APT29
APT29 ( Advanced Persistent Threat ) este un grup de hacking care provine din Rusia. Acest grup de hacking acționează și sub pseudonimele Cozy Bear, Cozy Duke, the Dukes și Office Monkeys. Cybergang-ul își are originile în malware-ul MiniDuke din 2008, iar aceștia și-au îmbunătățit și actualizat continuu arsenalul de hacking, precum și strategiile și infrastructura de atac. APT29 urmărește adesea ținte de mare valoare în întreaga lume. Cele mai recente eforturi ale APT29 s-au concentrat pe furtul datelor despre vaccinul COVID-19 de la instituțiile medicale din întreaga lume.
Unii cercetători în domeniul securității cibernetice suspectează cu tărie APT29 că are legături strânse cu serviciile de informații ruse și cu Serviciul Federal de Securitate al Rusiei (FSB), în special.
Săptămâna aceasta în programul malware, episodul 19, partea 1: hackeri ruși APT29 vizează firmele de cercetare a vaccinurilor împotriva coronavirusului/COVID-19
Cuprins
Trusă de instrumente și atacuri notabile
Indiferent de ținta aleasă, APT29 efectuează întotdeauna atacuri în două etape, cu un troian backdoor și un dropper de malware. Primul își propune să recupereze datele personale și să le trimită înapoi la un server de comandă și control (C&C) de la distanță, în timp ce cel din urmă face daunele reale, în funcție de organizația vizată. Seturile de instrumente fac obiectul actualizărilor și ajustărilor regulate pentru o evaziune AV îmbunătățită.
APT29 este un grup de hacking destul de popular, deoarece fac adesea titluri din cauza atacurilor lor care vizează organizații de profil înalt din întreaga lume - agenții guvernamentale, organizații militare, misiuni diplomatice, companii de telecomunicații și diverse entități comerciale. Iată câteva dintre cele mai notabile atacuri în care ar fi fost implicat APT29:
- Campaniile de e-mail de spam din 2014 care au avut ca scop plantarea de programe malware CozyDuke și Miniduke în institutele de cercetare și agențiile de stat din SUA
- Atacul de tip spear-phishing Cozy Bear din 2015 care a paralizat pentru o vreme sistemul de e-mail al Pentagonului.
- Atacul Cozy Bear împotriva Comitetului Național Democrat înainte de alegerile prezidențiale din 2016 din Statele Unite, precum și seria de raiduri împotriva ONG-urilor și grupurilor de reflecție din SUA.
- Atacul de tip spearphishing al guvernului norvegian din ianuarie 2017, care a afectat Partidul Laburist al țării, Ministerul Apărării și Ministerul Afacerilor Externe.
- Valul de infecție Operation Ghost din 2019 care a introdus noile familii de malware Polyglot Duke, RegDuke și FatDuke.
Încă merge puternic Doisprezece ani mai târziu
APT29 continuă să urmărească ținte de mare profil în 2020. Există rapoarte că acest grup de hacking a urmărit diverse instituții de cercetare medicală situate în Statele Unite, Canada și Regatul Unit. Se pare că APT29 vizează în mod specific instituțiile medicale, care sunt direct legate de cercetarea COVID-19, inclusiv dezvoltarea unui potențial vaccin, precum și a unor tratamente eficiente. APT29 scanează intervale de IP, care aparțin instituțiilor medicale în cauză și apoi verifică dacă există vulnerabilități, pe care le poate exploata. Odată ce APT29 încalcă cu succes o rețea vizată, grupul de hacking implementează malware-ul WellMess sau amenințarea WellMail.
Instituțiile medicale vizate nu au furnizat prea multe informații cu privire la caz, deoarece probabil implică date clasificate. Cu toate acestea, este sigur să presupunem că APT29 caută informații și documente clasificate în ceea ce privește cercetarea COVID-19. Instrumentele de hacking pe care le utilizează APT29 sunt capabile să obțină date de la gazda compromisă, precum și să planteze amenințări suplimentare asupra sistemului infectat.
Atenție la noile escrocherii legate de APT29
Mulți criminali cibernetici folosesc COVID-19 pentru a propaga înșelătorii de nivel scăzut și diverse amenințări. Cu toate acestea, cazul APT29 este mult mai interesant. Se poate specula că este o operațiune de recunoaștere rusă care poate fi sau nu susținută de Kremlin.
Instituțiile medicale trebuie să fie foarte precaute la atacurile cibernetice, deoarece acestea au fost în ochiul furtunii de-a lungul anului 2020. Este important să vă mențineți tot software-ul actualizat, asigurați-vă că utilizați acreditări de conectare foarte sigure, aplicați toate corecțiile la firmware-ul dvs. și nu uitați să obțineți o suită de software antivirus modernă și de renume.
