APT29

APT29, también conocido como Cozybear o The Dukes, es una APT que se ha atribuido al Servicio de Inteligencia Exterior de Rusia (SVR), cuyo principal objetivo es el espionaje. Fue detectado por primera vez en 2008. Debido a los recursos a su alcance y su alta sofisticación ha realizado intrusiones en la mayor parte de sectores, principalmente destacando sus ataques a entidades gubernamentales y militares en todo el mundo. Dado que este grupo se ha atribuido a Rusia, sus ataques nunca contradicen la agenda política de este país.

Debido a su alta madurez y recursos, APT29 desarrolla su propio malware, que adaptan a sus campañas y objetivos específicos. Algunas de sus herramientas más relevantes son MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke y GeminiDuke – todos estos son distintos softwares maliciosos con diversas capacidades, que se diseñaron para cumplir distintos objetivos, como robar información, establecer persistencia o desplegar otros malware entre otras.

El grupo ha manifestado una cierta propensión a realizar campañas de phishing a gran escala, a menudo dirigidas a miles de destinatarios asociados con instituciones gubernamentales y organizaciones no alineadas con Rusia. Esta técnica, el phishing (T1566), es una de las más usadas por el grupo para conseguir acceso al objetivo, estos correos electrónicos suelen contener malware, localizado dentro de archivos adjuntos o enlaces a URL que alojan el malware. Cuando se valen de archivos adjuntos maliciosos, suelen intentar explotar una vulnerabilidad presente en un software que esté instalado en el sistema de la víctima. Cabe destacar que el phishing como medio para ganar acceso inicial continúa siendo una de las técnicas más prevalentes dentro de la táctica de acceso inicial, tanto para las APTs como para las OCGs, actualmente por encima incluso del uso de cuentas válidas comprometidas (T1078).

Algunos de los ataques más relevantes llevados a cabo por el grupo son:

• Intrusión en el gobierno de EE. UU. y del Comité Nacional Demócrata: Este ataque, que se produjo conjuntamente entre APT28 y APT29, es una de las operaciones más destacadas de APT29, que consiguió infiltrarse en el Comité Nacional Demócrata de Estados Unidos (DNC) y fue descubierto en abril de 2016. Consiguiendo el acceso inicial mediante phishing y explotando vulnerabilidades obtuvieron acceso a información confidencial, que luego revelaron públicamente. El objetivo principal de este ataque fue interferir en las elecciones estadounidenses, afectó al proceso electoral y a los candidatos a la presidencia, concretamente inclinando la balanza a favor de Trump y perjudicando a su principal contrincante, Hilary Clinton.
• Compromiso a SolarWinds: En diciembre de 2020 Mandiant descubrió que APT29 había conseguido comprometer un software de SolarWinds conocido como Orion, una herramienta de administración ampliamente utilizada. El grupo insertó código malicioso en las actualizaciones de software de Orion, que luego se distribuyeron a los clientes de SolarWinds a través de los canales oficiales. Esto sirvió como puerta trasera para que el grupo pudiera pasar desapercibido mientras ejecutaba tareas de reconocimiento, recopilaba información y la exfiltraba posteriormente a sus servidores de Comando y Control. Mediante este ataque a la cadena de suministro (Supply chain attack) el grupo consiguió infiltrarse en numerosas corporaciones y agencias gubernamentales de Estados Unidos así como en empresas privadas como Microsoft, Intel o Cisco entre otras.
• Vacuna contra el COVID-19: Diversas agencias gubernamentales, como la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos o el National Cyber Security Centre (NCSC) de Reino Unido, emitieron una advertencia conjunta alertando sobre una operación de espionaje de APT29 que tenía como objetivo robar propiedad intelectual y datos de investigación relacionados con las vacunas contra el COVID-19. De haber resultado exitosa, el estado ruso podría haber desarrollado su propia vacuna con la información exfiltrada.