Spis treści
TogglePrzez ostatnie tygodnie hakerzy z grupy cybernetycznej APT-29 (znanej także jako Cozy Bear) przeprowadzali ataki na różne instytucje, organizacje i firmy. Zdemaskowanie operacji rosyjskiej Służby Wywiadu Zagranicznego (SVR) to wynik międzynarodowej kooperacji. Zagrożenie zostało zneutralizowane, ale służby alarmują, by wszystkie podmioty korzystające z nieaktualnej wersji oprogramowania JetBrains, które było celem, założyły, że Rosjanie uzyskali dostęp do ich systemów. To zresztą nie pierwszy raz, kiedy Cozy Bear zaatakowali. Co o nich wiadomo i jak chronić swoją firmę?
APT-29 – jak atakują rosyjscy hakerzy?
Przytulne misie? Niekoniecznie, ale tak się nazywają. Cozy Bears (znani także jako APt-29) to grupa rosyjskich cyberprzestępców, która jest powiązana z Służbą Wywiadu Zagranicznego (SVR) Putina. Działa co najmniej od 2008 roku, a obecnie jej aktywność stanowi jedno z najpoważniejszych zagrożeń dla sieci rządowych w Europie i krajach członkowskich NATO, przedsiębiorstw oraz instytucji badawczych.
Cozy Bears kojarzeni są głównie z atakami typu spear phishing. Wybierają podmioty z kilku sektorów (administracji, edukacji, technologii), szpiegują je i kradną dane. Wykorzystują do tego luki w zabezpieczeniach oraz narzędzia typu malware.
Operacja Grizzly Steppe 2015/2016
Jednymi z najgłośniejszych incydentów z udziałem rosyjskich hakerów były włamania do systemów Komitetu Narodowego Demokratów (DNC) w Stanach Zjednoczonych kolejno w 2015 i 2016 roku. Na ich skutek ujawniono wiele tajnych dokumentów, co wpłynęło na kampanię prezydencką w USA.
W 2015 roku hakerzy z APT-29, współpracując z APT-28 (Fancy Bear), rozesłali spersonalizowane maile zainfekowane złośliwym oprogramowaniem do ponad 1000 pracowników administracji federalnej. Tak dotarli do sieci i serwerów Partii Demokratycznej.
Kradzież szczepionki na COVID-19 2020
W 2020 r. Zachód oskarżył Cozy Bears o próby kradzieży badań nad szczepionką na koronawirusa. The New York Times nazwał to “otwarciem nowego frontu w ramach ogólnoświatowej rywalizacji o powstrzymanie pandemii”. Amerykańscy urzędnicy dodali, że Rosjanie nie zamierzali sabotować wysiłków innych państw, a jedynie przyspieszyć opracowywanie własnego antidotum.
Ataki na serwery JetBrains TeamCity 2023

Od września 2023 przez kolejne tygodnie Cozy Bears prowadzili globalną kampanię hakerską. Wykorzystywali lukę krytyczną CVE-2023-42793 do podejmowania prób dotarcia do kodu źródłowego twórcy oprogramowania, a w konsekwencji – prowadzenia operacji w łańcuchu dostaw. Z analogicznego dostępu korzystał SVR w 2020 r. do ataków na SolarWinds i jego klientów.
Kampanię hakerską ujawnili: Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL). Eksperci ostrzegli dziesiątki firm a Azji, USA, Europie i Australii. Z ich statystyk wynika, że z niezaktualizowanego oprogramowania JetBrains korzystało mniej niż 2% jego odbiorców.
The #FBI and its partners assess that Russian Foreign Intelligence Service (SVR) cyber actors have been targeting servers hosting JetBrains TeamCity software since September 2023. Click to learn about recommended mitigations for network defenders: https://t.co/teBvDs7nO1 pic.twitter.com/d3a7gfYiAd
— FBI (@FBI) December 13, 2023
Szczegółową analizę i opracowanie techniczne działań APT-29 przeciwko serwerom oprogramowania JetBrains TeamCity zostało udostępnione na rządowej stronie: https://www.gov.pl/attachment/f111510e-f9b6-40e7-b3f0-7cae28c8ff38.

Hakerzy APT-29 – przeciwdziałanie zagrożeniu
Oceny dotyczące aktywności Cozy Bear opierają się na analizie śladów cyfrowych i innych danych dostępnych dla społeczności cyberbezpieczeństwa. Rosyjskie władze zaprzeczają jakiejkolwiek ingerencji w działania tej grupy, ale istnieje szeroka zgoda wśród ekspertów, co do związku Cozy Bear z rządowymi agencjami wywiadowczymi.
Warto przy tym zaznaczyć, że zasięg ich działań może być znacznie większy niż wynika to z dotyczasowych analiz, dlatego w ramach Spy Shop Gold regularnie edukujemy naszych klientów biznesowych z zakresu przeciwdziałania szpiegostwu przemysłowemu oraz atakom typu DDoS. Cześć naszej kadry to wykwalifikowani informatycy, którzy korzystają z najnowszych rozwiązań technologicznych.
Ponadto w naszej ofercie znajdziesz m. in. profesjonalne narzędzia od polskiej instytucji Centrum Bezpieczeństwa, urządzenia szyfrujące, oprogramowania bazujące na silnych algorytmach kryptograficznych oraz telefony z bezpiecznym systemem operacyjnym.
osób kupiło w ciągu ostatnich 48h!

- Szyfrowanie poprzez urządzenia zewnętrzne
- Możliwość szyfrowania za pomocą kodu QR
osób kupiło w ciągu ostatnich 48h!

- Ochrona plików i urządzeń
- Dotykowy wyświetlacz
osób kupiło w ciągu ostatnich 48h!

- zaawansowane szyfrowanie danych
- zmienna sieć VPN
Zostaw odpowiedź