APT29
APT29 ( Advanced Persistent Threat ) Rusya kökenli bir bilgisayar korsanlığı grubudur. Bu bilgisayar korsanlığı grubu ayrıca Cozy Bear, Cozy Duke, Dukes ve Office Monkeys takma adları altında da hareket eder. Siber çete, kökenlerini 2008 MiniDuke kötü amaçlı yazılımına kadar takip ediyor ve saldırı stratejileri ve altyapılarının yanı sıra bilgisayar korsanlığı cephanelerini sürekli olarak iyileştiriyor ve güncelliyorlar. APT29 genellikle tüm dünyada yüksek değerli hedeflerin peşinden gider. APT29'un en son çabaları, dünya genelindeki tıbbi kurumlardan COVID-19 aşı verilerini çalmaya odaklandı.
Bazı siber güvenlik araştırmacıları, APT29'un özellikle Rus istihbarat servisleri ve Rusya Federal Güvenlik Servisi (FSB) ile yakın bağları olduğundan şiddetle şüpheleniyor.
Kötü Amaçlı Yazılım 19. Bölümde Bu Hafta Bölüm 1: Rus APT29 Hackerları Coronavirus/COVID-19 Aşı Araştırma Firmalarını Hedefliyor
İçindekiler
Araç Kiti ve Önemli Saldırılar
Seçilen hedeften bağımsız olarak, APT29 her zaman bir arka kapı Truva atı ve bir kötü amaçlı yazılım damlası içeren iki aşamalı saldırılar gerçekleştirir. İlki, kişisel verileri alıp uzak bir Komuta ve Kontrol sunucusuna (C&C) geri göndermeyi amaçlarken, ikincisi hedeflenen organizasyona bağlı olarak asıl zararı verir. Araç takımları, gelişmiş AV kaçırma için düzenli güncellemelere ve ince ayarlara tabidir.
APT29, dünya çapında yüksek profilli kuruluşları (devlet kurumları, askeri kuruluşlar, diplomatik misyonlar, telekomünikasyon işletmeleri ve çeşitli ticari kuruluşlar) hedef alan saldırıları nedeniyle sıklıkla manşetlere çıktıkları için oldukça popüler bir hack grubudur. APT29'un dahil olduğu iddia edilen en dikkate değer saldırılardan bazıları şunlardır:
- CozyDuke ve Miniduke kötü amaçlı yazılımlarını ABD'deki araştırma enstitülerine ve devlet kurumlarına yerleştirmeyi amaçlayan 2014 spam e-posta kampanyaları
- Pentagon'un e-posta sistemini bir süreliğine sakat bırakan 2015 Cozy Bear mızraklı kimlik avı saldırısı.
- Amerika Birleşik Devletleri'ndeki 2016 Başkanlık Seçimleri öncesinde Demokratik Ulusal Komite'ye yönelik Cozy Bear saldırısı ve ABD merkezli STK'lara ve düşünce kuruluşlarına yönelik bir dizi baskın.
- Ocak 2017 Norveç Hükümeti, ülkenin İşçi Partisi'ni, Savunma Bakanlığı'nı ve Dışişleri Bakanlığı'nı etkileyen spearphishing saldırısı.
- Yeni hazırlanmış Polyglot Duke, RegDuke ve FatDuke kötü amaçlı yazılım ailelerini tanıtan 2019 Ghost Operasyonu bulaşma dalgası.
On İki Yıl Sonra Hala Güçlü Oluyor
APT29, 2020'de yüksek profilli hedeflerin peşinden gitmeye devam ediyor. Bu hack grubunun Amerika Birleşik Devletleri, Kanada ve Birleşik Krallık'ta bulunan çeşitli tıbbi araştırma kurumlarının peşine düştüğüne dair raporlar var. APT29'un, potansiyel bir aşının yanı sıra etkili tedavilerin geliştirilmesi de dahil olmak üzere, COVID-19 araştırmasıyla doğrudan bağlantılı olan tıbbi kurumları özel olarak hedef aldığı görülüyor. APT29, söz konusu tıbbi kurumlara ait IP aralıklarını tarar ve ardından istismar edebileceği herhangi bir güvenlik açığı olup olmadığını kontrol eder. APT29, hedeflenen bir ağı başarıyla ihlal ettiğinde, bilgisayar korsanlığı grubu WellMess kötü amaçlı yazılımını veya WellMail tehdidini dağıtır.
Hedeflenen sağlık kurumları, muhtemelen gizli verileri içerdiği için vakayla ilgili fazla bilgi sağlamadı. Bununla birlikte, APT29'un COVID-19 araştırmasıyla ilgili olarak gizli bilgi ve belgeler aradığını varsaymak güvenlidir. APT29'un kullandığı bilgisayar korsanlığı araçları, güvenliği ihlal edilmiş ana bilgisayardan veri alma ve virüslü sisteme ek tehditler yerleştirme yeteneğine sahiptir.
APT29 İle İlgili Yeni Dolandırıcılıklara Dikkat Edin
Birçok siber suçlu, düşük seviyeli dolandırıcılıkları ve çeşitli tehditleri yaymak için COVID-19'u kullanıyor. Ancak APT29'un durumu çok daha ilginç. Bunun Kremlin tarafından desteklenen veya desteklenmeyen bir Rus keşif operasyonu olduğu tahmin edilebilir.
2020 yılı boyunca fırtınanın gözü önünde oldukları için tıp kurumlarının siber saldırılara karşı çok dikkatli olması gerekiyor. Tüm yazılımlarınızı güncel tutmanız, çok güvenli oturum açma kimlik bilgilerini kullandığınızdan emin olmanız, tüm yamaları ürün yazılımınız ve saygın, modern bir anti-virüs yazılım paketi edinmeyi unutmayın.
