Zaawansowane cybergangi coraz częściej wykorzystują luki w zabezpieczeniach
Eksperci z firmy Kaspersky podsumowali ewolucję zaawansowanych cyberataków w I kwartale 2021 r. W ostatnich trzech miesiącach największe fale aktywności APT napędzane były atakami na łańcuch dostaw oraz lukami dnia zerowego. W wyniku złamania zabezpieczeń w oprogramowaniu Orion firmy SolarWinds służącym do monitorowania infrastruktur IT w ponad 18 000 sieciach klientów zainstalowany został niestandardowy trojan dający zdalny dostęp, z kolei luka w zabezpieczeniach Microsoft Exchange Server spowodowała nowe kampanie ataków w Europie, Rosji oraz Stanach Zjednoczonych.
Zaawansowani cyberprzestępcy nieustannie zmieniają swoje taktyki i udoskonalają narzędzia. Aby użytkownicy oraz organizacje wiedzieli, na jakie zagrożenia są narażeni, Globalny Zespół ds. Badań i Analiz firmy Kaspersky (GReAT) tworzy kwartalne raporty dotyczące najistotniejszych trendów w krajobrazie zaawansowanych długotrwałych zagrożeń (APT). W ostatnim raporcie eksperci zwrócili uwagę na dwie główne fale aktywności.
Pierwsza z nich spowodowana była złamaniem zabezpieczeń w oprogramowaniu Orion firmy SolarWinds służącym do monitorowania infrastruktur IT. Umożliwiło to zainstalowanie niestandardowego backdoora o nazwie Sunburst w sieciach ponad 18 000 klientów. Wśród nich znajdowały się duże korporacje oraz organy rządowe w Ameryce Północnej, Europie, na Bliskim Wschodzie oraz w Azji.
Drugą falę aktywności zapoczątkowały załatane już luki dnia zerowego w rozwiązaniu Microsoft Exchange Server. Na początku marca luki te wykorzystało nowe ugrupowanie APT o nazwie HAFNIUM w celu przeprowadzenia serii ataków. W pierwszym tygodniu marca cel ataków stanowiło około 1 400 unikatowych serwerów, większość w Europie i Stanach Zjednoczonych. Biorąc pod uwagę, że niektóre serwery były atakowane kilkukrotnie, wydaje się, że luki te są obecnie wykorzystywane przez różne ugrupowania. W połowie marca badacze z firmy Kaspersky zidentyfikowali kolejną kampanię wykorzystującą te same exploity w Rosji. Wykazywała ona pewne powiązania z HAFNIUM, jak również z nieznanymi wcześniej działaniami atakujących badanych przez firmę Kaspersky.
Odnotowano ponadto nową aktywność, za którą odpowiadało niesławne ugrupowanie APT o nazwie Lazarus – również z wykorzystaniem luki dnia zerowego. Tym razem cybergang zastosował socjotechnikę, aby nakłonić badaczy bezpieczeństwa do pobrania zainfekowanego pliku projektu Visual Studio lub zwabić ofiary na swojego bloga, po to by instalować program wykorzystujący luki w przeglądarce Chrome. Przynęty często dotyczyły luk dnia zerowego i wydaje się, że celem ataku była kradzież badań dotyczących błędów w zabezpieczeniach. Pierwsza fala miała miejsce w styczniu, druga w marcu. Aby skutecznie “nabrać” ofiary, połączono to z nową falą fałszywych profili na mediach społecznościowych oraz fałszywą firmą.
Po dokładniejszej analizie badacze z firmy Kaspersky zauważyli, że wykorzystany w kampanii szkodnik pasuje do ThreatNeedle, backdoora stworzonego przez ugrupowanie Lazarus, który ostatnio został zauważony w atakach na branżę obronną w połowie 2020 r.
W innej, określanej jako TurtlePower, interesującej kampanii wykorzystującej luki dnia zerowego, która jest prawdopodobnie powiązana z ugrupowaniem BitterAPT, atakowane były podmioty rządowe oraz z branży telekomunikacyjnej w Pakistanie i Chinach. Odpowiedzialny za tę załataną już lukę w zabezpieczeniach wydaje się być “Moses” – broker, który w ciągu dwóch ostatnich lat stworzył co najmniej pięć programów partnerskich wykorzystujących luki w zabezpieczeniach, z czego niektóre zostały wykorzystane zarówno przez ugrupowanie BitterAPT, jak i DarkHotel.
Miniony kwartał pokazał nam, jak destrukcyjne mogą być skuteczne ataki na łańcuch dostaw. Prawdopodobnie minie kolejnych kilka miesięcy, zanim w pełni zrozumiemy pełną skalę ataku na SolarWinds. Dobra wiadomość jest taka, że cała społeczność związana z bezpieczeństwem mówi teraz o tego rodzaju atakach oraz o metodach obrony. Pierwsze trzy miesiące przypomniały nam również, jak ważne jest, aby jak najszybciej instalować poprawki bezpieczeństwa. Luki dnia zerowego nadal będą niezwykle skutecznym i powszechnym sposobem wykorzystywanym przez ugrupowania APT w celu infekowania urządzeń swoich ofiar, czasem zaskakująco kreatywnie – czego dowodem jest ostatnia kampania ugrupowania Lazarus – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT w firmie Kaspersky.
Więcej informacji na temat krajobrazu zaawansowanych cyberzagrożeń w pierwszym kwartale 2021 r. znajduje się na stronie https://r.kaspersky.pl/WXVJW.