Az APT csoportot, aminek később a Kostovite nevet adták, a Dragos kutatói 2021. márciusában fedezték fel, amikor egy megújuló erőműveket üzemeltető globális vállalat rendszereit vizsgálták. A vizsgálat alapján a Kostovite a Pulse Secure (újabban már Ivanti Connect Secure néven) ismert VPN-megoldás illetve QNAP hálózati storage eszközök 0-day sérülékenységeit kihasználva szerezte az első hozzáféréseket a célba vett rendszerekben. A Kostovite tagjai magas szintű műveleti fegyelemről tettek tanúbizonyságot (a korábbi tapasztalatok, pl. Duqu 2.0 alapján ez katonai vagy titkosszolgálati hátterű csapatra utalhat - ez már az én véleményem, nem a Dragos-é, persze bizonyítékom erre vonatkozóan nincs, inkább csak egy megérzés).

A Kostovite célpontonként egyedi támadói infrastruktúrát szokott használni (így nehezebb egyes, az infrastruktúrára jellemző IoC-k alapján felismerni egy új célpont esetén, hogy már célba vették vagy éppen kompromittálták is az áldozatot). ICS biztonsági szempontból a Kostovite bizonyított (ICS Cyber Kill Chain szerinti) 2. szintű képességekkel rendelkezik és be tudnak hatolni OT hálózatokban és eszközökbe is.

A Kostovite APT-csoportról további részleteket a Dragos weboldalán lehet olvasni: https://www.dragos.com/threat/kostovite/