami wywiadowczymi, w szczególności z rosyjską Federalną Służbą Bezpieczeństwa (FSB).

W tym tygodniu w odcinku 19 dotyczącym złośliwego oprogramowania, część 1: rosyjscy hakerzy APT29 atakują firmy zajmujące się badaniem szczepionek na koronawirusa/COVID-19

Zestaw narzędzi i godne uwagi ataki

Niezależnie od wybranego celu, APT29 zawsze przeprowadza dwuetapowe ataki z wykorzystaniem trojana typu backdoor i droppera złośliwego oprogramowania. Pierwszy z nich ma na celu odzyskanie danych osobowych i przesłanie ich z powrotem do zdalnego serwera Dowodzenia i Kontroli (C&C), podczas gdy drugi wyrządza rzeczywiste szkody, w zależności od docelowej organizacji. Zestawy narzędzi podlegają regularnym aktualizacjom i poprawkom w celu lepszego unikania AV.
APT29 jest dość popularną grupą hakerską, ponieważ często trafiają na pierwsze strony gazet z powodu ataków wymierzonych w znane organizacje na całym świecie – agencje rządowe, organizacje wojskowe, misje dyplomatyczne, firmy telekomunikacyjne i różne podmioty komercyjne. Oto niektóre z najważniejszych ataków, w które rzekomo uczestniczył APT29:

• Kampanie spamowe e-mail z 2014 r., których celem było umieszczenie złośliwego oprogramowania CozyDuke i Miniduke w instytutach badawczych i agencjach państwowych w USA
• Atak typu spear-phishing Cozy Bear z 2015 r., który na jakiś czas sparaliżował system poczty elektronicznej Pentagonu.
• Atak Cozy Bear na Komitet Narodowy Demokratów przed wyborami prezydenckimi w Stanach Zjednoczonych w 2016 roku, a także seria nalotów na organizacje pozarządowe z siedzibą w USA i think tanki.
• Atak norweskiego rządu w styczniu 2017 r., który dotknął Partię Pracy, Ministerstwo Obrony i Ministerstwo Spraw Zagranicznych tego kraju.
• Fala infekcji Operation Ghost z 2019 r., która wprowadziła nowo stworzone rodziny złośliwego oprogramowania Polyglot Duke, RegDuke i FatDuke.

Dwanaście lat później wciąż silna

APT29 nadal podąża za głośnymi celami w 2020 roku. Istnieją doniesienia, że ta grupa hakerska ścigała różne medyczne instytucje badawcze zlokalizowane w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii. Wygląda na to, że APT29 jest skierowany konkretnie do instytucji medycznych, które są bezpośrednio powiązane z badaniami nad COVID-19, w tym z opracowaniem potencjalnej szczepionki, a także skutecznych metod leczenia. APT29 skanuje zakresy adresów IP, które należą do danych instytucji medycznych, a następnie sprawdza, czy nie ma luk, które może wykorzystać. Gdy APT29 z powodzeniem włamie się do docelowej sieci, grupa hakerska wdraża złośliwe oprogramowanie WellMess lub zagrożenie WellMail.

Docelowe instytucje medyczne nie dostarczyły zbyt wielu informacji na temat sprawy, ponieważ prawdopodobnie dotyczy ona tajnych danych. Można jednak bezpiecznie założyć, że APT29 poszukuje tajnych informacji i dokumentów związanych z badaniami COVID-19. Narzędzia hakerskie, z których korzysta APT29, są w stanie uzyskać dane z zaatakowanego hosta, a także umieszczać dodatkowe zagrożenia w zainfekowanym systemie.

Uważaj na nowe oszustwa związane z APT29

Wielu cyberprzestępców wykorzystuje COVID-19 do rozprzestrzeniania oszustw niskiego poziomu i różnych zagrożeń. Jednak sprawa APT29 jest znacznie ciekawsza. Można spekulować, że jest to rosyjska operacja rozpoznawcza, która może, ale nie musi być wspierana przez Kreml.

Instytucje medyczne muszą być bardzo ostrożne wobec cyberataków, ponieważ przez cały 2020 r. były w oku burzy. Ważne jest, aby całe oprogramowanie było aktualne, używaj bardzo bezpiecznych danych logowania, stosuj wszystkie poprawki do swoje oprogramowanie i nie zapomnij uzyskać renomowanego, nowoczesnego pakietu oprogramowania antywirusowego.