گروه APT29 که یک گروه تهدید مستمر پیشرفته هستند (APT) که به نام های خرس راحت، دوک راحت و دوکها  معروف اند. آنها یک گروه روسی هستند که اولین بار در سال 2013 توسط Kaspersky  و محققین آزمایشگاه  CrySyS گزارش شدند. قبل از این گزارش فعالیت های خرابکارانه ای مشاهده شده بود ولی هنوز به یکی از این گروه های پیچیده نسبت داده نشده بود. این گروه صاحب بسیاری از بدافزار های پیچیده ی سفارشی شده هستند و باور بر آن است که توسط دولت روسیه حمایت می شوند. گروه APT29 از سال 2008 مشغول به فعالیت های جاسوسی سایبری بوده است و اهداف آن ها عمدتا افراد دولتی و سازمان هایی است که فعالیت ژئوپولیتیک دارند. ولی به طور فراوانی افراد دیگر هم این گروه مورد هدف قرار داده اند.

گروه APT29 یک گروه بسیار پیچیده است که از تکنیک های متنوعی استفاده می کند تا به هدف خود برسد. همانند سایر APT های دیگر APT29 عموما از spear phishing برای آلوده کردن سیستم قربانی ها استفاده می‌کند. APT29 همچنین بدافزار های خود را در قالب برنامه های عادی سالم توزیع می‌کند. ایمیل‌های فیشینگی که این گروه استفاده می‌کنند با استفاده از داده هایی که آنها از منابع معتبر به دست آمده اند طوری طراحی شده اند که به افراد هدف مرتبط باشد. به طور مثال دیده شده است که این گروه مقالات خبری را در قالب سند های word ی که شامل بدافزار هستند به پیوست می فرستادند.

در طول دهه ی گذشته APT29 به عنوان یکی از پیچیده ترین گروه های APT شناخته شده در نظر گرفته می شود. آنها به طور مدام از روش‌های جدید برای توزیع بدافزار استفاده می کنند و زیرساخت های خود را به طور دائمی به روز می کنند. آنها برای عملیات از بدافزار های جدید استفاده می کنند و روش های دور زدن خود را بهبود می دهند.

2008:

اولین فعالیت شناخته شده از این گروه در سال 2008 انجام شد. این گروه تروجانی به نام PinchDuke را منتشر کرد.

2009:

آنها وزارت دفاع گرجستان، وزارت امور خارجه ی ترکیه و اوگاندا، NATO و یک اتاق فکر سیاست خارجی ایالات متحده را مورد هدف قرار دادند. تکنیک اصلی آنها در این حملات spear phishing بود که متن و محتوی ایمیل به ازای هر نفر با توجه به اتفاقات سیاسی منطقه ی آن فرد تغییر می‌یافت. آنها در این حمله از بدافزار GeminiDuke استفاده کردند.

2010:

در این سال این گروه شروع به استفاده از بد افزار CosmicDuke کرد و کشور های آذربایجان، قزاقستان، قرقیزستان و ازبکستان را مورد هدف قرار دادند. آنها در این حملات شروع به استفاده از آسیب پذیری های ارتقای سطح دسترسی کردند و از یک آسیب پذیری در هسته ی ویندوز به نام CVE-2010-0232 برای این منظور استفاده کردند.

2011:

در این سال APT29 شروع به گسترش زیرساخت های خود کرد. آنها به هک سایت های مختلف پرداختند و از آنها برای سرور فرمان و کنترل (c&c) استفاده کردند. همچنین در این سال دو بد افزار CozyDuke  و MiniDuke را ساختند.

در این سال این گروه از تکنیک و ابزار جدیدی استفاده نکرد و به پخش بد افزار های فعلی خود پرداخت.

2013: 

در 2013 این گروه آسیب پذیری روز صفر در Adobe reader به نام CVE-2013-0640 پیدا کردند و از آن برای پخش بد افزار پیچیده ای به نام ItaDuke استفاده کردند. این گروه ایمیل هایی شامل یک pdf آلوده در مورد سمینار حقوق بشر و سیاستهای خارجه ی اوکراین و عضویت در NATO پخش کردند.

2014:

در این سال فرایند تکامل بدافزار های خود را این گروه ادامه داد و بد افزار جدیدی به نام OnoinDuke ساخت. این بد افزار توسط torrent های آلوده پخش شد. همچنین آنها از یک گره ی خروجی TOR آلوده استفاده کردند که بدافزار خود را به شکل یک فایل GIF منتشر کنند. آنها توانستد یک شبکه ی botnet شامل 1400  دستگاه بسازند.

2015:

APT29 بد افزار Hammertoss را ساخت که بدافزار پیچیده ای بود که از سرور های معتبر مثل github، twitter و سرویس های خدمات ابری برای دستور دهی به بدافزار استفاده می کرد.

2016:

در این سال APT28 و APT29 داده های کمیته ملی دموکراتیک ایالات متحده(DNC) را نشت دادند و مشخص شد که APT29 به شبکه ی DNC نفوذ کرده است. این گروه توانست به اطلاعاتی از وزارت امور خارجه و کاخ سفید دسترسی پیدا کند. در این حمله ها APT29 از ایمیل هایی با لینک به یک سایت آلوده استفاده می کرد که باعث دانلود یک RAT می شد. همچنین آنها در حملات خود از سندهای Word و Excel آلوده نیز استفاده می کردند.

2017:

در این سال کشف شد که APT29 از تکنیک Domain fronting استفاده می‌کند. به این ترتیب بدافزار زمان ساخت یک ارتباط با سرور فرمان به سرور google متصل می شد و از دید مخفی می شد.

منبع