Hackeri cu legături în zona serviciilor de informații ruse au lansat atacuri cibernetice asupra organizațiilor și instituțiilor din domeniul cercetării implicate în dezvoltarea vaccinului împotriva COVID-19.
Guvernele din Marea Britanie, Canada și SUA i-au acuzat pe hackerii ruși că ar fi încercat să fure date cu privire la cercetările asupra vaccinului împotriva noului coronavirus.
Activitatea este atribuită grupului de hackeri APT29, cunoscut și sub numele de „Cozy Bear”, „Yttrium” sau „The Dukes”. Sectoarele de activitate vizate, de regulă, de gruparea de criminalitate cibernetică au fost cele din zona medicală, industria energetică, think tank-urile și centrele de cercetare, structuri diplomatice și guvernamentale.
Se presupune că gruparea APT29 și-ar desfășura activitatea sub coordonarea Serviciului de Informații Externe al Federației Ruse (SVR).
Tehnicile pe baza cărora APT29 acționează sunt următoarele:
- „exploit-urile” publice (secvențe de cod dintr-un software care exploatează vulnerabilitățile sistemului) sunt cele mai des utilizate pentru a scana și exploata sistemele țintă;
- furtul de credențiale pentru a accesa sistemele adversarului;
- scanarea de adrese IP externe și exploatarea, ulterior, a vulnerabilităților identificate;
- folosirea metodei de phishing pentru a obține credențialele de autentificare în sistemele organizațiilor țintă.
După ce obține accesul în rețea, APT29 livrează programe personalizate de tip malware, cunoscute sub numele de „WellMail” sau „WellMess” pentru a efectua operațiuni suplimentare în sistemul victimelor.
WellMail este scris în limbajul de programare Golang pentru a rula comenzile shell de pe sistemele de operare Linux și Windows. Este un instrument care rulează scripturi sau comenzi, iar rezultatele sunt transmise către un server C2 criptat.
APT29 este unul dintre cele mai de succes grupări de hackeri susținute de guvernul rus. Experții indică faptul că este probabil ca aceștia să continue să vizeze organizațiile care desfășoară activități de cercetare în domeniul vaccinului pentru COVID-19. Hackerii asociați cu acest grup încearcă să obțină și să valorifice informații confidențiale sau secrete, fără, însă, să le expună public așa cum procedează alte astfel de grupuri de hackeri.
Dincolo de acuzațiile recente referitoare la furtul de date din sfera cercetărilor pentru vaccinul anti-COVID, APT29 a mai fost suspectată și pentru alte atacuri care au vizat operațiuni cibernetice de aploare:
- atacul asupra Pentagonului din 2015;
- atacul asupra Comitetului Național Democrat (DNC) din SUA, în 2016;
- atacurile asupra mai multor ministere ale guvernului oladez, în 2017.
De asemenea, se presupune că APT29 a fost implicată, alături de altă grupare renumită de hackeri ruși – APT28 (ce activează sub coordonarea Direcției Generale de Informați din armata rusă, GRU), în atacurile cibernetice din timpul alegerilor prezidențiale din 2016 din SUA.
Potrivit companiei finlandeze de securitate cibernetică F-Secure, APT29 targetează, cu preponderență, sisteme ale unor instituții din care pot extrage informații clasificate, lucru confirmat și de cele mai recente acuzații privind furtul de date referitoare la cercetările asupra vaccinului împotriva COVID-19.
Sursă foto: fireeye.com
