Aktywność cyberprzestępcza w I kwartale
W pierwszych trzech miesiącach 2019 r. badacze z Kaspersky Lab zaobserwowali aktywne operacje związane z zaawansowanymi zagrożeniami, które skupiały się głównie na Azji Południowo-Wschodniej i w coraz większym stopniu kształtowane były przez geopolitykę. Obejmowały one ataki na kryptowaluty, ataki z użyciem komercyjnego oprogramowania szpiegującego oraz przeprowadzoną na dużą skalę kampanię ataków na łańcuch dostaw.
W pierwszym kwartale 2019 r. badacze z Kaspersky Lab zaobserwowali wiele interesujących, nowych incydentów. Główną kampanią APT, jaka miała miejsce w badanym okresie, była operacja ShadowHammer: zaawansowana kampania ukierunkowana wykorzystująca łańcuch dostaw w celu rozprzestrzeniania infekcji na niewiarygodnie szeroką skalą w połączeniu ze starannie wdrożonymi technikami umożliwiającymi precyzyjne ataki na wybrane ofiary.
Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:
- Geopolityka stanowiła kluczowy czynnik motywujący aktywność cyberprzestępców – często występował wyraźny związek pomiędzy wydarzeniami politycznymi a ukierunkowaną szkodliwą aktywnością.
- Azja Południowo-Wschodnia pozostała najgorętszym regionem na świecie pod względem ataków APT – to tam skupiło się najwięcej ugrupowań, najwięcej aktywności, najwięcej zamieszania.
- W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.
- Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane firmie Kaspersky Lab jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.
- Dobrą passą zdają się cieszyć dostawcy “komercyjnego” szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.
Spojrzenie wstecz na miniony kwartał zawsze wywołuje zadziwienie. Nawet jeśli mamy poczucie, że nie zdarzyło się nic “przełomowego”, odkrywamy krajobraz zagrożeń, w którym można wyróżnić interesujące historie oraz ewolucję na różnych frontach. W pierwszym kwartale krajobraz ten obejmował wyrafinowane ataki na łańcuch dostaw, ataki na entuzjastów kryptowaluty oraz motywy geopolityczne. Mamy świadomość, że nie posiadamy pełnego obrazu i pewnych aktywności jeszcze nie dostrzegamy lub nie rozumiemy, dlatego jeśli jakiś region lub sektor nie znajduje się na naszym radarze, nie znaczy to, że nie pojawi się tam w przyszłości. W związku z tym każdy powinien być zabezpieczony zarówno przed znanymi, jak i nieznanymi zagrożeniami – powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.
Raport dotyczący trendów w zakresie ataków APT w I kwartale stanowi podsumowanie wyników raportów z analizy zagrożeń, które są dostępne wyłącznie dla subskrybentów Kaspersky Lab i obejmują oznaki infekcji (ang. IoC) oraz reguły YARA, przydatne w informatyce śledczej oraz polowaniu na szkodliwe oprogramowanie. Dalsze informacje można uzyskać pod adresem intelreports@kaspersky.com.
Porady bezpieczeństwa
Osobom, które nie chcą paść ofiarą ataku ukierunkowanego, badacze z Kaspersky Lab zalecają następujące działania:
- Zapewnij swojemu zespołowi w centrum operacji bezpieczeństwa dostęp do najnowszych danych analitycznych dotyczących zagrożeń, aby mógł być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez ugrupowania cyberprzestępcze.
- W celu zapewnienia wykrywania na poziomie punktu końcowego jak również badania i niezwłocznego naprawiania szkód w wyniku incydentów, stosuj rozwiązania EDR, np. Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych wdróż rozwiązanie zabezpieczające klasy enterprise, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie, takie jak Kaspersky Anti Targeted Attack Platform.
- Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych form socjotechniki, wprowadź szkolenia zwiększające świadomość oraz ucz praktycznych umiejętności.
Więcej informacji na temat trendów dotyczących ataków APT w I kwartale 2019 r. znajduje się na stronie https://r.kaspersky.pl/MTz45.