10:55
17/7/2020

Grupy APT29 (COZY BEAR) na pewno nie musimy wam przedstawiać. Wygląda na to, że zainteresowała się ona atakami na organizacje z UK, USA i Kanady zaangażowane w badania nad szczepionką na COVID-19. Nie jest to zresztą pierwszy raz, gdy Rosję oskarża się o wykorzystywanie hackerów w celu wykradania własności intelektualnej.

O grupie APT29 pisaliśmy o nich najpierw w kontekście opublikowanego raportu przez amerykańskie służby, które jednoznacznie oskarżają Rosję o wpływ na przebieg wyborów prezydenckich w 2015 roku. Natomiast na początku 2018 roku pisaliśmy o tym jak rządowi holenderscy hackerzy skompromitowali tych rosyjskich. Dzisiaj czas na kolejną odsłonę serialu, czyli opublikowany przez brytyjski National Cyber Security Centre (w skrócie NCSC, będące częścią GCHQ) raport ostrzegający przed atakami ze strony rosyjskiej grupy APT29 (Advisory: APT29 targets COVID-19 vaccine development).

Cel: informacje o szczepionce i pandemii

Za przygotowanie raportu oprócz Brytyjczyków stoją także eksperci z kanadyjskiego Canada’s Communications Security Establishment (CSE), a zaprezentowane informacje potwierdzają amerykańskie służby – NSA, DHS oraz CISA (trochę ich jest :)).

Wedle ustaleń, celem grupy APT29 było zdobycie informacji na temat rozwoju szczepionki przeciwko COVID-19, a także uzyskanie informacji o przebiegu pandemii w różnych krajach. Atakowane były instytucje rządowe, dyplomatyczne, związane ze służbą zdrowia, a także think-tanki. Działania rozpoznano na terenie Stanów Zjednoczonych, Kanady oraz Wielkiej Brytanii.

Bez fajerwerków

Ataki rozpoczynały się od – powiedzmy – standardowego skanowania zewnętrznych adresów IP, które były wykorzystywane w infrastrukturze atakowanego celu. Następnie wykorzystywano publicznie znane exploity do wykorzystania podatności i możliwości infiltracji wewnętrznej sieci. W raporcie mowa jest także o realizacji ataków opartych o spear-phishing.

Jeśli chcecie się dowiedzieć więcej na temat spear-phishingu posłuchajcie poświęconego mu 29. odcinka naszego podcastu, tego o socjotechnice.

Do ataków wykorzystywano exploity na podatności m. in. w Citrixie, Pulse Secure, FortiOS czy Zimbrze. Po udanym wtargnięciu do wewnętrznej infrastruktury atakujący z APT29 wykorzystywali złośliwe oprogramowanie o nazwie WellMess oraz WellMail, służące do komunikacji pomiędzy skompromitowaną maszyną, a serwerem C&C (red. Command and Control). Odnotowano także wykorzystywanie w atakach innego złośliwego oprogramowania o nazwie SOREFANG.

Przeanalizowane próbki WellMess oraz WellMail pozwoliły ustalić, że korzystają one z zahardcodowanego w kodzie źródłowym certyfikatu TLS, zawierającego charakterystyczne wartości dla parametr subjectKeyIdentifier w postaci ‘0102030406’ czy opisem właściciela certyfikatu ‘C=Tunis, O=IT’ and ‘O=GMO GlobalSign, Inc’.

Czy polskie instytucje związane z COVID-19 mogą być atakowane?

Wykluczyć tego nie można choć podkreślamy, że akurat w raporcie nic o tym nie ma. Podejrzewamy, że polskie instytucje odpowiedzialne za cyberbezpieczeństwo jeszcze przed oficjalnym opublikowaniem raportu uzyskały informacje o wrogich działaniach ze strony rosyjskich (i zapewne nie tylko) rządowych hackerów. Może bardziej właściwym byłoby stwierdzenie, że kampanie mające na celu zdobycie informacji poprzez atak i infiltrację infrastruktury sieciowej obcego państwa są już codziennością. Wystarczy spojrzeć na to jak długą i bogatą historię mają odnotowane ataki przypisane grupie APT29. Tego typu działania realizuje szereg różnych państw (są to też np. Chiny, Izrael) tylko niektóre dały się złapać, a inne nadal robią to po cichu.

Co robić? Jak żyć?

Na szczęście twórcy raportu podzielili się szeregiem istotnych informacji przydatnych do ochrony przed podobnymi atakami. W końcowej części raportu znajdziecie nie tylko IoC (ang. Indicators of Compromise), ale także adresy IP skąd realizowano ataki, a także reguły YARA. Wszystko możliwe do zastosowania przez bezpieczników i działy IT w potencjalnie zagrożonych instytucjach.

My podpiszemy się palcami wszystkich kończyn pod rekomendacjami ekspertów z NCSC. Zakładają one stałe utrzymywanie zaktualizowanych usług i oprogramowania pracującego w infrastrukturze sieciowej wraz z jej bieżącym monitorowaniem pod kątem anomalii. Poza tym arcyważne są tak podstawowe środki ochrony jak stosowanie modelu podwójnego uwierzytelnienia (tzw. 2FA) w używanych usługach i systemach (choć nie mityguje permanentnie ryzyka skutecznego ataku), a przede wszystkim stale poszerzać świadomość pracowników o tym jak rozpoznać zagrożenia takie jak phishing, w jaki sposób reagować na nie oraz jak eskalować zauważone anomalie (por. Konta Gatesa, Muska, Obamy, Bezosa zhackowane. Ktoś zhackował wewnętrzne systemy Twittera).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. “wybory” (wybory prezydenckie) w usa były w 2016, nie w 2015

    • W ogóle ktoś wierzy w epidemie korony? Co to za epidemi, w której umierają dziadkowie grubo po siedemdziesiątce lub osoby posiadające jakieś inne choroby.

    • Nie epidemia, a pandemia. I np. taka grypa (nie mylić z przeziębieniem) zabija głównie w powikłaniach lub osoby starsze. Z innych popularnych to jeszcze AIDS – zabija tylko w powikłaniach. Wystarczyło sprawdzić w wikipedii jeśli nie chciało się czytać książęk.

    • Pandemia głupoty, a nie jakieś zagrożenie. Co roku na nowotwór umiera 120 tysięcy osób i nikt na raka nie wymyśla szczepionki.

    • Być może dlatego, że chorób nowotworowych jest wiele o różnych przyczynach – nie tylko wirusowych. Na HPV jest szczepionka.

    • @short
      Dzięki! Żeby nie ty to bym nie wpisał w google “szczepionka na raka”. Sam sprawdź bo mi nie uwierzysz.

    • Po Prostu Janusz
      Ale ty nie domyślny jesteś. On napisał” NA RAKA”, a nie przeciwko rakowi :) To taka celowa sprzeczność w jego zdaniu. Zapewne chodziło mu o to, że na raka choruje tylko 120 tysięcy osób to należy zwiększyć tą liczbą wprowadzając nowe szczepienia by firmy zarabiały na chorych.

    • Po Prostu Janusz
      Nie ma czegoś takiego jak badania nad szczepionką przeciw nowotworom. Nowotwór to nic innego ( tu skrót myślowy) jak nieporządane zmiany, mutacje. Nikt nie da ci gwarancji, że taka szczepionka jest skuteczna i bezpieczna.

      Np. słynna szczepionka przeciw wirusowi brodawczaka ludzkiego (HPV) powoduje bezpłodność ( u niektórych zaszczepionych) i zwiększa ryzyko nowotworu.

    • Na początku zakładałem, że specyfika raka wyklucza pracę nad szczepionką. Potem wpisałem w google “szczepionka na raka” i od artykułu do artykułu trafiłem na:

      cancer.org.:
      “Cancer treatment vaccines are different from the vaccines that work against viruses. These vaccines try to get the immune system to mount an attack against cancer cells in the body.”

      https://www.cancer.gov/ :
      “Oncophage – A vaccine made from a patient’s tumor cells that may help the body’s immune system kill cancer cells.”

      Uznałem więc, że pewnie za mało wiem – dlatego odesłałem do google zamiast pisać kategoryczne twierdzenia. Przyznaję, że skłaniałem się raczej ku istnieniu takowych badań. Rozumiem jednak, że słowo “szczepionka” zostało tutaj użyte raczej “potocznie”?

  2. Szkoda, ze The Guardian swego czasu nie pisal o atakach na chinskie laboratoria znajdujace sie na terenie Indii (tak, dokladnie!). Atakach przeprowadzonych z terytorium USA w okresie maksymalnej agresywnosci tego mutanta, skadinad nie majacego niczego wspolnego z typowym wirusem (informacja z drugiej reki z laboratoriow berlinskich). Ale za to szeroko rozpisywano sie o tym, ze CIA dementuje jakiekolwiek poszlaki, ze C19 moze byc tworem sztucznym.

    Taki cyrk dla normow.

    • C19 jest tworem iluminatów czy masonów? Czy maseczka z folii aluminiowej pomaga?

    • Logika normow: czego nie mowia w TV = nie istnieje. Przykladowo, gdy byla awaria w czeskiej elektrowni atomowej w 2018, wiedzialem o tym 24 godziny wczesniej, niz łaskawie powiedziano o tym spoleczenstwo. Dzien wczesniej juz bylem przygotowany na najgorsze, gdy w massmediach skrojonych pod normow takich jak Ty, belkotano o tym, ze wszystko jest pod kontrola lub w ogole pomijano temat. To tylko jeden przyklad z wielu. B&B, przyjmij do wiadomosci, ze nie wszyscy zyja w umyslowym bagnie i jedynymi koneksjami jakie maja jest jakis anonimowy robol z tego samego blokowiska. Witam w swiecie doroslych.

  3. to jedyna droga zeby sie dowiedziec czym swiat bedzie truty. madrzy ludzie z nich sa, w europie np. nikogo nie interesuje co zostanie wstrzykniete w zyly europejczykow.
    czyzby idiotyzm zachodnich bialych ludzi siegnal szczytu czy da sie jeszcze bardziej upasc?

  4. Z jednej strony niemoralne i karygodne.
    Z drugiej, ciekawe czy sami by tak narzekali gdyby to ich prezydent “jakos” “skombinowal” szczepionke ;)

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: