În al doilea trimestru din 2019, amenințările complexe și persistente (APT) au inclus o serie de operațiuni vizând sau fiind localizate în Orientul Mijlociu și Coreea de Sud. O mare parte a activității s-a concentrat pe spionaj cibernetic sau câștig financiar, dar a existat cel puțin o campanie care pare să fi avut ca scop dezinformarea. În luna mai, cercetătorii Kaspersky au analizat apariția în mediul online a unor aparente instrumente de spionaj cibernetic aparținând unei entități iraniene și au ajuns la concluzia că actorul din spatele transmiterii lor ar putea fi Hades, un grup ce are legătură cu ExPetr și cu atacul de la Jocurile Olimpice de Iarnă din 2018. Aceste tendințe APT, precum și altele, din întreaga lume, sunt incluse în ultimul rezumat al raportului trimestrial Kaspersky privind informațiile despre amenințări.
Rezumatul trimestrial al tendințelor APT este extras din cercetarea privată Kaspersky asupra informațiilor despre amenințări, precum și din alte surse, și evidențiază principalele evoluții pe care cercetătorii consideră că toată lumea ar trebui să le cunoască.
În al doilea trimestru al anului 2019, cercetătorii Kaspersky au observat o activitate interesantă în Orientul Mijlociu. Aceasta a inclus o serie de informații ajunse în mediul online: cum ar fi fragmente de cod, date de infrastructură, date despre grup și pretinse detalii despre victime, aparent aparținând cunoscutelor grupări de limbă persană, OilRig și MuddyWater. Scurgerile de informații au provenit din surse diferite, dar au apărut la distanță de câteva săptămâni. Al treilea val de informații, care aparent expunea date despre o entitate numită „institutul RANA”, a fost publicat în persană pe site-ul „Realitate ascunsă”. Analiza materialelor, a infrastructurii și a site-ului folosit, i-a determinat pe cercetătorii Kaspersky să tragă concluzia că scurgerea de date ar putea avea legătură cu Hades. Acesta este grupul din spatele incidentului OlympicDestroyer, care a vizat Jocurile Olimpice de iarnă din 2018, precum și al malware-ului de tip vierme ExPetr și a derulat diverse campanii de dezinformare, precum scurgerea de e-mail-uri din 2017 referitoare la campania electorală în urma căreia a fost ales președinte Emmanuel Macron în Franța.
Cele mai importante tendințe APT din T2 2019:
• Grupurile de limbă rusă continuă să perfecționeze și să lanseze noi instrumente și operațiuni. De exemplu, din martie, Zebrocy pare să-și fi îndreptat atenția către evenimente din Pakistan/India, oficialități, diplomați și militari, precum și să mențină acces la distanță la rețele ale unor autorități din Asia Centrală. Atacurile grupării Turla au continuat să folosească un set de instrumente cu evoluție rapidă – într-un exemplu notabil, aparenta preluare a infrastructurii aparținând OilRig.
• Activitatea coreeană a rămas intensă, în timp ce restul Asiei de Sud-Est a fost mai liniștit decât în trimestrele anterioare. Printre operațiunile demne de menționat se numără un atac al grupului Lazarus care vizează o companie de jocuri pentru dispozitive mobile din Coreea de Sud și o campanie realizată de BlueNoroff, o facțiune a Lazarus, care a vizat o bancă situată în Bangladesh și software pentru criptomonede.
• Cercetătorii au observat, de asemenea, o campanie activă care vizează entități guvernamentale din Asia Centrală, din partea grupului de limbă chineză APT SixLittleMonkeys, folosind o nouă versiune a troianului Microcin și un RAT (Remote Access Control) pe care Kaspersky îl numește HawkEye.
„Al doilea trimestru al anului 2019 arată cât de neclar a devenit peisajul amenințărilor și cât de des lucrurile nu sunt ce par”, spune Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky. „Printre altele, am observat un atacator deturnând infrastructura unui grup mai mic și un alt grup care pare să valorifice o serie de scurgeri de date online pentru a răspândi dezinformarea și a submina credibilitatea activelor expuse. Industria de securitate se confruntă cu o sarcină tot mai dificilă, aceea de a vedea clar printre atâtea oglinzi înșelătoare, pentru a găsi fapte reale și informațiile despre amenințării pe care se bazează securitatea cibernetică. De asemenea, este important să adăugăm că vizibilitatea noastră nu este completă și că va exista mereu o activitate care nu este încă pe radarul nostru sau nu este pe deplin înțeleasă – astfel încât protecția împotriva amenințărilor cunoscute și necunoscute rămâne vitală pentru toată lumea.”
Raportul de tendințe APT pentru T2 rezumă concluziile rapoartelor private de informații despre amenințări, disponibile doar pentru abonații Kaspersky, care includ, de asemenea, indicatori de compromitere (COI) și reguli YARA pentru a ajuta la cercetarea incidentelor și a susține vânătoarea de malware.
Pentru a nu cădea victimă unui atac direcționat din partea unui grup cunoscut sau necunoscut, cercetătorii Kaspersky recomandă următoarele măsuri:
• Asigurați-vă că echipa SOC (Security Operation Center) are acces la cele mai recente informații despre amenințări, pentru a fi la curent cu noile instrumente, tehnici și tactici utilizate de atacatori.
• Pentru detecția la nivel endpoint, investigarea și remedierea la timp a incidentelor, implementați soluții EDR.
• Pe lângă protecția de bază la nivel endpoint, implementați o soluție de securitate complexă care detectează amenințări avansate la nivelul rețelei, într-un stadiu incipient,.
• Deoarece multe atacuri direcționate încep cu phishing-ul sau cu alte tehnici de inginerie socială, introduceți programe de instruire în domeniul securității cibernetice și învățați-vă angajații abilități practice, prin intermediul unei platforme cum este Kaspersky Automated Security Awareness.