Cyber espionage group APT29, known to be associated with Russia’s Foreign Intelligence Service, has extended its reach beyond government entities and research institutions. This group is now targeting sectors such as aviation, education, and law enforcement. Utilizing techniques like password spraying and „MFA bombing,“ APT29 is exploiting vulnerabilities in cloud services to gain unauthorized access to organizations’ systems. To remain undetected, SVR hackers are employing dormant accounts and residential proxies. Aware of these threats, experts urge organizations to implement multi-factor authentication, remove unused accounts, and actively monitor for any suspicious activity. Given that cloud security entails shared responsibility, it is essential for organizations to ensure proper configuration of resources and the implementation of robust access management measures. Moreover, effective defense against such sophisticated cyber threats necessitates collaboration and the sharing of intelligence among concerned parties.
APT29 je proširio svoje mete
Cyber špijun grupa poznata kao APT29, koja je povezana sa Ruskom obavještajnom službom, širi svoje mete napada. Ova grupa je fokusirana na špijuniranje i prisluškivanje ciljanih organizacija putem internet mreže. APT29 je dugo vremena ciljao vlade i istraživačke institucije, ali sada se njihove mete proširuju na nove sektore, uključujući avijaciju, obrazovanje i policijske snage. Ovaj razvoj predstavlja ozbiljnu prijetnju za organizacije u ovim sektorima i zahtijeva snažne mjere zaštite.
Cyber špijun grupa APT29
APT29, poznata i kao The Dukes ili Cozy Bear, je jedna od najnaprednijih cyber špijun grupa koja je uključena u korumpiranje i prisluškivanje ciljanih organizacija. Grupa je povezana sa Ruskom obavještajnom službom, poznatom i kao FSB, i operiše u njihovom interesu. APT29 je poznata po svom visokom nivou vještina i sredstava, kao i po dugotrajnim napadima na ciljane organizacije.
Ciljevi grupe APT29
Grupe APT29 su tradicionalno ciljane na vlade i istraživačke institucije širom svijeta. Međutim, nedavno su proširili svoje mete, fokusirajući se na nove sektore. Oni sada targetiraju organizacije u avijaciji, obrazovanju, policijskim snagama i drugim sektorima. Ova nova meta ukazuje na to da APT29 ima šire ciljeve, te da želi pristupiti informacijama i podacima iz raznih sektora.
Metode napada grupe APT29
APT29 koristi razne sofisticirane metode napada kako bi provalili u sisteme ciljanih organizacija. Ove metode su stalno evoluiraju kako bi izbjegle otkrivanje, a skupljene informacije koriste se u korist ruskih obavještajnih službi.
Eksploatacija slabosti cloud usluga
Jedna od ključnih metoda napada grupe APT29 je eksploatacija slabosti cloud usluga. Grupa iskorištava nesavršenosti u konfiguraciji i upravljanju cloud resursima kako bi dobila neautorizirani pristup sistemu i podacima organizacija. Ova metoda omogućava grupi pristup značajnim količinama podataka koji se čuvaju u cloudu i koji mogu biti od velike vrijednosti za napadače.
Korištenje tehnika poput password spraying i MFA bombing
APT29 koristi napredne tehnike poput password spraying i „MFA bombing“ kako bi zaobišli sigurnosne mjere i došli do ciljanih sistema. Password spraying je tehnika u kojoj napadač koristi mali broj često korištenih lozinki kako bi pokušao pristupiti velikom broju naloga. „MFA bombing“ je tehnika u kojoj se koristi velik broj neuspjelih pokušaja prijave sa više faktor autentifikacije kako bi se sistem preplavio i omogućio napadaču pristup.
Korištenje dormantnih računa i rezidencijalnih proxyja
APT29 također koristi dormantne račune i rezidencijalne proxyje kako bi ostao neotkriven prilikom napada. Dormantni računi su neaktivni ili zanemareni računi za koje se ne koristi pristup određeno vrijeme. Grupa koristi ove račune kako bi prikrila svoju aktivnost i otežala otkrivanje. Također, rezidencijalni proxyji se koriste kako bi se sakrila stvarna IP adresa napadača i stvorila privid anonimnosti.
Nova meta grupe APT29: avijacija
Grupa APT29 nedavno je proširila svoje mete napada na sektor avijacije. Ovaj sektor ima mnogo osjetljivih informacija kao što su vazduhoplovni sistemi, planovi letova i putnički podaci. Napadi na ove sisteme mogu imati ozbiljne posljedice i ugroziti sigurnost letova i putnika. APT29 ima pristup naprednim alatima i tehnikama koje mogu iskoristiti slabosti u sigurnosti avioindustrije i osigurati pristup osjetljivim podacima.
Nova meta grupe APT29: obrazovanje
Osim avijacije, grupa APT29 također je proširila svoje ciljeve na sektor obrazovanja. Obrazovne institucije često čuvaju velike količine podataka o studentima, osoblju i istraživanjima. Ove informacije mogu biti vrlo vrijedne za napadače koji žele pristupiti novim istraživačkim rezultatima ili ličnim podacima studenata. Grupa APT29 može iskoristiti slabosti u sigurnosti obrazovnih institucija kako bi pristupila ovim informacijama.
Nova meta grupe APT29: policijske snage
Policijske snage su također postale nova meta napada grupe APT29. Ove organizacije često čuvaju osjetljive informacije kao što su istrage, evidencije i interne komunikacije. Kompromitacija sistema policijskih snaga može imati ozbiljne posljedice, uključujući otkrivanje istraga, ispuštanje povjerljivih informacija i smanjenje povjerenja u sigurnost policije. APT29 je usmjerio svoje napade prema slabostima u sigurnosti policijskih sistema kako bi dobio pristup ovim osjetljivim informacijama.
Drugi sektori koji su meta grupe APT29
Osim avijacije, obrazovanja i policijskih snaga, grupa APT29 je i dalje fokusirana na vlade i istraživačke institucije širom svijeta. Ove organizacije sadrže obimne i vrijedne informacije koje mogu biti meta napada. Kompromitacija sistema u ovim sektorima može imati ozbiljne posljedice, uključujući krađu vjerovanih informacija, špijunažu i uticaj na političke procese.
Preporuke za zaštitu od napada grupe APT29
S obzirom na sve veću prijetnju koju APT29 predstavlja, organizacije moraju preduzeti odgovarajuće mjere zaštite kako bi se zaštitile od ovih napada. Evo nekoliko ključnih preporuka:
Implementacija multi-faktor autentifikacije
Jedan od najefikasnijih načina zaštite od napada je implementacija multi-faktor autentifikacije. Ova tehnologija zahtijeva dodatni nivo provjere identiteta prilikom prijave na sistem, što dodatno otežava napadačima da dobiju neautorizirani pristup. Organizacije bi trebale razmotriti implementaciju ove tehnologije kako bi zaštitile svoje sisteme i podatke.
Uklanjanje dormantnih računa
Dormantni računi često predstavljaju sigurnosni rizik jer mogu biti zloupotrijebljeni od strane napadača. Organizacije bi trebale redovito pregledavati svoje korisničke račune i ukloniti bilo koje račune koji se ne koriste ili su neaktivni. Ovo će smanjiti površinu napada i smanjiti rizik od kompromitacije sistema.
Monitoring sumnjive aktivnosti
Kao dodatnu mjeru zaštite, organizacije bi trebale implementirati sustave za monitoring sumnjive aktivnosti. Ovi sistemi omogućavaju identifikaciju nepravilnosti i upozorenja na potencijalni napad. Pravovremeno otkrivanje napada može značajno smanjiti štetu koju može nanijeti grupa APT29.
Cloud sigurnost
Budući da APT29 koristi eksploataciju slabosti cloud usluga kao jednu od svojih ključnih metoda napada, organizacije moraju posvetiti posebnu pažnju sigurnosti u cloud okruženju.
Podjeljena odgovornost za sigurnost
Važno je shvatiti da sigurnost u cloud okruženju zahtijeva podjeljenu odgovornost između cloud provajdera i organizacija klijenata. Cloud provajder je odgovoran za sigurnost infrastrukture i fizičke sigurnosti podatkovnih centara. Međutim, organizacije klijenti su odgovorne za sigurnost svojih podataka i aplikacija koje se nalaze u cloudu. To znači da organizacije moraju pravilno konfigurirati svoje cloud resurse i primijeniti odgovarajuće sigurnosne mjere.
Ispravna konfiguracija resursa i implementacija upravljanja pristupom
Jedan od ključnih faktora za sigurnost u cloud okruženju je ispravna konfiguracija resursa. Organizacije bi trebale osigurati da su svi njihovi cloud resursi pravilno konfigurirani i zaštićeni. To uključuje provjeru i ažuriranje sigurnosnih postavki, izolaciju i enkripciju podataka, kao i korištenje pouzdanih identifikatora pristupa. Također je važno implementirati dobro upravljanje pristupom, kako bi se osiguralo da samo ovlašteni korisnici imaju pristup podacima i resursima.
Važnost saradnje i dijeljenja obavještajnih podataka
Napadi grupa poput APT29 predstavljaju složene i sofisticirane prijetnje koje pojedinačne organizacije teško mogu riješiti same. Stoga je ključna važnost saradnje i dijeljenja obavještajnih podataka između organizacija, vlada, istraživača i sigurnosnih provajdera.
Samo kroz zajedničke napore možemo poboljšati naše razumijevanje i odgovor na ovakve prijetnje. Jačanje saradnje i dijeljenje obavještajnih podataka omogućava bolje prepoznavanje karakteristika napada, identificiranje novih metoda i tehnika napada i razvijanje efikasnijih mjera zaštite.
Zaključak
Grupa APT29 predstavlja ozbiljnu prijetnju organizacijama širom svijeta. Eksploatacija slabosti cloud usluga, korištenje naprednih tehnika napada i širenje meta, čine ove napade izuzetno opasnim. Organizacije moraju preduzeti mjere zaštite kako bi minimizirale rizik od napada. Implementacija multi-faktor autentifikacije, uklanjanje dormantnih računa i monitoring sumnjive aktivnosti mogu pomoći u sprječavanju napada. Osim toga, cloud sigurnost, konfiguracija resursa i dijeljenje obavještajnih podataka također igraju ključnu ulogu u zaštiti od ovih prijetnji. Sve organizacije i relevantne strane trebaju surađivati i dijeliti obavještajne podatke kako bi se bolje suočili sa sve složenijim i sofisticiranijim cyber prijetnjama.
