APT29
APT29 ( تهدید مداوم پیشرفته ) یک گروه هکری است که منشا آن روسیه است. این گروه هکری همچنین تحت نام های مستعار Cozy Bear، Cozy Duke، the Dukes و Office Monkeys نیز فعالیت می کند. سایبرنگ منشأ خود را در بدافزار MiniDuke 2008 دنبال میکند و آنها به طور مداوم زرادخانه هک و همچنین استراتژیها و زیرساختهای حمله خود را بهبود و به روز میکنند. APT29 اغلب به دنبال اهداف با ارزش بالا در سراسر جهان است. جدیدترین تلاشهای APT29 بر سرقت دادههای واکسن COVID-19 از موسسات پزشکی در سراسر جهان متمرکز شده است.
برخی از محققان امنیت سایبری به شدت به APT29 به داشتن روابط نزدیک با سرویس های اطلاعاتی روسیه و به ویژه سرویس امنیت فدرال روسیه (FSB) مشکوک هستند.
این هفته در بدافزار قسمت 19 قسمت 1: هکرهای روسی APT29 شرکتهای تحقیقاتی واکسن کرونا/COVID-19 را هدف قرار میدهند
فهرست مطالب
کیت ابزار و حملات قابل توجه
صرف نظر از هدف انتخاب شده، APT29 همیشه حملات دو مرحلهای را انجام میدهد که دارای یک تروجان درب پشتی و یک دراپکننده بدافزار است. هدف اولی بازیابی اطلاعات شخصی و ارسال آن به یک سرور کنترل و فرمان از راه دور (C&C) است، در حالی که دومی بسته به سازمان مورد نظر آسیب واقعی را وارد می کند. بستههای ابزار در معرض بهروزرسانیها و ترفندهای منظم برای فرار از AV پیشرفته هستند.
APT29 یک گروه هکری نسبتاً محبوب است زیرا آنها اغلب به دلیل حملاتی که سازمانهای برجسته در سراسر جهان را هدف قرار میدهند - سازمانهای نظامی سازمانهای دولتی، مأموریتهای دیپلماتیک، مشاغل مخابراتی و نهادهای تجاری مختلف، تیتر خبرها میشوند. در اینجا برخی از قابل توجه ترین حملاتی که APT29 گفته می شود با آنها درگیر بوده است آورده شده است:
- کمپینهای ایمیل اسپم در سال 2014 که هدف آن نصب بدافزار CozyDuke و Miniduke در مؤسسات تحقیقاتی و آژانسهای دولتی در ایالات متحده بود.
- حمله فیشینگ نیزه ای Cozy Bear در سال 2015 که سیستم ایمیل پنتاگون را برای مدتی فلج کرد.
- حمله خرس دنج به کمیته ملی دموکرات قبل از انتخابات ریاست جمهوری 2016 در ایالات متحده، و همچنین مجموعه ای از حملات علیه سازمان های غیر دولتی مستقر در ایالات متحده و اتاق های فکر.
- حمله ماه ژانویه 2017 دولت نروژ که حزب کارگر، وزارت دفاع و وزارت امور خارجه این کشور را تحت تأثیر قرار داد.
- موج آلودگی Operation Ghost 2019 که خانوادههای بدافزار Polyglot Duke، RegDuke و FatDuke را معرفی کرد.
دوازده سال بعد همچنان قوی است
APT29 همچنان در سال 2020 به دنبال اهداف پرمخاطب است. گزارشهایی وجود دارد که این گروه هکری چندین موسسات تحقیقاتی پزشکی واقع در ایالات متحده، کانادا و بریتانیا را دنبال کرده است. به نظر می رسد که APT29 به طور خاص مؤسسات پزشکی را هدف قرار می دهد که مستقیماً با تحقیقات COVID-19 مرتبط هستند، از جمله توسعه یک واکسن بالقوه و همچنین درمان های مؤثر. APT29 محدودههای IP را که متعلق به مؤسسات پزشکی مورد نظر است اسکن میکند و سپس بررسی میکند که آیا آسیبپذیری وجود دارد که میتواند از آن سوء استفاده کند. هنگامی که APT29 با موفقیت یک شبکه هدف را نقض می کند، گروه هکر بدافزار WellMess یا تهدید WellMail را مستقر می کند.
مؤسسات پزشکی مورد نظر اطلاعات زیادی در مورد این پرونده ارائه نکرده اند زیرا احتمالاً شامل داده های طبقه بندی شده است. با این حال، می توان فرض کرد که APT29 به دنبال اطلاعات و اسناد طبقه بندی شده در رابطه با تحقیقات COVID-19 است. ابزارهای هکی که APT29 از آنها استفاده می کند، می توانند داده ها را از میزبان در معرض خطر به دست آورند و همچنین تهدیدهای اضافی را بر روی سیستم آلوده ایجاد کنند.
مراقب کلاهبرداری های جدید مرتبط با APT29 باشید
بسیاری از مجرمان سایبری از COVID-19 برای تبلیغ کلاهبرداری های سطح پایین و تهدیدهای مختلف استفاده می کنند. با این حال، مورد APT29 بسیار جالب تر است. می توان حدس زد که این یک عملیات شناسایی روسیه است که ممکن است مورد حمایت کرملین باشد یا نباشد.
مؤسسات پزشکی باید بسیار مراقب حملات سایبری باشند زیرا در طول سال 2020 در معرض طوفان بوده اند. مهم است که همه نرم افزارهای خود را به روز نگه دارید، اطمینان حاصل کنید که از اعتبارنامه های ورود بسیار ایمن استفاده می کنید، همه وصله ها را اعمال کنید. سیستم عامل خود را، و فراموش نکنید که یک مجموعه نرم افزار ضد ویروس معتبر و مدرن تهیه کنید.