APT29

APT29 ( Advanced Persistent Threat ) je hekerska skupina, ki izvira iz Rusije. Ta hekerska skupina deluje tudi pod vzdevki Cozy Bear, Cozy Duke, the Dukes in Office Monkeys. Cybergang izvira iz zlonamerne programske opreme MiniDuke iz leta 2008 in nenehno izboljšuje in posodablja svoj hekerski arzenal ter strategije in infrastrukturo napadov. APT29 pogosto zasleduje visoko vredne cilje po vsem svetu. Najnovejša prizadevanja APT29 so bila osredotočena na krajo podatkov o cepivu COVID-19 iz zdravstvenih ustanov po vsem svetu.

Nekateri raziskovalci kibernetske varnosti močno sumijo, da ima APT29 tesne vezi z ruskimi obveščevalnimi službami in zlasti rusko zvezno varnostno službo (FSB).

Ta teden v 19. epizodi zlonamerne programske opreme, 1. del: Ruski hekerji APT29 ciljajo na podjetja za raziskave cepiv proti koronavirusu/COVID-19

Komplet orodij in opazni napadi

Ne glede na izbrano tarčo, APT29 vedno izvaja dvostopenjske napade, ki vključujejo backdoor Trojan in odstranjevalec zlonamerne programske opreme. Prvi je namenjen pridobivanju osebnih podatkov in pošiljanju nazaj na oddaljeni strežnik za upravljanje in nadzor (C&C), drugi pa povzroči dejansko škodo, odvisno od ciljne organizacije. Zbirke orodij se redno posodabljajo in prilagajajo za izboljšano izogibanje AV.
APT29 je precej priljubljena hekerska skupina, saj se pogosto pojavljajo na naslovnicah zaradi svojih napadov, ki ciljajo na odmevne organizacije po vsem svetu – vladne agencije, vojaške organizacije, diplomatska predstavništva, telekomunikacijska podjetja in različne komercialne subjekte. Tukaj je nekaj najbolj opaznih napadov, v katere je domnevno sodeloval APT29:

• Kampanje z neželeno pošto iz leta 2014, katerih cilj je bil vsaditi zlonamerno programsko opremo CozyDuke in Miniduke v raziskovalne inštitute in državne agencije v ZDA
• Napad z lažnim lažnim predstavljanjem Cozy Bear iz leta 2015, ki je za nekaj časa ohromil Pentagonov e-poštni sistem.
• Napad Cozy Bear na Demokratični nacionalni odbor pred predsedniškimi volitvami leta 2016 v Združenih državah, pa tudi niz napadov na nevladne organizacije s sedežem v ZDA in možganske truste.
• Napad norveške vlade januarja 2017, ki je prizadel laburistično stranko, ministrstvo za obrambo in ministrstvo za zunanje zadeve.
• Okužbeni val Operation Ghost iz leta 2019, ki je predstavil na novo oblikovane družine zlonamerne programske opreme Polyglot Duke, RegDuke in FatDuke.

Še vedno močan dvanajst let pozneje

APT29 še naprej sledi odmevnim ciljem v letu 2020. Obstajajo poročila, da je ta hekerska skupina zasledovala različne medicinske raziskovalne ustanove v Združenih državah, Kanadi in Združenem kraljestvu. Zdi se, da APT29 cilja posebej na zdravstvene ustanove, ki so neposredno povezane z raziskavami COVID-19, vključno z razvojem potencialnega cepiva in učinkovitih zdravljenj. APT29 pregleda obsege IP-jev, ki pripadajo zadevnim zdravstvenim ustanovam, in nato preveri, ali obstajajo kakšne ranljivosti, ki jih lahko izkoristi. Ko APT29 uspešno vdre v ciljno omrežje, hekerska skupina namesti zlonamerno programsko opremo WellMess ali grožnjo WellMail.

Ciljne zdravstvene ustanove niso posredovale veliko informacij o primeru, ker gre verjetno za tajne podatke. Vendar je varno domnevati, da APT29 išče tajne podatke in dokumente v zvezi z raziskavo COVID-19. Orodja za vdiranje, ki jih uporablja APT29, so sposobna pridobiti podatke od ogroženega gostitelja in vnesti dodatne grožnje v okuženi sistem.

Pazite na nove prevare, povezane z APT29

Številni kibernetski kriminalci uporabljajo COVID-19 za širjenje prevar na nizki ravni in različnih groženj. Vendar je primer APT29 veliko bolj zanimiv. Lahko se ugiba, da gre za rusko izvidniško operacijo, ki jo Kremelj lahko podpira ali pa tudi ne.

Zdravstvene ustanove morajo biti zelo previdne glede kibernetskih napadov, saj so bili v središču nevihte skozi vse leto 2020. Pomembno je, da vso svojo programsko opremo posodabljate, poskrbite, da uporabljate zelo varne poverilnice za prijavo, uporabite vse popravke na svojo vdelano programsko opremo in ne pozabite pridobiti ugledne, sodobne protivirusne programske opreme.