Γεωπολιτικοί στόχοι και νέες εκστρατείες στην Ασία σηματοδοτούν το πολυάσχολο για τους απειλητικούς φορείς δεύτερο τρίμηνο
Κατά τη διάρκεια του δεύτερου τριμήνου του 2018, οι ερευνητές της Kaspersky Lab παρακολούθησαν ένα ενεργό τοπίο επιχειρήσεων APT με έδρα κυρίως την Ασία και περιλαμβάνουν τόσο γνωστούς όσο και λιγότερο γνωστούς απειλητικούς φορείς. Ορισμένες ομάδες στόχευσαν ή τοποθέτησαν χρονικά τις εκστρατείες τους γύρω από ευαίσθητα γεωπολιτικά περιστατικά. Αυτές και άλλες τάσεις καλύπτονται από την τελευταία τριμηνιαία σύνοψη πληροφόρησης απειλών της Kaspersky Lab.
Στο δεύτερο τρίμηνο του 2018, οι ερευνητές της Kaspersky Lab συνέχισαν να αποκαλύπτουν νέα εργαλεία, τεχνικές και εκστρατείες που ξεκίνησαν από ομάδες τύπου APT, μερικές από τις οποίες ήταν αδρανείς για χρόνια. Η Ασία παρέμεινε το επίκεντρο του ενδιαφέροντος των APT: περιφερειακές ομάδες, όπως οι Κορεάτικης προέλευσης ομάδες Lazarus και Scarcruft, ήταν ιδιαίτερα απασχολημένες και οι ερευνητές ανακάλυψαν ένα εμφύτευμα που ονομάζεται LightNeuron και χρησιμοποιείται από τη ρωσόφωνη ομάδα Turla για να στοχεύσει την Κεντρική Ασία και τη Μέση Ανατολή.
Στα σημαντικά γεγονότα για το δεύτερο τρίμηνο του 2018 περιλαμβάνονται:
· Η επιστροφή του φορέα που κρύβεται πίσω από τον Olympic Destroyer. Μετά την επίθεση που πραγματοποίησε τον Ιανουάριο του 2018 κατά των χειμερινών Ολυμπιακών αγώνων στο Pyeongchang, οι ερευνητές ανακάλυψαν ότι αυτό ήταν νέα δραστηριότητα από αυτόν τον φορέα με στόχο χρηματοπιστωτικούς οργανισμούς στη Ρωσία και τα βιοχημικά εργαστήρια πρόληψης απειλών στην Ευρώπη και την Ουκρανία. Ορισμένοι δείκτες υποδεικνύουν μια σχέση χαμηλής και μεσαίας εμπιστοσύνης μεταξύ του Olympic Destroyer και του ρωσόφωνου απειλητικού φορέα, Sofacy.
· Lazarus/BlueNoroff. Υπήρχαν ενδείξεις ότι η υψηλού προφίλ APT στοχεύει σε χρηματοπιστωτικά ιδρύματα στην Τουρκία, στο πλαίσιο μιας μεγαλύτερης εκστρατείας ψηφιακής κατασκοπείας, καθώς και σε καζίνο στη Λατινική Αμερική. Αυτές οι ενέργειες υποδηλώνουν ότι υποκινούμενες από οικονομικά κίνητρα δραστηριότητες συνεχίζονται ενεργά για αυτήν την ομάδα, παρά τις συνεχιζόμενες βορειοκορεατικές ειρηνευτικές συνομιλίες.
· Οι ερευνητές παρατήρησαν σχετικά υψηλή δραστηριότητα από τη Scarcruft APT, με τον απειλητικό φορέα να χρησιμοποιεί το κακόβουλο λογισμικό Android, εκκινώντας μια επιχείρηση με ένα νέο backdoor, το οποίο οι ερευνητές ονόμασαν POORWEB.
· Επίσης, διαπιστώθηκε ότι η LuckyMouse APT, κινεζόφωνος απειλητικός φορέας, γνωστός ως APT 27, ο οποίος είχε παρατηρηθεί στο παρελθόν, καταχράστηκε τους ISPs στην Ασία για waterhole επιθέσεις μέσω ιστότοπων υψηλού προφίλ, και ο οποίος στοχεύει ενεργά σε κυβερνητικούς οργανισμούς στο Καζακστάν και τη Μογγολία την περίοδο που οι κυβερνήσεις αυτές πραγματοποίησαν συνάντηση στην Κίνα.
· Η εκστρατεία VPNFilter που αποκαλύφθηκε από την Cisco Talos και αποδόθηκε από το FBI στη Sofacy ή τη Sandworm, αποκάλυψε την τεράστια ευπάθεια στις επιθέσεις σε hardware δικτύωσης και λύσεων αποθήκευσης. Η απειλή μπορεί ακόμη και να εγχύσει κακόβουλα προγράμματα στην κίνηση, προκειμένου να «μολύνει» υπολογιστές πίσω από το «μολυσμένο» hardware δικτύωσης. Η ανάλυση της Kaspersky Lab επιβεβαίωσε ότι ίχνη αυτής της εκστρατείας μπορούν να βρεθούν σχεδόν σε κάθε χώρα.
«Το δεύτερο τρίμηνο του 2018 ήταν πολύ ενδιαφέρον από άποψη δραστηριότητας των φορέων APT, με μερικές αξιοσημείωτες εκστρατείες να μας υπενθυμίζουν πόσο πραγματικές έχουν γίνει μερικές από τις απειλές που προβλέψαμε τα τελευταία χρόνια. Συγκεκριμένα, έχουμε προειδοποιήσει επανειλημμένα ότι το hardware δικτύωσης είναι ιδανικό για στοχευμένες επιθέσεις και έχουμε υπογραμμίσει την ύπαρξη και διάδοση προηγμένης δραστηριότητας που επικεντρώνεται σε αυτές τις συσκευές», δήλωσε ο Vicente Diaz, κύριος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab.
Η πρόσφατα δημοσιευμένη έκθεση «Q2 APT Trends» συνοψίζει τα συμπεράσματα ειδικών εκθέσεων της Kaspersky Lab μόνο για συνδρομητές, η οποία περιλαμβάνει επίσης Δείκτες Συμβιβασμού (IOC) και κανόνες YARA που βοηθούν στη συλλογή εγκληματολογικών στοιχείων και το «κυνήγι» κακόβουλου λογισμικού.
Την αναλυτική έκθεση μπορείτε να βρείτε εδώ.