Η κυβέρνηση του Ηνωμένου Βασιλείου ισχυρίζεται ότι οι Ρώσοι χάκερ προσπάθησαν να κλέψουν την έρευνα εμβολίων COVID-19
Η πανδημία του κορανοϊού είναι πολύ μακριά Αν και πολλές χώρες χαλαρώνουν τους περιορισμούς, ο αριθμός των περιπτώσεων συνεχίζει να αυξάνεται και οι άνθρωποι συνεχίζουν να πεθαίνουν κάθε μέρα. Είναι σαφές ότι η μόνη λύση είναι ο μαζικός εμβολιασμός του πληθυσμού, ο οποίος είναι προφανώς πολύ δύσκολος λαμβάνοντας υπόψη το γεγονός ότι ένα εμβόλιο δεν έχει επινοηθεί ακόμη.
Όσο πιο γρήγορα το έχουμε, τόσο περισσότερες ζωές θα σωθούν και θα σκεφτόσασταν ότι, λαμβάνοντας υπόψη όλα αυτά, τα πιο ισχυρά έθνη του κόσμου θα συγκεντρώσουν τους πιο έξυπνους ειδικούς τους και θα τους κάνουν να δουλέψουν ομαδικά, έτσι ώστε να μπορούμε να εργαστούμε εμβόλιο όσο το δυνατόν γρηγορότερα. Θα κάνατε λάθος.
Όταν μιλούσε για την ανάπτυξη ενός εμβολίου για το νέο κοροναϊό, ο John Demers, βοηθός γενικός εισαγγελέας για την εθνική ασφάλεια των ΗΠΑ, είπε ότι όποιος δημιουργήσει το εμβόλιο θα έχει μια «σημαντική ιστορία γεωπολιτικής επιτυχίας». Με άλλα λόγια, υπονοούσε ότι πρόκειται για διαγωνισμό και το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC) εκτιμά ότι ορισμένοι από τους ανταγωνιστές παίζουν βρώμικο.
Table of Contents
Το Ηνωμένο Βασίλειο, οι ΗΠΑ και ο Καναδάς: Οι Ρώσοι επιτίθενται σε οργανισμούς που εργάζονται σε εμβόλιο κοροναϊού
Χθες, η NCSC δημοσίευσε μια έκθεση που υποστηρίχθηκε επίσης από το Καναδικό Ίδρυμα Ασφάλειας (ΧΑΚ), το Υπουργείο Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών για την Ασφάλεια Υποδομής Ασφάλειας στον κυβερνοχώρο (DHS CISA) και τον Οργανισμό Εθνικής Ασφάλειας των ΗΠΑ (NSA). Λέει ότι μια ομάδα χάκερ γνωστών ως APT29, Cozy Bear ή The Dukes στοχεύει οργανισμούς υγειονομικής περίθαλψης που εργάζονται για ένα εμβόλιο COVID-19 στον Καναδά, τις ΗΠΑ και το Ηνωμένο Βασίλειο.
Θεωρείται γνωστό ότι το APT 29 υποστηρίζεται από τη ρωσική κυβέρνηση και με την έκθεση, το Ηνωμένο Βασίλειο, οι ΗΠΑ και ο Καναδάς κατηγορούν το Κρεμλίνο ότι προσπαθούν να κλέψουν δεδομένα σχετικά με την έρευνα και την ανάπτυξη ενός εμβολίου COVID-19.
Το APT29 είναι τόσο τρομερό όσο ποτέ
Η έκθεση δεν αναφέρει καμία από τις στοχευμένες οργανώσεις, αλλά λέει ότι οι επιθέσεις ξεκίνησαν στις αρχές του 2020 και συνεχίζονται μέχρι σήμερα. Το NCSC έχει επίσης συγκεντρώσει μια αρκετά λεπτομερή εξήγηση για το πώς οι χάκερ APT29 σχεδιάζουν και εκτελούν τις επιθέσεις τους.
Όπως και πολλά άλλα συνεργεία πειρατείας, το APT29 εκτελεί τακτικές σαρώσεις και συγκεντρώνει πληροφορίες σε ευάλωτα δίκτυα που αντιμετωπίζουν το Διαδίκτυο. Οι χάκερ δεν στοχεύουν σε όλα τα συστήματα που βρίσκουν, αλλά πιθανότατα τηρούν αρχείο τους έτσι ώστε να μπορούν να τα χακάρουν αν προκύψει ανάγκη.
Πιθανότατα, έτσι ξεχώρισαν τα IP που πρέπει να επιτεθούν όταν τους ζητήθηκε να συλλέξουν πληροφορίες σχετικά με το πόσο μακριά έχει προχωρήσει η Δύση στην ανάπτυξη του εμβολίου COVID-19.
Ως επί το πλείστον, οι στόχοι διακυβεύονται χρησιμοποιώντας μια λίστα γνωστών τρωτών σημείων σε προϊόντα από τα Citrix, FortiGate, Pulse Secure, Zimbra κ.λπ., αν και η έκθεση αναφέρει επίσης ότι σε ορισμένες περιπτώσεις, οι χάκερ συλλέγουν διαπιστευτήρια σύνδεσης χρησιμοποιώντας εξελιγμένο spear-phishing επιθέσεις. Μόλις μέσα στο δίκτυο, το APT29 χρησιμοποιεί διαφορετικές μεθόδους για να επιτύχει την επιμονή και αναπτύσσει μερικά στελέχη κακόβουλου λογισμικού που ονομάζονται WellMess και WellMail.
Τα όπλα επιλογής του APT29
Το WellMess είναι το παλαιότερο από τις δύο οικογένειες κακόβουλου λογισμικού. Εμφανίστηκε το 2018, αλλά είναι η πρώτη φορά που κάποιος το συσχετίζει με το APT29. Ονομάστηκε από μία από τις λειτουργίες του κώδικα και πρωταρχικός σκοπός της είναι η εκτέλεση εντολών κελύφους και η λήψη και μεταφόρτωση δεδομένων.
Το WellMail είναι μια οικογένεια κακόβουλου λογισμικού που δεν είχε προηγουμένως έγγραφα και εκτελεί εντολές στον μολυσμένο υπολογιστή και στέλνει τα αποτελέσματα πίσω στον διακομιστή Command and Control (C&C). Το όνομά του προέρχεται από την επαναλαμβανόμενη χρήση της λέξης "mail" στον κώδικα, καθώς και το γεγονός ότι χρησιμοποιεί τη θύρα διακομιστή 25 για να επικοινωνήσει με τους C&C.
Ρωσία: Δεν έχουμε κάνει τίποτα
Το NCSC φαίνεται να είναι πεπεισμένο ότι το APT29 είναι υπεύθυνο για την επίθεση και πρέπει να ειπωθεί ότι εάν δεν ήταν σίγουρο για τους ισχυρισμούς του, μάλλον δεν θα το έβαλε σε μια δημόσια διαθέσιμη έκθεση.
Ωστόσο, η Ρωσία δεν είναι πρόθυμη να αποδεχθεί την ευθύνη. Σύμφωνα με το BBC, εκπρόσωπος του Προέδρου Βλαντιμίρ Πούτιν αρνήθηκε οποιαδήποτε σχέση μεταξύ της Ρωσίας και των επιθέσεων σε οργανισμούς ανάπτυξης εμβολίων. Και πάλι, οι υπερδυνάμεις του κόσμου σπάνια παραδέχονται ότι χρησιμοποιούν εξελιγμένες ομάδες πειρατείας για να κατασκοπεύουν άλλες χώρες, οπότε αυτή η δήλωση θα πρέπει πιθανώς να ληφθεί με δόση σκεπτικισμού.
Σε κάθε περίπτωση, εάν αυτό που λέει το NCSC είναι αλήθεια, μερικοί από τους πιο ικανούς χάκερς στον κόσμο επιτίθενται στα ιδρύματα που είναι υπεύθυνα για τη δημιουργία εμβολίου που θα σώσει χιλιάδες ζωές. Ας ελπίσουμε ότι οι επιθέσεις δεν διαταράσσουν πάρα πολύ τη δουλειά τους.
