APT29
APT29 ( Advanced Persistent Threat ) — хакерська група, яка походить з Росії. Ця хакерська група також діє під псевдонімами Cosy Bear, Cosy Duke, the Dukes та Office Monkeys. Кіберганг веде своє походження від шкідливого програмного забезпечення MiniDuke 2008 року, і вони постійно вдосконалювали та оновлювали свій хакерський арсенал, а також стратегії та інфраструктуру атак. APT29 часто переслідує цінні цілі по всьому світу. Останні зусилля APT29 зосереджені на крадіжці даних про вакцину проти COVID-19 з медичних установ по всьому світу.
Деякі дослідники кібербезпеки сильно підозрюють, що APT29 має тісні зв’язки з російськими спецслужбами і Федеральною службою безпеки (ФСБ), зокрема.
Цього тижня в епізоді 19 зловмисного програмного забезпечення, частина 1: російські хакери APT29 націлені на дослідницькі фірми щодо коронавірусу/COVID-19
Зміст
Набір інструментів і помітні атаки
Незалежно від вибраної мети, APT29 завжди проводить двоетапні атаки з використанням бекдорного трояна та дроппера шкідливих програм. Перший має на меті отримати персональні дані та надіслати їх назад на віддалений сервер командування та керування (C&C), а другий завдає реальної шкоди, залежно від цільової організації. Набори інструментів підлягають регулярним оновленням та налаштуванням для покращеного ухилення від AV.
APT29 є досить популярною хакерською групою, оскільки вони часто потрапляють у заголовки газет через свої атаки, спрямовані на високопоставлені організації по всьому світу – державні установи, військові організації, дипломатичні місії, телекомунікаційні компанії та різні комерційні структури. Ось деякі з найпомітніших атак, до яких імовірно брав участь APT29:
- Спам-кампанії електронної пошти 2014 року, які мали на меті впровадити шкідливі програми CozyDuke і Miniduke в науково-дослідні інститути та державні установи США.
- Фішингова атака Cosy Bear 2015 року, яка на деякий час пошкодила систему електронної пошти Пентагону.
- Напад Cosy Bear на Національний комітет Демократичної партії перед президентськими виборами 2016 року в Сполучених Штатах, а також серія рейдів проти американських неурядових організацій і аналітичних центрів.
- Підривна атака уряду Норвегії в січні 2017 року, яка вплинула на Лейбористську партію, Міністерство оборони та Міністерство закордонних справ країни.
- Хвиля зараження Operation Ghost 2019 року, яка представила нещодавно створені сімейства шкідливих програм Polyglot Duke, RegDuke і FatDuke.
Дванадцять років потому все ще сильні
APT29 продовжує переслідувати резонансні цілі в 2020 році. Є повідомлення, що ця хакерська група переслідувала різні медичні дослідницькі установи, розташовані в Сполучених Штатах, Канаді та Великобританії. Схоже, що APT29 спеціально націлений на медичні установи, які безпосередньо пов’язані з дослідженнями COVID-19, включаючи розробку потенційної вакцини, а також ефективних методів лікування. APT29 сканує діапазони IP, які належать відповідним медичним установам, а потім перевіряє, чи є якісь уразливості, які він може використовувати. Як тільки APT29 успішно порушує цільову мережу, хакерська група розгортає зловмисне програмне забезпечення WellMess або загрозу WellMail.
Цільові медичні установи не надали багато інформації щодо справи, оскільки, ймовірно, йдеться про секретні дані. Однак можна з упевненістю припустити, що APT29 шукає секретну інформацію та документи щодо дослідження COVID-19. Інструменти злому, які використовує APT29, здатні отримувати дані від скомпрометованого хоста, а також створювати додаткові загрози в зараженій системі.
Остерігайтеся нових шахрайств, пов’язаних із APT29
Багато кіберзлочинців використовують COVID-19 для поширення шахрайства низького рівня та різних загроз. Однак випадок APT29 набагато цікавіший. Можна припустити, що це російська розвідувальна операція, яка може підтримуватися Кремлем або не підтримуватися.
Медичні установи повинні бути дуже обережними щодо кібератак, оскільки вони були в оці шторму протягом 2020 року. Важливо підтримувати все своє програмне забезпечення в актуальному стані, переконатися, що ви використовуєте дуже безпечні облікові дані для входу, застосувати всі виправлення до свою прошивку, і не забудьте придбати надійний, сучасний пакет антивірусних програм.
