APT29

O APT29 (também conhecido como CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron) é um agente de ameaças persistentes avançadas (APT) ativo desde 2008 e considerado um produto do Serviço de Inteligência Estrangeira (SVR) do governo russo. Poucos agentes de ameaças mostram a disciplina técnica e a sofisticação do APT29, especialmente em sua capacidade de se adaptar a táticas defensivas de segurança de TI, penetrar em redes bem defendidas e implantar malware com recursos antifurto.

Os principais alvos do APT29 são governos e subcontratados do governo, organizações políticas, empresas de pesquisa e setores essenciais, como energia, saúde, educação, finanças e tecnologia nos EUA e na Europa. O APT29 tem como objetivo principal interromper a segurança nacional, afetar a infraestrutura essencial e causar interferência política.

2015: O APT29 obtém acesso inicial à rede do Pentágono por meio de phishing e introduziu a técnica "Hammertoss" para usar contas fictícias do Twitter para comunicação C2

2016: Em uma campanha conhecida como "GRIZZLY STEPPE", o APT29 violou os servidores do Comitê Nacional Democrata perto das eleições nos EUA por meio de uma campanha de phishing que orientava as vítimas a alterar suas senhas usando um site falso

2019: Compromete três ministérios de Assuntos Nacionais da UE e uma embaixada de um país da UE sediada em Washington D.C.

2020: Realiza varredura de vulnerabilidades em endereços IP públicos para comprometer os desenvolvedores de vacinas contra a COVID-19 no Canadá, nos EUA e no Reino Unido

2020: Distribui o malware SUNBURST que ataca o software SolarWinds Orion para lançar um trojan de acesso remoto (RAT) que afetou muitas organizações globais

O APT29 emprega técnicas sofisticadas e em constante evolução para se camuflar, demonstrando capacidades operacionais avançadas. Por exemplo, o malware do APT29 foi pioneiro na coleta de instruções de comando e controle (C2) de primeiro estágio de sites públicos conhecidos, como Twitter, Dropbox e GitHub, o que permitiu contornar as defesas básicas de firewall. O malware empregou de forma inteligente algoritmos dinâmicos de nome de usuário para evitar a codificação de domínios C2 ou endereços IP. Em outro exemplo, o malware do APT29 usou esteganografia para criptografar locais de C2 em imagens, permitindo que ele contornasse firewalls, filtros de URL e produtos de segurança, mesmo aqueles equipados com a inteligência de ameaças mais recente.  

No back-end C2, o APT29 atualiza constantemente uma lista de ativos de penhor recém-comprometidos para evitar a dependência da infraestrutura de nuvem estática de um provedor legítimo.

tDiscoverer/Hammertoss: Usa plataformas de mídia social como Twitter e GitHub para ocultar comunicações C2 e evitar a detecção

CosmicDuke: Um ladrão de informações capaz de coletar detalhes de login de uma ampla gama de aplicativos e encaminhá-los para um servidor C2 controlado por um invasor.

CozyCar: Um RAT modular capaz de importar componentes com diferentes funcionalidades para ampliar um ataque

LiteDuke: Um ladrão de informações de terceiro estágio que usa várias camadas de criptografia para ofuscação e várias técnicas para persistência, incluindo chaves de registro do Windows, PowerShell e Windows Management Instrumentation.

RegDuke: Um malware de primeiro estágio escrito em .NET que pode baixar malware secundário usando o DropBox como seu servidor C2 e manter a persistência injetando a si mesmo no binário winword.exe.

MiniDuke: Um downloader de segundo estágio desenvolvido em assembly x86 em vez de uma linguagem de programação compilada que usa um algoritmo de geração de domínio para localizar dinamicamente os servidores C2.

PolyglotDuke: Um malware de downloader de segundo estágio capaz de usar esteganografia e sites do Twitter, Reddit e Imgur para obter locais de servidores C2

SeaDuke: Um RAT de segundo estágio de roubo de informações escrito em Python e compilado para ser executado em plataformas baseadas em Microsoft Windows, Linux, macOS e Solaris

O registro consistente do APT29 de comprometimento de entidades governamentais dos EUA e de infiltração em grandes empresas de TI corporativas, como a SolarWinds, demonstra sua dedicação e competência. A defesa de uma organização visada pela APT29 requer nada menos que um programa completo de segurança cibernética empresarial que utilize as soluções de segurança mais avançadas, incluindo filtragem de e-mail e de conteúdo da Web, antivírus avançado para detectar malware e impedir que ele entre na rede da organização e Detecção e Resposta de Endpoint (EDR) ou Detecção e Resposta Gerenciadas (MDR) para identificar infecções por malware de forma eficaz e eficiente e tomar medidas rápidas para reduzir seu tempo de permanência e impedir que ele afete os ativos essenciais.

Um programa eficaz de segurança cibernética capaz de se defender contra a APT29 também deve ser projetado com o princípio do menor privilégio, defesa em profundidade, arquitetura Zero Trust e autenticação multifator em mente para segmentar e proteger ativos essenciais e reduzir os possíveis danos que os invasores podem causar se conseguirem uma posição inicial.