Zaawansowane zagrożenia IT w I kwartale 2018 r.: Azja i Bliski Wschód siedliskiem nowych cyberataków
W ciągu trzech pierwszych miesięcy bieżącego roku badacze z Kaspersky Lab wykryli wzmożoną aktywność zaawansowanych cyberataków (APT) zlokalizowanych w Azji – ponad 30% raportów z pierwszego kwartału dotyczyło kampanii cyberprzestępczych z tego regionu. Na bliskim Wschodzie zaobserwowano także szereg nowych technik wykorzystywanych w szkodliwych działaniach.
W pierwszym kwartale 2018 r. badacze z Kaspersky Lab wykrywali i analizowali działania zaawansowanych grup cyberprzestępczych posługujących się wieloma językami, m.in. rosyjskim, chińskim, angielskim oraz koreańskim. Mimo że niektóre dobrze znane cybergangi nie wykazały istotnej aktywności, w Azji pojawił się szereg nowych graczy i operacji APT. Wzrost ten można częściowo tłumaczyć atakami szkodliwego oprogramowania Olympic Destroyer, wycelowanego w Zimowe Igrzyska Olimpijskie 2018 w Pjongczangu.
Najważniejsze informacje z raportu Kaspersky Lab poświęconego ewolucji ataków APT w I kwartale 2018 r.
- Ciągły wzrost chińskojęzycznej działalności cyberprzestępczej, łącznie z atakami ShaggyPanther wycelowanymi głównie w jednostki rządowe na Tajwanie i w Malezji oraz aktywnością grupy CardinalLizard, która w tym roku intensywniej interesuje się Malezją obok swoich dotychczasowych działań w takich krajach jak Filipiny, Rosja i Mongolia.
- Aktywność APT w Południowej Azji. Jednostki wojskowe w Pakistanie były atakowane przez nowo odkrytą cybergrupę Sidewinder.
- Operacja APT IronHusky zaprzestała atakowania rosyjskich organizacji wojskowych i skierowała swoje działania na cele w Mongolii. Pod koniec stycznia 2018 r. ten chińskojęzyczny cybergang aktywował kampanię wycelowaną w mongolskie organizacje rządowe.
- Półwysep Koreański pozostaje popularnym celem. Operacja APT Kimsuky, ukierunkowana na ataki na południowokoreańskie organizacje naukowe i działania polityczne, rozbudowała swój arsenał o całkowicie nowe systemy zaprojektowane z myślą o cyberszpiegostwie i prowadziła intensywną kampanię phishingową. Ponadto podgrupa niesławnego gangu Lazarus – Bluenoroff – zajęła się nowymi celami, łącznie z firmami związanymi z kryptowalutą oraz terminalami obsługującymi płatności kartowe (PoS).
Badacze z Kaspersky Lab wykryli także wzrost szkodliwej aktywności na Bliskim Wschodzie. Na przykład cybergang StrongPity uruchomił szereg nowych ataków typu man-in-the-middle (MITM) na sieci dostawców usług internetowych (ISP). Inna doświadczona grupa – Desert Falcons – wznowiła aktywność mającą na celu atakowanie urządzeń z systemem Android przy użyciu szkodliwego oprogramowania, które było już wykorzystywane w 2014 r.
Kaspersky Lab zidentyfikował również kilka cybergangów rutynowo atakujących w swoich kampaniach routery i inny sprzęt sieciowy, unowocześniając techniki stosowane dawniej przez takie grupy jak Regin czy CloudAtlas. Według ekspertów z Kaspersky Lab routery pozostaną atrakcyjnym celem dla cyberprzestępców, ponieważ pozwalają agresorom na szybkie zagnieżdżenie się w sieci ofiary.
W ciągu trzech pierwszych miesięcy roku zaobserwowaliśmy szereg nowych cybergrup o różnym poziomie zaawansowania, które w większości przypadków stosowały dość powszechne i łatwo dostępne szkodliwe narzędzia. Jednocześnie nie odnotowaliśmy istotnej aktywności w przypadku kilku dobrze znanych gangów. Uważamy, że ma to związek z konstruowaniem nowej strategii i narzędzi na rzecz przyszłych ataków – powiedział Vicente Diaz, główny badacza ds. cyberbezpieczeństwa, Kaspersky Lab.
Raport podsumowujący ewolucję ataków APT w I kwartale 2018 r. znajduje się na stronie https://r.kaspersky.pl/qsrkg. W omawianym okresie badacze z Kaspersky Lab przygotowali łącznie 27 rozbudowanych raportów prywatnych dla subskrybentów usługi Kaspersky Cybersecurity Services. Raporty te obejmują wskaźniki infekcji (IOC) oraz reguły YARA wspomagające zespoły ds. cyberbezpieczeństwa w firmach w analizie i aktywnym wyszukiwaniu szkodliwego oprogramowania.
