Marea Britanie, SUA si Canada au descoperit hackeri care lucreaza in numele statului rus lansand atacuri impotriva proiectelor de dezvoltare a vaccinului coronavirus.

 

Criminalii care lucreaza pentru grupul de hackeri Advanced Persistent Threat 29 (APT29), cunoscut si sub numele de Cozy Bear, au fost prinsi atacand intreprinderile farmaceutice si institutiile academice implicate in dezvoltarea vaccinurilor. Oficialii din cele trei tari considera ca acestea au fost incercari de a fura proprietatea intelectuala si informatii despre potentialii candidati la vaccin.

 

Hackerii au folosit „malware personalizate” care nu au fost anterior legate de Rusia si o serie de vulnerabilitati cunoscute public in software-ul larg utilizat, cum ar fi VPN-urile. Acestea au fost insotite de incercari de tip spear-phishing care au cautat sa adune detalii de autentificare in partile „accesibile pentru internet” ale organizatiilor vizate.

 

Sunt atat de increzatori in atacurile provenite din Rusia, incat Centrul National de Cibersecuritate (NCSC) din Marea Britanie, institutia canadiana de securitate a comunicarii si diverse agentii de securitate din SUA, inclusiv ANS si Departamentul pentru Securitate Interioara, au decis sa acuze public APT29. Blamarea publica este cea mai recenta tactica intr-o abordare din ce in ce mai ostila a hackerilor apartinand grupurilor care lucreaza in numele Rusiei si vine in acelasi timp cu o admitere din partea guvernului britanic ca Rusia a incercat sa influenteze alegerile generale din 2019.

 

Se considera ca APT29 este legat in mare masura de serviciile de informatii ruse si a fost implicat intr-un numar mare de ciberatacuri in ultimii ani, inclusiv hackingul Comitetului National Democrat inainte de alegerile prezidentiale din 2016 din SUA. In atacurile asupra SUA, APT29 a lucrat alaturi de colegii hackeri rusi Fancy Bear si APT28.

 

“Condamnam aceste atacuri dispretuitoare impotriva celor care lucreaza vital pentru combaterea pandemiei coronavirusului”, a declarat directorul de operatiuni al CNSC, Paul Chichester. De asemenea, NCSC a publicat un aviz consultativ care detaliaza eforturile pe care le-a vazut de la APT29 in atacurile sale asupra dezvoltarii vaccinurilor. Oficialii nu au comentat daca atacurile au avut succes, dar nu au exclus ca acesta ar fi cazul.

 

Recomandarile emise de grupurile de cibersecuritate sugereaza faptul ca exista un anumit succes – chiar daca aceasta este doar identificarea elementelor potentiale ale organizatiilor care sunt vulnerabile la atac. „In atacurile recente care vizeaza cercetarea si dezvoltarea vaccinului Covid-19, grupul a efectuat o scanare de vulnerabilitate de baza impotriva adreselor IP externe specifice detinute de organizatii”, precizeaza ghidul NCSC. „Grupul a implementat apoi exploatari publice impotriva serviciilor vulnerabile identificate.”

 

NCSC afirma, de asemenea, ca APT29 a avut „succes” in utilizarea vulnerabilitatilor cunoscute public pentru a “obtine acces” in universitatile si intreprinderile pe care le-a atacat. Avizul listeaza o serie de vulnerabilitati bine cunoscute de care APT29 pare sa profite. Acestea includ defectele din sistemele Citrix si retelele VPN. Se crede ca, odata ce informatiile despre vulnerabilitati au fost dezvaluite public, actorii sustinuti de stat au incercat rapid sa le exploateze in incercarea de a ataca inainte ca expertii in securitate sa poata implementa solutii.

 

„Dupa accesul la un sistem, grupul renunta probabil la instrumentarea suplimentara si / sau incearca sa obtina credentiale legitime pentru sistemele compromise pentru a mentine accesul persistent”, precizeaza NCSC in anuntul sau de avertisment. “Este probabil ca atacatorii sa utilizeze servicii de anonimizare atunci cand folosesc acreditarile furate.”

 

In unele dintre incidentele observate de NCSC si de omologii sai din SUA si Canada, APT29 a implementat programe malware personalizate. Ei cred ca acesta este programul malware WellMess si o noua versiune, numita WellMail. Programul malware functioneaza inca din 2018, spune NCSC. „WellMess este un malware usor conceput pentru a executa comenzi arbitrare shell, incarca si descarca fisiere. Programul malware accepta metodele de comunicare HTTP, TLS si DNS “, spun expertii in securitate cibernetica.

 

Nu este prima data in timpul pandemiei cand hackerii au cautat sa profite de criza de sanatate in curs. A existat o crestere a atacurilor impotriva intreprinderilor, deoarece angajatii s-au mutat de la domiciliu, fiind vizate si spitale si alte organizatii medicale.

 

Atacurile APT29 impotriva grupurilor de vaccinuri continua, spune NCSC. Concluzioneaza : „APT29 este probabil sa continue sa vizeze organizatiile implicate in cercetarea si dezvoltarea vaccinului COVID-19, deoarece incearca sa raspunda la intrebari suplimentare referitoare la pandemie.”