АПТ29

АПТ29 ( Адванцед Персистент Тхреат ) је хакерска група која потиче из Русије. Ова хакерска група такође делује под псеудонима Цоси Беар, Цоси Дуке, тхе Дукес и Оффице Монкеис. Сајберганг води своје порекло од злонамерног софтвера МиниДуке из 2008. године, а они континуирано побољшавају и ажурирају свој хакерски арсенал, као и стратегије напада и инфраструктуру. АПТ29 често иде на мете високе вредности широм света. Најновији напори АПТ29 усредсређени су на крађу података о вакцини против ЦОВИД-19 из медицинских институција широм света.

Неки истраживачи сајбер-безбедности снажно сумњају да АПТ29 има блиске везе са руским обавештајним службама и руском Федералном службом безбедности (ФСБ), посебно.

Ове недеље у 19. епизоди злонамерног софтвера, 1. део: Руски АПТ29 хакери циљају компаније за истраживање вакцине против коронавируса/ЦОВИД-19

Комплет алата и значајни напади

Без обзира на изабрану мету, АПТ29 увек спроводи двостепене нападе који укључују бацкдоор тројанца и избацивач малвера. Први има за циљ да преузме личне податке и пошаље их назад на удаљени сервер за команду и контролу (Ц&Ц), док други прави стварну штету, у зависности од циљане организације. Комплети алата подлежу редовним ажурирањима и подешавањима за побољшано избегавање АВ.
АПТ29 је прилично популарна хакерска група јер често доспевају на насловне стране због својих напада који циљају на организације високог профила широм света – владине агенције, војне организације, дипломатске мисије, телекомуникационе компаније и разне комерцијалне субјекте. Ево неких од најзначајнијих напада у које је АПТ29 наводно учествовао:

• Кампање нежељене е-поште из 2014. које су имале за циљ да се ЦозиДуке и Минидуке малвер уметну у истраживачке институте и државне агенције у САД
• Напад спеар-пхисхинг-а у Цози Беар-у из 2015. који је на неко време осакатио Пентагонов систем е-поште.
• Напад Цози Беар-а на Демократски национални комитет пре председничких избора 2016. у Сједињеним Државама, као и серија рација против невладиних организација са седиштем у САД и истраживачких центара.
• Напад норвешке владе у јануару 2017. који је погодио Лабуристичку партију, Министарство одбране и Министарство спољних послова.
• Талас инфекције Операцијом Гхост 2019. који је представио новонастале породице злонамерног софтвера Полиглот Дуке, РегДуке и ФатДуке.

И даље је јак дванаест година касније

АПТ29 наставља да трага за циљевима високог профила у 2020. Постоје извештаји да је ова хакерска група кренула на разне медицинске истраживачке институције које се налазе у Сједињеним Државама, Канади и Уједињеном Краљевству. Чини се да АПТ29 посебно циља на медицинске установе, које су директно повезане са истраживањем ЦОВИД-19, укључујући развој потенцијалне вакцине, као и ефикасних третмана. АПТ29 скенира ИП опсеге, који припадају медицинским установама у питању, а затим проверава да ли постоје рањивости које може да искористи. Када АПТ29 успешно пробије циљану мрежу, хакерска група примењује ВеллМесс малвер или претњу ВеллМаил.

Циљане медицинске установе нису дале много информација у вези са случајем јер се вероватно ради о поверљивим подацима. Међутим, са сигурношћу се може претпоставити да АПТ29 тражи поверљиве информације и документе у вези са истраживањем ЦОВИД-19. Алати за хаковање које АПТ29 користи су способни да добију податке од компромитованог хоста, као и да унесу додатне претње на заражени систем.

Чувајте се нових превара у вези са АПТ29

Многи сајбер криминалци користе ЦОВИД-19 за пропагирање превара ниског нивоа и разних претњи. Међутим, случај АПТ29 је далеко занимљивији. Може се спекулисати да је реч о руској извиђачкој операцији коју може, али не мора да подржава Кремљ.

Медицинске институције треба да буду веома опрезне према сајбер нападима јер су били у оку олује током 2020. Важно је да сав свој софтвер буде ажуриран, да се уверите да користите веома безбедне акредитиве за пријављивање, примените све закрпе на свој фирмвер и не заборавите да набавите реномирани, модеран антивирусни софтверски пакет.