APT29

APT29 ( Advanced Persistent Threat ) est un groupe de piratage informatique originaire de Russie. Ce groupe de piratage agit également sous les alias Cozy Bear, Cozy Duke, the Dukes et Office Monkeys. Le cybergang trouve ses origines dans le malware MiniDuke de 2008, et ils ont continuellement amélioré et mis à jour leur arsenal de piratage ainsi que leurs stratégies d'attaque et leur infrastructure. APT29 poursuit souvent des cibles de grande valeur partout dans le monde. Les efforts les plus récents d'APT29 se sont concentrés sur le vol de données sur les vaccins COVID-19 auprès d'institutions médicales du monde entier.

Certains chercheurs en cybersécurité soupçonnent fortement l'APT29 d'entretenir des liens étroits avec les services de renseignement russes et le Service fédéral de sécurité (FSB) russe en particulier.

Cette semaine dans Malware Episode 19 Partie 1 : Les pirates APT29 russes ciblent les entreprises de recherche sur les vaccins contre le coronavirus/COVID-19

Trousse à outils et attaques notables

Quelle que soit la cible choisie, APT29 mène toujours des attaques en deux étapes avec un cheval de Troie de porte dérobée et un compte-gouttes de malware. Le premier vise à récupérer des données personnelles et à les renvoyer à un serveur de commande et de contrôle (C&C) distant, tandis que le second fait les dégâts réels, en fonction de l'organisation ciblée. Les boîtes à outils sont soumises à des mises à jour et des ajustements réguliers pour une évasion AV améliorée.
APT29 est un groupe de piratage plutôt populaire car ils font souvent la une des journaux en raison de leurs attaques qui ciblent des organisations de premier plan dans le monde entier - agences gouvernementales, organisations militaires, missions diplomatiques, entreprises de télécommunications et diverses entités commerciales. Voici quelques-unes des attaques les plus notables auxquelles APT29 aurait été impliqué :

• Les campagnes de courrier indésirable de 2014 qui visaient à implanter les logiciels malveillants CozyDuke et Miniduke dans les instituts de recherche et les agences d'État aux États-Unis
• L'attaque de harponnage de Cozy Bear de 2015 qui a paralysé le système de messagerie du Pentagone pendant un certain temps.
• L'attaque de Cozy Bear contre le Comité national démocrate avant les élections présidentielles de 2016 aux États-Unis, ainsi que la série de raids contre des ONG et des groupes de réflexion basés aux États-Unis.
• L'attaque de harponnage du gouvernement norvégien de janvier 2017 qui a touché le Parti travailliste, le ministère de la Défense et le ministère des Affaires étrangères du pays.
• La vague d'infection Operation Ghost 2019 qui a introduit les nouvelles familles de logiciels malveillants Polyglot Duke, RegDuke et FatDuke.

Toujours aussi fort douze ans plus tard

APT29 continue de s'attaquer à des cibles de premier plan en 2020. Selon certaines informations, ce groupe de piratage s'est attaqué à diverses institutions de recherche médicale situées aux États-Unis, au Canada et au Royaume-Uni. Il semblerait que l'APT29 cible spécifiquement les institutions médicales, qui sont directement liées à la recherche COVID-19, y compris le développement d'un vaccin potentiel ainsi que de traitements efficaces. APT29 analyse les plages d'adresses IP, qui appartiennent aux établissements médicaux en question, puis vérifie s'il existe des vulnérabilités qu'il peut exploiter. Une fois qu'APT29 a réussi à pénétrer un réseau ciblé, le groupe de piratage déploie le malware WellMess ou la menace WellMail.

Les institutions médicales ciblées n'ont pas fourni beaucoup d'informations sur le cas car il s'agit probablement de données classifiées. Cependant, il est prudent de supposer qu'APT29 recherche des informations et des documents classifiés concernant la recherche COVID-19. Les outils de piratage utilisés par APT29 sont capables d'obtenir des données de l'hôte compromis, ainsi que de planter des menaces supplémentaires sur le système infecté.

Méfiez-vous des nouvelles escroqueries liées à APT29

De nombreux cybercriminels utilisent le COVID-19 pour propager des escroqueries de bas niveau et diverses menaces. Cependant, le cas de l'APT29 est bien plus intéressant. On peut supposer qu'il s'agit d'une opération de reconnaissance russe soutenue ou non par le Kremlin.

Les établissements médicaux doivent se méfier des cyberattaques car ils ont été dans l'œil de la tempête tout au long de 2020. Il est important de maintenir tous vos logiciels à jour, de vous assurer d'utiliser des identifiants de connexion très sécurisés, d'appliquer tous les correctifs à votre firmware et n'oubliez pas de vous procurer une suite logicielle antivirus moderne et réputée.