APT29被指控针对冠状病毒疫苗组织,但这并不是该小组第一次引起全球关注
在2020年7月的报告中,英国及其盟友公开责怪网络攻击新冠病毒APT29的疫苗开发是与俄罗斯情报机构相关的黑客群体。
国家网络安全中心(NCSC),一部分GCHQ,指责APT29正在进行的恶意活动“主要是针对政府,外交,智囊团,医疗保健和能源目标,以窃取宝贵的知识产权”。
APT29的已知目标包括英国,美国和加拿大疫苗研发组织关节警报NCSC及其情报合作伙伴在加拿大传播安全机构和国家安全局(NSA)中。
一个全面评估(PDF) offers advice to potentially targeted organizations, as well as firing a shot against the bow of Russian intelligence by publicly calling the Kremlin out for what the NCSC’s director of operations, Paul Chichester, described as “despicable attacks against those doing vital work to combat the coronavirus pandemic”.
但是,我们对这个威胁群体有什么了解?每日swbeplay2018官网ig更深入地看。
什么是APT29?
APT29是西方情报机构和各种网络安全公司与俄罗斯国家情报机构有关的黑客群体。
入侵的安全摄像机录像使荷兰情报服务AIVD到达关联俄罗斯外国情报服务(SVR)的APT29。
安全情报公司CrowdStrike归因于APT29致SVR或俄罗斯的联邦安全部门(FSB)。
在这种情况下,“ APT”代表“高级持续威胁” - 安全行业的速记国家赞助的威胁集团。
APT29已由网络安全公司(包括Cozy Bear,Cozyduke和The Dukes等)提供了各种昵称。
哪些网络攻击与APT29相关?
根据FireEye Mandiant的分析,在过去五年中,APT29围绕COVID-19疫苗数据的间谍活动还归咎于其他许多引人注目的攻击。
这些所谓的事件包括:
- 2015年攻击五角大楼
- 2016年对美国民主党国家委员会(DNC)的攻击
- 2017年攻击荷兰政府部
- 攻击COVID-19疫苗开发实验室(2020)
- 运行供应链攻击那在Solarwinds Orion Enterprise软件中种植了一个特洛伊木马在一场广泛的袭击中,最终影响了18,000个组织,但主要针对美国联邦政府机构(2020)
- 共和党全国委员会的违规制度(2021年)
根据Symantec的说法,APT29一直攻击外交组织至少从2010年起,政府(即使不是更早)。
APT29舒适的熊与另一个与克里姆林宫联系的黑客小组(APT28,被广泛认为是俄罗斯军事情报局GRU的单位)牵连到该组织中网络攻击在2016年美国总统大选期间对抗DNC。
据芬兰安全公司F-Secure称,该威胁集团对外国情报感兴趣。
F-Secure战术防御部门的经理Calvin Gan告诉他说:“ APT29传统上专注于情报,以告知国家和安全政策,而不是盗窃知识产权。”每日swbeplay2018官网ig。
“但是,Covid-19可能是国家的主要国家安全优先事项俄罗斯他们需要所有的手放在甲板上。”
工作负载如何在APT29和其他组之间分配?
APT29的Tradecraft通常比APT28更微妙,更精致,更臭名昭著的克里姆林宫链接网络犯罪团体。
Mandiant威胁情报分析高级经理Ben Read告诉每日swbeplay2018官网ig:“ APT29历史上一直针对地缘政治情报,重点是窃取信息。
“它们没有与APT28和Sandworm团队所做的破坏性操作类型有关,而是由更加自由裁量权进行。”
APT29的策略,技术和程序是什么?
APT29使用各种策略,技术和程序(TTP),包括长矛捕捞以及称为“ Wellmess”和“ Wellmail”的自定义恶意软件。
根据Mandiant的说法,APT29是一个自适应和纪律严明的威胁群体,它隐藏了其对受害者的活动网络。
Mandiant解释说:“过去,它很少与与合法流量相似的方式进行交流。”
“通过使用合法的流行网络服务,该小组利用了加密的SSL连接beplay体育能用吗,使检测变得更加困难。”
根据Mandiant的分析,APT29是“最具发展和能力的威胁群体”之一:
它部署了新的后门来修复自己的错误并添加功能。它监视网络防御者活动以保持对系统的控制。APT29还经常将折衷的服务器用于[命令和控制]通信。
它反击试图补救攻击。它还为恶意软件保持快速的开发周期,并迅速改变了阻碍检测的工具。
众所周知,APT29可以根据受害者的感知智能价值和/或感染方法更改策略和方法(尤其是在“ Smash and-Grab”和“缓慢和deliberate之间”)。ATT&CK评估评估由Miter Corporation。
根据F-Secure:APT29的使用:
公爵参加了一年一度的一年一度的大规模矛态运动运动,针对数百甚至数千名与政府机构和附属组织相关的接收者。
这些活动采用了一种粉碎和抓地力的方法,涉及快速但嘈杂的闯入,然后快速收集和净化尽可能多的数据。
如果发现妥协的目标是有价值的,则公爵将迅速切换使用的工具集,并移动使用关注持续妥协和长期情报收集的隐身策略。
有关APT29所谓策略的更多详细信息可以在最近的一个apt29上的白皮书f-secure(PDF)。
是否可以防御APT29?
补丁管理和其他技术可以帮助防御APT29和类似攻击者。
F-Secure的Gan解释说:“ APT小组通常会很快地更快地更新他们的阿森纳,并根据他们感兴趣的目标或环境进行定制。”
“尽管EDR [端点检测和响应]在网络中发现可疑行为,但它只是国防策略的一部分。
“还必须有其他过程和技术,以最大程度地减少漏洞。这包括补丁管理,正如我们在最近关于APT29如何通过已知的立足点的咨询中所看到的那样漏洞。”
Tony Cole, CTO at Attivo Networks, added: “It’s unfortunate that an actor such as APT29 with such sophisticated capabilities is still able to simply scan targets for existing known vulnerabilities and then compromise with little effort or use phishing emails to obtain their initial set of credentials.
“组织必须加大努力来应对针对他们的对手。”
科尔继续说:“补丁是必须满足的必要条件。仪器专注于检测和网络周长内部和所有端点的横向运动是另一个势在必行的,因为预防通常会失败,而不管防御性支出如何。”
Intsights的网络威胁情报顾问慈善机构赖特(Wright)和前美国国家安全局(NSA)中国间谍专家告诉每日swbeplay2018官网ig:“俄罗斯情报服务是组织和故意的,以实现其目标,任务和工具。他们适应和克服目标防御,通常追随战略情报,军事和政府实体。”
她建议:“组织应该了解他们拥有哪些有价值的数据,哪些国家赞助的团体可能会以其专有数据为目标,或者将它们用作第三方以枢转,并准备防御这些人apts。
“利用威胁情报服务,创建情报要求以及将战术情报整合到其防御策略中对于保护其资产至关重要。我还鼓励他们进行威胁建模和紫色团队练习,以准备增加民族国家网络威胁的攻击。”
俄罗斯如何应对网络犯罪指控?
俄罗斯的基本立场是承认正在发生网络攻击,但要否认任何责任。
2020年7月,俄罗斯驻英国大使安德烈·基林(Andrei Kelin)接受了外交编辑黛博拉·海恩斯(Deborah Haynes)的采访天空新闻,声称俄罗斯本身经常受到网络攻击的目标,并呼吁制定有关网络战争的大会。
基林说:“我们想在联合国主持下建立正常秩序,这可能是一项公约,这将规定易于理解的合作规则。”“否则会有网络混乱。”
当指控俄罗斯的网络活动对英国构成威胁时,基林提出了对归因的怀疑。
他说:“网络世界非常复杂,但是网络攻击向任何国家的政府归因都是非常怀疑的。”
期间面试,基林继续驳回了最新的,非常具体的指控,即俄罗斯情报机构是针对疫苗研究中心的网络攻击。他说:“这些指控一无所有。”
你可能还喜欢解密:GCHQ庆祝100周年的秘密保存得很好
