W drugim kwartale 2018 r. badacze z Kaspersky Lab zaobserwowali du?? aktywno?? w zakresie operacji APT, które by?y przeprowadzane g?ównie w Azji przez bardziej lub mniej znane ugrupowania cyberprzest?pcze. Wiele z nich dobiera?o cele i czas swoich kampanii wed?ug klucza newralgicznych incydentów geopolitycznych. Te i inne trendy zosta?y omówione w najnowszym kwartalnym podsumowaniu opracowanym przez badaczy z Kaspersky Lab.
W drugim kwartale 2018 r. badacze z Kaspersky Lab nadal wykrywali nowe narz?dzia, techniki i kampanie przeprowadzane przez ugrupowania cyberprzest?pcze stosuj?ce zaawansowane, d?ugofalowe techniki ataków (ang. Advanced Persistent Threat — APT), z których cz??? nieco ucich?a wiele lat temu. Epicentrum zainteresowania cybergangów pozosta?a Azja: szczególnie aktywne by?y ugrupowania regionalne takie jak korea?skoj?zyczne grupy Lazarus i Scarcruft. Ponadto badacze odkryli szkodliwy modu? o nazwie LightNeuron wykorzystywany przez rosyjskoj?zyczne ugrupowanie Turla przeciwko celom w Azji ?rodkowej oraz na Bliskim Wschodzie.
Najwa?niejsze wydarzenia w II kwartale 2018 r.
1. Powrót ugrupowania stoj?cego za szkodnikiem Olympic Destroyer. Po przeprowadzonym w styczniu 2018 r. ataku na Zimowe Igrzyska Olimpijskie 2018 wPjongczangu badacze wykryli now? aktywno?? tego ugrupowania wymierzon? w organizacje finansowe w Rosji oraz laboratoria zapobiegania zagro?eniom biochemicznym w Europie i na Ukrainie. Pojawi?o si? wiele wskazówek, na podstawie których mo?na dopatrywa? si? istnienia zwi?zku pomi?dzy atakami Olympic Destroyer a rosyjskoj?zycznym ugrupowaniem cyberprzest?pczym Sofacy.
2. Pojawi?y si? informacje wskazuj?ce na to, ?e znany cybergang Lazarus/BlueNoroff atakuje instytucje finansowe w Turcji w ramach szerszej kampanii cyberszpiegowskiej, jak równie? kasyna w Ameryce ?aci?skiej. Operacje te sugeruj?, ?e mimo trwaj?cych rozmów pokojowych dotycz?cych Korei Pó?nocnej aktywno?? ugrupowania nadal jest motywowana wzgl?dami finansowymi.
3. Badacze zaobserwowali stosunkowo du?? aktywno?? ugrupowania APT Scarcruft, które wykorzystywa?o szkodliwe oprogramowanie dla systemu Android iprzeprowadzi?o operacj? z u?yciem nowego backdoora, któremu nadano nazw? POORWEB.
4. Ugrupowanie APT LuckyMouse — chi?skoj?zyczna grupa cyberprzest?pcza znana równie? jako APT 27, która wcze?niej wykorzystywa?a dostawców us?ug internetowych w Azji w celu przeprowadzania tzw. ataków przy wodopoju (ang. waterhole) za po?rednictwem znanych stron internetowych — aktywnie atakowa?a kazachsta?skie imongolskie podmioty rz?dowe w czasie, gdy dosz?o do spotkania pomi?dzy tymi rz?dami w Chinach.
5. Kampania VPNFilter, zidentyfikowana przez Cisco Talos i przypisywana przez FBI ugrupowaniu Sofacy lub Sandworm, ujawni?a ogromn? podatno?? na ataki krajowego sprz?tu sieciowego oraz rozwi?za? pami?ci masowej. Zagro?enie to potrafi nawet wstrzykiwa? szkodliwe oprogramowanie do ruchu w celu zainfekowania komputerów pod??czonych do zara?onego urz?dzenia sieciowego. Analiza Kaspersky Lab potwierdzi?a, ?e ?lady tej kampanii mo?na znale?? w niemal ka?dym kraju.
Drugi kwarta? 2018 r. okaza? si? bardzo interesuj?cy pod wzgl?dem aktywno?ci ugrupowa? APT. Pojawi?o si? kilka nietuzinkowych kampanii, które przypominaj? nam, jak realne sta?y si? zagro?enia, które przewidywali?my na przestrzeni ostatnich kilku lat. W szczególno?ci, wielokrotnie ostrzegali?my, ?e sprz?t sieciowy idealnie nadaje si? do przeprowadzania ataków ukierunkowanych, jak równie? podkre?lali?my istnienie i rozszerzanie si? zaawansowanej aktywno?ci skoncentrowanej na tych urz?dzeniach — powiedzia? Vicente Diaz, g?ówny badacz ds. cyberbezpiecze?stwa, Kaspersky Lab.
Raport dotycz?cy trendów APT w II kwartale stanowi podsumowanie ustale? zaprezentowanych w raportach analizy zagro?e? dost?pnych wy??cznie dla subskrybentów Kaspersky Lab. Te rozbudowane raporty zawieraj? równie? dane dot. oznaki infekcji (IoC) oraz regu?y YARA, aby pomóc zespo?om ds. cyberbezpiecze?stwa w firmach w dzia?aniach dochodzeniowych i aktywnym szukaniu nowych szkodliwych programów.
