Wiele z nich dobierało cele i czas swoich kampanii według klucza newralgicznych incydentów geopolitycznych. Te i inne trendy zostały omówione w najnowszym kwartalnym podsumowaniu opracowanym przez badaczy z Kaspersky Lab.
W drugim kwartale 2018 r. badacze z Kaspersky Lab nadal wykrywali nowe narzędzia, techniki i kampanie przeprowadzane przez ugrupowania cyberprzestępcze stosujące zaawansowane, długofalowe techniki ataków (ang. Advanced Persistent Threat — APT), z których część nieco ucichła wiele lat temu. Epicentrum zainteresowania cybergangów pozostała Azja: szczególnie aktywne były ugrupowania regionalne takie jak koreańskojęzyczne grupy Lazarus i Scarcruft. Ponadto badacze odkryli szkodliwy moduł o nazwie LightNeuron wykorzystywany przez rosyjskojęzyczne ugrupowanie Turla przeciwko celom w Azji Środkowej oraz na Bliskim Wschodzie.
Najważniejsze wydarzenia w II kwartale 2018 r.
- Powrót ugrupowania stojącego za szkodnikiem Olympic Destroyer. Po przeprowadzonym w styczniu 2018 r. ataku na Zimowe Igrzyska Olimpijskie 2018 w Pjongczangu badacze wykryli nową aktywność tego ugrupowania wymierzoną w organizacje finansowe w Rosji oraz laboratoria zapobiegania zagrożeniom biochemicznym w Europie i na Ukrainie. Pojawiło się wiele wskazówek, na podstawie których można dopatrywać się istnienia związku pomiędzy atakami Olympic Destroyer a rosyjskojęzycznym ugrupowaniem cyberprzestępczym Sofacy.
- Pojawiły się informacje wskazujące na to, że znany cybergang Lazarus/BlueNoroff atakuje instytucje finansowe w Turcji w ramach szerszej kampanii cyberszpiegowskiej, jak również kasyna w Ameryce Łacińskiej. Operacje te sugerują, że mimo trwających rozmów pokojowych dotyczących Korei Północnej aktywność ugrupowania nadal jest motywowana względami finansowymi.
- Badacze zaobserwowali stosunkowo dużą aktywność ugrupowania APT Scarcruft, które wykorzystywało szkodliwe oprogramowanie dla systemu Android i przeprowadziło operację z użyciem nowego backdoora, któremu nadano nazwę POORWEB.
- Ugrupowanie APT LuckyMouse — chińskojęzyczna grupa cyberprzestępcza znana również jako APT 27, która wcześniej wykorzystywała dostawców usług internetowych w Azji w celu przeprowadzania tzw. ataków przy wodopoju (ang. waterhole) za pośrednictwem znanych stron internetowych — aktywnie atakowała kazachstańskie i mongolskie podmioty rządowe w czasie, gdy doszło do spotkania pomiędzy tymi rządami w Chinach.
- Kampania VPNFilter, zidentyfikowana przez Cisco Talos i przypisywana przez FBI ugrupowaniu Sofacy lub Sandworm, ujawniła ogromną podatność na ataki krajowego sprzętu sieciowego oraz rozwiązań pamięci masowej. Zagrożenie to potrafi nawet wstrzykiwać szkodliwe oprogramowanie do ruchu w celu zainfekowania komputerów podłączonych do zarażonego urządzenia sieciowego. Analiza Kaspersky Lab potwierdziła, że ślady tej kampanii można znaleźć w niemal każdym kraju.
Drugi kwartał 2018 r. okazał się bardzo interesujący pod względem aktywności ugrupowań APT. Pojawiło się kilka nietuzinkowych kampanii, które przypominają nam, jak realne stały się zagrożenia, które przewidywaliśmy na przestrzeni ostatnich kilku lat. W szczególności, wielokrotnie ostrzegaliśmy, że sprzęt sieciowy idealnie nadaje się do przeprowadzania ataków ukierunkowanych, jak również podkreślaliśmy istnienie i rozszerzanie się zaawansowanej aktywności skoncentrowanej na tych urządzeniach — powiedział Vicente Diaz, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Raport dotyczący trendów APT w II kwartale stanowi podsumowanie ustaleń zaprezentowanych w raportach analizy zagrożeń dostępnych wyłącznie dla subskrybentów Kaspersky Lab. Te rozbudowane raporty zawierają również dane dot. oznaki infekcji (IoC) oraz reguły YARA, aby pomóc zespołom ds. cyberbezpieczeństwa w firmach w działaniach dochodzeniowych i aktywnym szukaniu nowych szkodliwych programów. Więcej informacji na temat tych raportów można uzyskać, kontaktując się z Kaspersky Lab pod adresem [email protected].
Więcej informacji na temat ewolucji zaawansowanych cyberataków w II kwartale 2018 r. znajduje się na stronie https://r.kaspersky.pl/hRg19.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.