APT29

APT29 ( Advanced Persistent Threat ) ist eine aus Russland stammende Hackergruppe. Diese Hackergruppe agiert auch unter den Aliasnamen Cozy Bear, Cozy Duke, the Dukes und Office Monkeys. Die Cybergang führt ihre Ursprünge auf die MiniDuke-Malware von 2008 zurück und hat ihr Hacker-Arsenal sowie ihre Angriffsstrategien und Infrastruktur kontinuierlich verbessert und aktualisiert. APT29 verfolgt oft hochwertige Ziele auf der ganzen Welt. Die jüngsten Bemühungen von APT29 konzentrierten sich auf den Diebstahl von COVID-19-Impfstoffdaten von medizinischen Einrichtungen auf der ganzen Welt.

Einige Cybersicherheitsforscher vermuten stark, dass APT29 enge Verbindungen zu russischen Geheimdiensten und insbesondere zum russischen Föderalen Sicherheitsdienst (FSB) unterhält.

Diese Woche in Malware-Episode 19 Teil 1: Russische APT29-Hacker zielen auf Coronavirus/COVID-19-Impfstoffforschungsunternehmen ab

Toolkit und bemerkenswerte Angriffe

Unabhängig vom gewählten Ziel führt APT29 immer zweistufige Angriffe mit einem Backdoor-Trojaner und einem Malware-Dropper durch. Ersteres zielt darauf ab, personenbezogene Daten abzurufen und an einen entfernten Command-and-Control-Server (C&C) zurückzusenden, während letzteres je nach Zielorganisation den tatsächlichen Schaden anrichtet. Die Toolkits werden regelmäßig aktualisiert und optimiert, um die AV-Umgehung zu verbessern.
APT29 ist eine ziemlich beliebte Hacking-Gruppe, da sie aufgrund ihrer Angriffe, die weltweit auf hochkarätige Organisationen abzielen, häufig Schlagzeilen macht – Regierungsbehörden, Militärorganisationen, diplomatische Missionen, Telekommunikationsunternehmen und verschiedene kommerzielle Unternehmen. Hier sind einige der bemerkenswertesten Angriffe, an denen APT29 angeblich beteiligt war:

• Die Spam-E-Mail-Kampagnen von 2014, die darauf abzielten, CozyDuke- und Miniduke-Malware in Forschungsinstitute und staatliche Behörden in den USA einzuschleusen
• Der Cozy Bear-Spear-Phishing-Angriff von 2015, der das E-Mail-System des Pentagon für eine Weile lahmlegte.
• Der Cosy Bear-Angriff auf das Democratic National Committee vor den Präsidentschaftswahlen 2016 in den USA sowie die Serie von Razzien gegen US-amerikanische NGOs und Think Tanks.
• Der Spearphishing-Angriff der norwegischen Regierung im Januar 2017 betraf die Arbeiterpartei des Landes, das Verteidigungsministerium und das Außenministerium.
• Die Infektionswelle Operation Ghost 2019, die die neu entwickelten Malware-Familien Polyglot Duke, RegDuke und FatDuke einführte.

Zwölf Jahre später immer noch stark

APT29 verfolgt auch 2020 weiterhin hochkarätige Ziele. Es gibt Berichte, dass diese Hackergruppe verschiedene medizinische Forschungseinrichtungen in den Vereinigten Staaten, Kanada und Großbritannien verfolgt hat. Es scheint, dass APT29 speziell auf medizinische Einrichtungen abzielt, die direkt mit der COVID-19-Forschung verbunden sind, einschließlich der Entwicklung eines potenziellen Impfstoffs sowie wirksamer Behandlungen. APT29 scannt IP-Bereiche, die zu den betreffenden medizinischen Einrichtungen gehören, und prüft dann, ob es Schwachstellen gibt, die es ausnutzen kann. Sobald APT29 erfolgreich ein Zielnetzwerk durchbricht, setzt die Hackergruppe die WellMess-Malware oder die WellMail-Bedrohung ein.

Die anvisierten medizinischen Einrichtungen haben nicht viele Informationen zu dem Fall bereitgestellt, da es sich wahrscheinlich um geheime Daten handelt. Es ist jedoch davon auszugehen, dass APT29 nach Verschlusssachen und Dokumenten in Bezug auf die COVID-19-Forschung sucht. Die von APT29 verwendeten Hacking-Tools sind in der Lage, Daten vom kompromittierten Host zu erhalten und zusätzliche Bedrohungen auf dem infizierten System zu platzieren.

Hüten Sie sich vor neuen APT29-bezogenen Betrügereien

Viele Cyberkriminelle nutzen das COVID-19, um Betrug auf niedriger Ebene und verschiedene Bedrohungen zu verbreiten. Viel interessanter ist jedoch der Fall des APT29. Man kann spekulieren, dass es sich um eine russische Aufklärungsoperation handelt, die möglicherweise vom Kreml unterstützt wird oder nicht.

Medizinische Einrichtungen müssen bei Cyber-Angriffen sehr vorsichtig sein, da sie im Jahr 2020 im Auge des Sturms standen. Es ist wichtig, Ihre gesamte Software auf dem neuesten Stand zu halten, sehr sichere Anmeldedaten zu verwenden und alle Patches auf Ihre Firmware und vergessen Sie nicht, eine seriöse, moderne Antivirensoftware-Suite zu erwerben.