Ataki APT w I kwartale 2019 r., czyli znowu Azja


W I kwartale br. ataki APT (ang. Advanced Persistent Threat) znowu dały o sobie znać. Zaobserwowane przez ekspertów Kaspersky Lab aktywne operacje cyberprzestępców skupiały się w znacznym stopniu na Azji Południowo-Wschodniej, a cele kampanii w wielu przypadkach były wybierane według klucza newralgicznych incydentów o charakterze geopolitycznym. Obejmowały one m.in. ataki na kryptowaluty oraz operacje przeprowadzane z użyciem komercyjnego oprogramowania szpiegującego.

I kwartał 2019 r. obfitował w wiele interesujących i zupełnie nowych incydentów. Największą kampanią APT, jaką w badanym okresie udało się zidentyfikować ekspertom z Kaspersky Lab, okazała się operacja ShadowHammer. Była to zaawansowana, wykorzystująca łańcuch dostaw kampania, której celem było nie tylko rozsianie infekcji na szeroką skalę, ale również precyzyjne atakowanie wybranych ofiar.

APT

fot. profit_image – Fotolia.com

APT

Główną kampanią APT, jaka miała miejsce w I kwartale 2019 r., była operacja ShadowHammer.

Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:

  • Kluczowym czynnikiem determinującym aktywność cyberprzestępców okazała się geopolityka. Analizy wyraźnie pokazały występowanie powiązania pomiędzy atakami APT i wydarzeniami politycznymi.
  • Powody do narzekań miała przede wszystkim Azja Południowo-Wschodnia, na której obszarze skupiło się najwięcej ugrupować i aktywności, a w efekcie większość ataków APT.
  • W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.
  • Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane firmie Kaspersky Lab jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.
  • Dobrą passą zdają się cieszyć dostawcy „komercyjnego” szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.

Spojrzenie wstecz na miniony kwartał zawsze wywołuje zadziwienie. Nawet jeśli mamy poczucie, że nie zdarzyło się nic „przełomowego”, odkrywamy krajobraz zagrożeń, w którym można wyróżnić interesujące historie oraz ewolucję na różnych frontach. W pierwszym kwartale krajobraz ten obejmował wyrafinowane ataki na łańcuch dostaw, ataki na entuzjastów kryptowaluty oraz motywy geopolityczne. Mamy świadomość, że nie posiadamy pełnego obrazu i pewnych aktywności jeszcze nie dostrzegamy lub nie rozumiemy, dlatego jeśli jakiś region lub sektor nie znajduje się na naszym radarze, nie znaczy to, że nie pojawi się tam w przyszłości. W związku z tym każdy powinien być zabezpieczony zarówno przed znanymi, jak i nieznanymi zagrożeniami — powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.

Raport dotyczący trendów w zakresie ataków APT w I kwartale stanowi podsumowanie wyników raportów z analizy zagrożeń, które są dostępne wyłącznie dla subskrybentów Kaspersky Lab i obejmują oznaki infekcji (ang. IoC) oraz reguły YARA, przydatne w informatyce śledczej oraz polowaniu na szkodliwe oprogramowanie.

Porady bezpieczeństwa

Osobom, które nie chcą paść ofiarą ataku ukierunkowanego, badacze z Kaspersky Lab zalecają następujące działania:

  • Zapewnij swojemu zespołowi w centrum operacji bezpieczeństwa dostęp do najnowszych danych analitycznych dotyczących zagrożeń, aby mógł być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez ugrupowania cyberprzestępcze.
  • W celu zapewnienia wykrywania na poziomie punktu końcowego jak również badania i niezwłocznego naprawiania szkód w wyniku incydentów, stosuj rozwiązania EDR, np. Kaspersky Endpoint Detection and Response.
  • Oprócz niezbędnej ochrony punktów końcowych wdróż rozwiązanie zabezpieczające klasy enterprise, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie, takie jak Kaspersky Anti Targeted Attack Platform.
  • Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych form socjotechniki, wprowadź szkolenia zwiększające świadomość oraz ucz praktycznych umiejętności.

You have Successfully Subscribed!