Strategiczne dla Polski podmioty powinny mieć się na baczności – analiza rosyjskiej grupy hakerów APT-29

Analiza rosyjskiej grupy cyberprzestępczej APT-29

Cyberprzestępcza grupa Cozy Bear (znana także jako APT-29) jest jedną z najbardziej aktywnych grup hakerów powiązanych z rządem rosyjskim. Rosja jest krajem, z którego wywodzą się największe potęgi we współczesnych wojnach cybernetycznych. Ich zaawansowane narzędzia, nowatorskie strategie i unikalna infrastruktura zaplecza technicznego sugerują istnienie gigantycznych i złożonych operacji, w których udział biorą różne rosyjskie organy wojskowe i rządowe.

Rosja jest silna w cyberprzestrzeni

Rosja stanowi jedną z największych potęg we współczesnych wojnach cybernetycznych. W ciągu ostatnich trzech dziesięcioleci zasłynęli prowadzeniem różnego rodzaju cyberoperacji szpiegowskich i sabotażowych.

Począwszy od pierwszych, powszechnie znanych ataków autorstwa Moonlight Maze w 1996 r., przez włamanie się do systemów Pentagonu w 2008 r., odcięcie prądu w Kijowie w 2016 r., atak hakerski związany z wyborami w USA w 2016 r., po jeden z największych i najsłynniejszych cyberataków w historii – cyberatak na całe kraje przy użyciu systemu szantażującego NotPetya (tzw. wiper kasujący dane oraz systemy).

Liczne operacje Rosjan i wytworzonych przez hakerów rodzin złośliwego systemu zostały publicznie zdemaskowane przez różne firmy zajmujące się cyberbezpieczeństwem i agencje wywiadowcze, takie jak FBI czy estońska Służba Wywiadu Zagranicznego.

Infografika przedstawia powiązania rosyjskich hakerów ze służbami specjalnymi Rosji. Opracowane na podstawie danych Estońskiej Służby Wywiadu Zagranicznego:

W roku 2021 rosyjscy hakerzy dokonali szeregu ataków między innymi na organizacje zajmujące się opracowywaniem medykamentów przeciwko COVID-19. Swoje działania kontynuowali, przeprowadzając ataki na cele związane z energetyką i przemysłem lotniczym, co w maju 2021 roku zakończyło się interwencją władz USA w sprawie ataków na systemy rządowe i prywatne przedsiębiorstwa.

W raporcie z roku 2021 Microsoft ostrzegał, iż od maja cybergang obrał za cel ponad 140 resellerów usług chmurowych i dostawców technologii. Udało im się skompromitować aż 14 celów. Atak ten kojarzony jest z głośną medialnie kampanią zwaną „SOLARWINDS”.

Poprzez zaatakowanie firmy SolarWinds, Denmark National Bank stał się kolejną ofiarą cyberataku. W maju 2021 r. Cozy Bear zaatakowało bank centralny Danii (Denmark National Bank), gdzie zostawili złośliwe oprogramowanie, które pozwoliło hakerom na niezauważony dostęp do sieci przez ponad sześć miesięcy.

W Polsce w roku 2023 zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską łączoną z działaniami rosyjskich służb specjalnych. Na podstawie wniosków z opracowanego raportu celem kampanii było nielegalne pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących się w państwach należących do NATO i Unii Europejskiej.

Działania wykryte oraz opisane przez CERT Polska i SKW wyróżniają się jednak na tle poprzednich wykorzystaniem unikalnego, nieodnotowanego wcześniej publicznie oprogramowania. Nowe narzędzia były używane równolegle i niezależnie od siebie lub też kolejno, zastępując starsze rozwiązania, których skuteczność spadała. Pozwalało to sprawcom na utrzymanie ciągłości działań.

APT-29, którzy są hakerami stojącymi za atakiem na łańcuch dostaw systemu SolarWinds i wspomnianymi wyżej atakami, przez cały czas szukają sposobów na uzyskanie dostępu do sieci przedsiębiorstw, biorąc na cel dostawców usług IT i usług w chmurze, którzy mają prawa administratora w systemach swoich klientów.

Rekomendacje dla firm i instytucji rządowych

CERT Polska oraz SKW stanowczo rekomendują wszystkim podmiotom mogącym znajdować się w obszarze zainteresowania rosyjskiej grypy szpiegowskiej wdrożenie zmian, które skutecznie przeciwstawią się mechanizmom dostarczenia używanym w opisywanej kampanii. Sektory, które szczególnie powinny rozważyć wdrożenie zaleceń to:

• Podmioty rządowe.
• Podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracujący w podmiotach międzynarodowych.
• Organizacje międzynarodowe.
• Organizacje pozarządowe.
  
  

Poniższe zmiany konfiguracyjne mogą posłużyć do przerwania mechanizmu dostarczenia złośliwego systemu użytego w niektórych kampaniach:

• Zablokowanie możliwości montowania w systemie plików obrazów dysków ISO lub IMG oraz monitorowanie tych akcji przez administratorów.
• Redukcja powierzchni ataków poprzez zablokowanie uruchamiania plików wykonywalnych z nietypowych lokalizacji np. katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne.
  
  

Szczegółowe rekomendacje zmian konfiguracyjnych znajduje się na rządowej stronie.

APT-29 w pigułce

APT-29 to nazwa kodowa jednej z rosyjskich grup cybernetycznych, której działalność jest związana z rządowymi lub wojskowymi organizacjami w Rosji. Takie grupy są często inaczej nazywane przez firmy z branży bezpieczeństwa, agencje rządowe lub media, co może prowadzić do niejednoznaczności. Nazwy te często pochodzą od charakterystycznych cech działań grupy lub od konkretnych cech użytych w atakach, takich jak używane narzędzia lub rodzaje złośliwego oprogramowania. Mimo różnych nazw grupy hakerów są identyfikowane przez ich zachowanie oraz używane techniki i narzędzia, co pozwala na śledzenie ich działań i ujawnianie nowych ataków.

Działalność przestępczą grupy APT-29 można znaleźć w sieci pod różnymi nazwami:

• APT 29 (Mandiant)
• Cozy Bear (CrowdStrike)
• The Dukes (F-Secure)
• Group 100 (Talos)
• Yttrium (Microsoft)
• Iron Hemlock (SecureWorks)
• Minidionis (Palo Alto)
• CloudLook (Kaspersky)
• Grizzly Steppe (US Government)
  
  

Główne cele grupy: kradzież informacji i szpiegostwo

Wykorzystywane narzędzia: ATI-Agent, CloudDuke, Cobalt Strike, CosmicDuke, CozyDuke, CozyCar, GeminiDuke, HammerDuke, HAMMERTOSS, meek, Mimikatz, MiniDuke, OnionDuke, PinchDuke, POSHSPY, PowerDuke, SeaDaddy, SeaDuke , tDiscoverer.

Wykorzystywane techniki i taktyki według MITRE ATT&CK: attack.mitre.org/groups/G0016

Symulowanie technik ataków grupy APT-29: dzięki narzędzia Caldera Framework