Национальный центр кибербезопасности Великобритании (NCSC), при поддержке Агентства национальной безопасности США и канадских спецслужб, предупредил об активных фишинговых атаках русскоязычной хак-группы APT29 (она же Cozy Bear и Dukes), направленных на фармацевтические компании, здравоохранение, НИИ и другие организации, занимающиеся разработкой вакцин против коронавируса.
Согласно заявлению властей, в 2020 году организации в Великобритании, США и Канаде стали мишенями для атак, за которыми стояла данная хак-группа, якобы действующая под эгидой российского правительства. В настоящее время нет никаких доказательств того, что эти кампании имели успех, но NCSC утверждает, что атаки продолжаются до сих пор.
«Мы осуждаем эти отвратительные атаки против тех, кто выполняет жизненно важную работу по борьбе с пандемией коронавируса», — заявил исполнительный директор NCSC Пол Чичестер (Paul Chichester).
Напомню, что Cozy Bear была крайне активна с 2014 по 2017 годы. Тогда хакеров обвиняли во взломе Национального комитета Демократической партии США в преддверии выборов 2016 года, а также в многочисленных атаках на различные правительственные ведомства в Европе и за ее пределами. По мнению многих ИБ-экспертов, данная группа якобы работает с ФСБ и также была причастна к атакам на почтовую систему Белого дома США, Министерство иностранных дел США и Объединенный комитет начальников штабов.
По данным NCSC, теперь APT29 пытается развернуть на машинах своих целей семейства кастомной малвари — WellMess и WellMail, которые могут передавать команды на зараженные устройства. Ранее данное вредоносное ПО не связывали с APT29.
Также сообщается, что группировка может искать уязвимости в продуктах Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510) и Fortigate (CVE-2019-13379), а затем может атаковать их, используя известные эксплоиты, чтобы проникнуть в систему и закрепиться там. NCSC пишет, что APT29 «очень искусна» в использовании уязвимостей.
Специалисты призвали компании и организации лучше защищать свои устройства и сети, не забывать о подготовке сотрудников, чтобы те могли распознать фишинговую атаку, а также ознакомиться с приложенными к заявлению рекомендациями по безопасности.