APT29

APT29

APT29 ( Advanced Persistent Threat ) je hackerská skupina pochádzajúca z Ruska. Táto hackerská skupina vystupuje aj pod prezývkami Cozy Bear, Cozy Duke, The Dukes a Office Monkeys. Cybergang sleduje svoj pôvod v malvéri MiniDuke z roku 2008 a neustále vylepšuje a aktualizuje svoj hackerský arzenál, ako aj stratégie a infraštruktúru útokov. APT29 často sleduje ciele s vysokou hodnotou po celom svete. Najnovšie úsilie APT29 sa zameralo na krádež údajov o očkovaní proti COVID-19 z lekárskych inštitúcií na celom svete.

Niektorí výskumníci v oblasti kybernetickej bezpečnosti silne podozrievajú APT29, že má úzke vzťahy s ruskými spravodajskými službami a najmä s Ruskou Federálnou bezpečnostnou službou (FSB).


Tento týždeň v Malvérovej epizóde 19, časť 1: Ruskí hackeri APT29 sa zameriavajú na firmy zaoberajúce sa výskumom vakcín proti koronavírusu/COVID-19

Sada nástrojov a pozoruhodné útoky

Bez ohľadu na zvolený cieľ APT29 vždy vykonáva dvojfázové útoky s trójskym koňom typu backdoor a dropperom malvéru. Cieľom prvého je získať osobné údaje a poslať ich späť na vzdialený server príkazov a riadenia (C&C), zatiaľ čo druhý spôsobí skutočnú škodu v závislosti od cieľovej organizácie. Súpravy nástrojov podliehajú pravidelným aktualizáciám a vylepšeniam pre lepšie obchádzanie AV.
APT29 je pomerne populárna hackerská skupina, pretože sa často dostáva do titulkov kvôli svojim útokom, ktoré sa zameriavajú na významné organizácie na celom svete – vládne agentúry, vojenské organizácie, diplomatické misie, telekomunikačné podniky a rôzne komerčné subjekty. Tu sú niektoré z najvýznamnejších útokov, s ktorými sa APT29 údajne podieľal:

  • Spamové e-mailové kampane z roku 2014, ktorých cieľom bolo nasadiť malvér CozyDuke a Miniduke do výskumných ústavov a štátnych agentúr v USA
  • Spear-phishingový útok Cozy Bear z roku 2015, ktorý na chvíľu ochromil e-mailový systém Pentagonu.
  • Útok Cozy Bear proti Demokratickému národnému výboru pred prezidentskými voľbami v roku 2016 v Spojených štátoch, ako aj séria razií proti mimovládnym organizáciám a think-tankom so sídlom v USA.
  • Spearphishingový útok nórskej vlády z januára 2017, ktorý zasiahol Labouristickú stranu, ministerstvo obrany a ministerstvo zahraničných vecí.
  • Vlna infekcie Operation Ghost v roku 2019, ktorá predstavila novo vytvorené rodiny malvéru Polyglot Duke, RegDuke a FatDuke.

O 12 rokov neskôr stále silný

APT29 pokračuje v presadzovaní vysoko postavených cieľov v roku 2020. Existujú správy, že táto hackerská skupina šla po rôznych lekárskych výskumných inštitúciách v Spojených štátoch, Kanade a Spojenom kráľovstve. Zdá sa, že APT29 sa špecificky zameriava na lekárske inštitúcie, ktoré sú priamo spojené s výskumom COVID-19, vrátane vývoja potenciálnej vakcíny, ako aj účinných liečebných postupov. APT29 skenuje rozsahy IP, ktoré patria príslušným zdravotníckym inštitúciám, a potom kontroluje, či neexistujú nejaké zraniteľnosti, ktoré môže zneužiť. Akonáhle APT29 úspešne prelomí cielenú sieť, hackerská skupina nasadí malvér WellMess alebo hrozbu WellMail.

Cieľové zdravotnícke zariadenia neposkytli veľa informácií o prípade, pretože pravdepodobne zahŕňa utajované údaje. Dá sa však s istotou predpokladať, že APT29 hľadá utajované informácie a dokumenty v súvislosti s výskumom COVID-19. Hackerské nástroje, ktoré APT29 využíva, sú schopné získať údaje od napadnutého hostiteľa, ako aj umiestniť ďalšie hrozby do infikovaného systému.

Dajte si pozor na nové podvody súvisiace s APT29

Mnoho kyberzločincov používa COVID-19 na šírenie nízkoúrovňových podvodov a rôznych hrozieb. Oveľa zaujímavejší je však prípad APT29. Dá sa špekulovať, že ide o ruskú prieskumnú operáciu, ktorú môže, ale nemusí podporovať Kremeľ.

Zdravotnícke inštitúcie si musia dávať veľký pozor na kybernetické útoky, keďže boli v oku búrky počas celého roku 2020. Je dôležité udržiavať všetok váš softvér aktuálny, uistite sa, že používate veľmi bezpečné prihlasovacie údaje, aplikujte všetky opravy na firmvéru a nezabudnite si zaobstarať renomovaný, moderný antivírusový softvér.

Loading...