CYBERSECURITY, CYBER THREAT INTELLIGENCE

APT29: focus su un avversario state-sponsored russo

18 Mar

Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale.

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.

In questo articolo presentiamo un profilo di APT29, conosciuto anche come The Dukes e CozyBear, uno dei maggiori avversari state-sponsored russi.

APT29: di che si tratta?

APT29, noto anche coi nomi The Dukes, CozyBear, Dark Halo e NOBELIUM, è attivo almeno dal 2008 e svolge attività di Computer Network Exploitation con l’obiettivo di raccogliere intelligence a supporto delle politiche estere e di sicurezza di Mosca. Gli analisti lo hanno associato all’SVR (Služba vnešnej razvedki), il Servizio informazioni estero russo.

La sua vittimologia comprende realtà a livello globale, ma i suoi principali obiettivi sono i governi occidentali e le organizzazioni ad essi collegate. Inoltre, ha preso di mira entità dell’area ex-sovietica, come organizzazioni legate all’estremismo ceceno.

Campagne globali, tra supply chain e social engineering

Fra le operazioni più rilevanti associate in passato al gruppo, l’attacco supply chain basato sull’exploit di vulnerabilità nel framework SolarWinds Orion ha colpito numerose organizzazioni di alto livello negli USA.

Le agenzie di intelligence americane, polacche e britanniche hanno segnalato che, da settembre 2023, APT29 ha iniziato a sfruttare su larga scala, e probabilmente in modo opportunistico, la CVE-2023-42793 di TeamCity, un popolare server CI/CD di JetBrains utilizzato da sviluppatori di software e aziende IT.

Fra le vittime di questi attacchi si segnalano realtà del settore manufatturiero e hosting provider negli Stati Uniti, in Europa, Asia e Australia.

In una campagna dello scorso anno, ha adottato una particolare tecnica di social engineering. Nel dettaglio, ha utilizzato tenant Microsoft 365 compromessi appartenenti a piccole imprese per inviare messaggi di phishing via Microsoft Teams. L’obiettivo sembra sia stato l’esfiltrazione di informazioni sensibili riguardanti i settori tecnologico, manifatturiero, dei media e delle ONG.

Una vasta operazione di APT29 nell’ambito del conflitto cyber con l’Ucraina

Negli ultimi mesi, APT29 è stato associato a diverse campagne riconducibili al conflitto fra Russia ed Ucraina.

Una in particolare, descritta lo scorso novembre dal National Cyber Security Coordination Center ucraino, è stata presumibilmente finalizzata alla raccolta di informazioni sulle attività strategiche dell’Azerbaigian e ha coinvolto ambasciate, organizzazioni internazionali e provider di servizi internet di diverse nazioni, tra cui Italia, Azerbaigian, Grecia e Romania, oltre ad alcune grandi organizzazioni internazionali come UNICEF, UNHCR e la Banca Mondiale.

L’offensiva è iniziata con e-mail di phishing che utilizzavano come esca l’annuncio di vendita di una BMW (tattica già utilizzata per colpire ambasciate a Kiev). Ai messaggi era allegato un archivio RAR che sfrutta la vulnerabilità CVE-2023-38831, di tipo File Extension Spoofing, la quale consente di eseguire codice malevolo sui sistemi target.

Le ultime vittime eccellenti di APT29: Microsoft e HPE

APT29 è stato recentemente indicato come il responsabile di compromissioni avvenute contro Microsoft e Hewlett Packard Enterprise (HPE).

Nel caso di Microsoft, l’attacco sarebbe stato avviato a novembre 2023 e ha portato gli avversari ad accedere ad alcuni account di posta elettronica aziendali, compresi quelli di membri del senior leadership team e di dipendenti dei team di cybersecurity.

L’accesso ai sistemi di HPE, invece, risalirebbe a maggio 2023 e avrebbe consentito l’esfiltrazione di dati da caselle e-mail aziendali appartenenti a individui afferenti ad alcuni segmenti, fra cui quelli di cybersecurity, go-to-market e altri business. Gli analisti ritengono che l’incidente sia legato a una precedente violazione di HPE.

Il colosso di Redmond ha individuato altre vittime, di cui non è stato rivelato il nome, e più di recente ha riscontrato evidenze del fatto che l’avversario sta utilizzando le informazioni già esfiltrate dai sistemi di posta elettronica aziendali per ottenere, o tentare di ottenere, ulteriori accessi non autorizzati.

Telsy e TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

I servizi di TS-WAY

TS-Intelligence

TS-Intelligence è una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui servizi di TS-WAY.