APT29

APT29 ( Kërcënimi i Përparuar i Përhershëm ) është një grup hakerimi me origjinë nga Rusia. Ky grup hakerimi vepron gjithashtu nën pseudonimet Cozy Bear, Cozy Duke, the Dukes dhe Office Monkeys. Cybergang e gjurmon origjinën e tij në malware MiniDuke të vitit 2008, dhe ata vazhdimisht kanë përmirësuar dhe përditësuar arsenalin e tyre të hakerimit, si dhe strategjitë dhe infrastrukturën e sulmit. APT29 shpesh shkon pas objektivave me vlerë të lartë në të gjithë botën. Përpjekjet më të fundit të APT29 janë përqendruar në vjedhjen e të dhënave të vaksinës COVID-19 nga institucionet mjekësore në të gjithë globin.

Disa studiues të sigurisë kibernetike dyshojnë fuqishëm se APT29 ka lidhje të ngushta me shërbimet e inteligjencës ruse dhe Shërbimin Federal të Sigurisë Ruse (FSB), në veçanti.

Këtë javë në Episodin 19 të Malware-it, Pjesa 1: Hakerët rusë APT29 synojnë firmat kërkimore të vaksinave për Coronavirus/COVID-19

Kompleti i mjeteve dhe sulmet e dukshme

Pavarësisht nga objektivi i zgjedhur, APT29 kryen gjithmonë sulme me dy faza që paraqesin një trojan të pasme dhe një pikatore malware. I pari synon të marrë të dhënat personale dhe t'i dërgojë ato në një server të largët Command-and-Control (C&C), ndërsa i dyti bën dëmin aktual, në varësi të organizatës së synuar. Paketat e veglave i nënshtrohen përditësimeve dhe rregullimeve të rregullta për evazionin e përmirësuar të AV.
APT29 është një grup hakerimi mjaft i popullarizuar pasi ata shpesh po bëhen tituj për shkak të sulmeve të tyre që synojnë organizata të profilit të lartë në mbarë botën - agjencitë qeveritare, organizatat ushtarake, misionet diplomatike, bizneset e telekomunikacionit dhe entitete të ndryshme tregtare. Këtu janë disa nga sulmet më të dukshme me të cilat supozohet se është përfshirë APT29:

• Fushatat e postës elektronike të padëshiruara të vitit 2014, të cilat synonin të vendosnin malware të CozyDuke dhe Miniduke në institutet kërkimore dhe agjencitë shtetërore në SHBA
• Sulmi Cozy Bear i 2015-s me shtizë-phishing që gjymtoi sistemin e postës elektronike të Pentagonit për një kohë.
• Sulmi Cozy Bear kundër Komitetit Kombëtar Demokratik përpara zgjedhjeve presidenciale të 2016-ës në Shtetet e Bashkuara, si dhe seria e bastisjeve kundër OJQ-ve me bazë në SHBA dhe grupeve të mendimit.
• Sulmi phishing i qeverisë norvegjeze në janar 2017, i cili preku Partinë e Punës të vendit, Ministrinë e Mbrojtjes dhe Ministrinë e Punëve të Jashtme.
• Vala e infeksionit të Operacionit Ghost 2019, e cila prezantoi familjet e krijuara rishtazi Polyglot Duke, RegDuke dhe FatDuke malware.

Ende do të jetë i fortë Dymbëdhjetë vjet më vonë

APT29 vazhdon të ndjekë objektivat e profilit të lartë në vitin 2020. Ka raportime që ky grup hakerimi ka shkuar pas institucioneve të ndryshme kërkimore mjekësore të vendosura në Shtetet e Bashkuara, Kanada dhe Mbretërinë e Bashkuar. Duket se APT29 po synon në mënyrë specifike institucionet mjekësore, të cilat janë të lidhura drejtpërdrejt me kërkimin për COVID-19, duke përfshirë zhvillimin e një vaksine të mundshme, si dhe trajtime efektive. APT29 skanon vargjet e IP-ve, të cilat i përkasin institucioneve mjekësore në fjalë dhe më pas kontrollon nëse ka ndonjë dobësi, të cilën mund t'i shfrytëzojë. Pasi APT29 shkel me sukses një rrjet të synuar, grupi i hakerëve vendos malware-in WellMess ose kërcënimin WellMail.

Institucionet mjekësore të synuara nuk kanë dhënë shumë informacion në lidhje me rastin, sepse ka të ngjarë të përfshijë të dhëna të klasifikuara. Sidoqoftë, është e sigurt të supozohet se APT29 po kërkon informacione dhe dokumente të klasifikuara në lidhje me kërkimin për COVID-19. Mjetet e hakerimit që përdor APT29 janë në gjendje të marrin të dhëna nga hosti i komprometuar, si dhe të vendosin kërcënime shtesë në sistemin e infektuar.

Kujdes nga mashtrimet e reja të lidhura me APT29

Shumë kriminelë kibernetikë po përdorin COVID-19 për të përhapur mashtrime të nivelit të ulët dhe kërcënime të ndryshme. Sidoqoftë, rasti i APT29 është shumë më interesant. Dikush mund të spekulojë se bëhet fjalë për një operacion zbulimi rus që mund të mbështetet ose jo nga Kremlini.

Institucionet mjekësore duhet të jenë shumë të kujdesshëm ndaj sulmeve kibernetike pasi ato kanë qenë në sy të stuhisë gjatë gjithë vitit 2020. Është e rëndësishme të mbani të përditësuar të gjithë softuerin tuaj, sigurohuni që të përdorni kredencialet shumë të sigurta të hyrjes, të aplikoni të gjitha arnimet në firmware-in tuaj dhe mos harroni të merrni një paketë softuerësh antivirusë me reputacion dhe modern.