APT29

APT29 (alias CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron) es una amenaza persistente avanzada (APT) activa desde 2008 y considerada un producto del Servicio de Inteligencia Exterior (SVR) del gobierno ruso. Pocos actores de amenazas muestran la disciplina técnica y la sofisticación de APT29, especialmente en su capacidad para adaptarse a las tácticas defensivas de seguridad informática, penetrar en redes bien defendidas y desplegar malware con capacidades antiforenses.

Los principales objetivos de APT29 son gobiernos y subcontratistas gubernamentales, organizaciones políticas, empresas de investigación e industrias críticas como la energética, sanitaria, educativa, financiera y tecnológica en Estados Unidos y Europa. El objetivo principal de APT29 es perturbar la seguridad nacional, afectar a infraestructuras críticas y provocar interferencias políticas.

2015: APT29 consigue acceso inicial a la red del Pentágono mediante phishing e introdujo la técnica "Hammertoss" para utilizar cuentas falsas de Twitter para la comunicación C2

2016: En una campaña conocida como "GRIZZLY STEPPE", APT29 vulneró los servidores del Comité Nacional Demócrata cerca de las elecciones estadounidenses a través de una campaña de phishing que dirigía a las víctimas a cambiar sus contraseñas utilizando un sitio web falso

2019: Compromete tres ministerios de Asuntos Nacionales de la UE y una embajada de un Estado nación de la UE con sede en Washington D.C.

2020: Realiza un escaneo de vulnerabilidades de direcciones IP públicas para comprometer a los desarrolladores de la vacuna COVID-19 en Canadá, EE.UU. y el Reino Unido.

2020: Distribuye el malware SUNBURST que ataca el software SolarWinds Orion para lanzar un troyano de acceso remoto (RAT) que afectó a muchas organizaciones mundiales.

APT29 emplea técnicas de ocultación sofisticadas y en continua evolución que demuestran sus avanzadas capacidades operativas. Por ejemplo, el malware de APT29 fue pionero en recopilar instrucciones de mando y control (C2) de primera etapa de sitios web públicos conocidos como Twitter, Dropbox y GitHub, lo que le permitió eludir las defensas de cortafuegos básicas. El malware empleaba inteligentemente algoritmos de nombres de usuario dinámicos para evitar la codificación de dominios C2 o direcciones IP. En otro ejemplo, el malware de APT29 utilizaba la esteganografía para cifrar las ubicaciones C2 en imágenes, lo que le permitía eludir cortafuegos, filtros de URL y productos de seguridad, incluso los que contaban con la información sobre amenazas más reciente.  

En el back-end C2, APT29 actualiza constantemente una lista de activos de empeño recién comprometidos para evitar depender de la infraestructura estática en la nube de un proveedor legítimo.

tDiscoverer/Hammertoss: Utiliza plataformas de redes sociales como Twitter y GitHub para ocultar las comunicaciones del C2 y evitar ser detectado.

CosmicDuke: Un ladrón de información capaz de recopilar datos de inicio de sesión de una amplia gama de aplicaciones y reenviarlos a un servidor C2 controlado por el atacante.

CozyCar: Una RAT modular capaz de importar componentes con distintas funcionalidades para ampliar un ataque

LiteDuke: Un ladrón de información de tercera etapa que utiliza múltiples capas de cifrado para la ofuscación y múltiples técnicas para la persistencia, incluyendo claves del Registro de Windows, PowerShell y Windows Management Instrumentation.

RegDuke: Un malware de primera etapa escrito en .NET que puede descargar malware secundario utilizando DropBox como su servidor C2 y mantener la persistencia inyectándose en el binario winword.exe

MiniDuke: Un descargador de segunda fase desarrollado en ensamblador x86 en lugar de un lenguaje de programación compilado que utiliza un algoritmo de generación de dominios para localizar dinámicamente los servidores C2.

PolyglotDuke: Un malware descargador de segunda etapa capaz de utilizar esteganografía y sitios web de Twitter, Reddit e Imgur para obtener ubicaciones de servidores C2.

SeaDuke: Una RAT de segunda fase para el robo de información escrita en Python y compilada para ejecutarse en plataformas basadas en Microsoft Windows, Linux, macOS y Solaris.

El constante historial de APT29 de poner en peligro entidades gubernamentales estadounidenses e infiltrarse en grandes empresas de TI corporativas como SolarWinds demuestra su dedicación y competencia. La defensa de una organización objetivo de APT29 requiere nada menos que un programa de ciberseguridad empresarial completo que utilice las soluciones de seguridad más avanzadas, incluido el filtrado de correo electrónico y contenido web, antivirus avanzados para detectar malware y evitar que penetre en la red de una organización, y detección y respuesta en puntos finales (EDR) o detección y respuesta gestionadas (MDR) para identificar de forma eficaz y eficiente las infecciones de malware y tomar medidas rápidas para reducir su tiempo de permanencia y evitar que afecte a los activos críticos.

Un programa de ciberseguridad eficaz capaz de defenderse de las APT29 también debe diseñarse teniendo en cuenta el principio del mínimo privilegio, la defensa en profundidad, la arquitectura de confianza cero y la autenticación multifactor para segmentar y proteger los activos críticos y reducir el daño potencial que pueden causar los atacantes si consiguen un punto de apoyo inicial.