TECHin

Ασία και Μέση Ανατολή εστίες νέων απειλητικών φορέων το πρώτο τρίμηνο του 2018


Κατά τη διάρκεια των τριών πρώτων μηνών του 2018, οι ερευνητές της Kaspersky Lab ανακάλυψαν ένα κύμα νέας δραστηριότητας απειλών τύπου APT με έδρα κυρίως την Ασία - πάνω από το 30% των εκθέσεων του πρώτου μήνα αφορούσε απειλές σε αυτήν την περιοχή. Κορύφωση της δραστηριότητας παρατηρήθηκε επίσης στη Μέση Ανατολή με μια σειρά από νέες τεχνικές που χρησιμοποιήθηκαν από τους φορείς. Αυτές και άλλες τάσεις καλύπτονται από την τελευταία τριμηνιαία σύνοψη Πληροφόρησης απειλών της Kaspersky Lab.

Κατά το πρώτο τρίμηνο του 2018, οι ερευνητές της Kaspersky Lab συνέχισαν να ανιχνεύουν δραστηριότητες στον κυβερνοχώρο από APT ομάδες που μιλούσαν, μεταξύ άλλων, ρωσικά, κινέζικα,  αγγλικά και κορεάτικα. Και ενώ κάποιοι γνωστοί φορείς δεν παρουσίασαν αξιοσημείωτη δραστηριότητα, εντοπίστηκε ένας αυξανόμενος αριθμός δράσεων με απειλές τύπου APT και νέων απειλητικών φορέων στην ασιατική περιοχή. Αυτή η άνοδος εξηγείται εν μέρει από την επίθεση με το κακόβουλο λογισμικό Olympic Destroyer στους Ολυμπιακούς Αγώνες του Pyeongchang.

Τα κυριότερα σημεία για το πρώτο τρίμηνο του 2018 περιλαμβάνουν:

- Συνεχής άνοδος της κινεζόφωνης δραστηριότητας, συμπεριλαμβανομένης της ομάδας δραστηριοτήτων ShaggyPanther που στοχεύει κυβερνητικούς οργανισμούς, κυρίως στην Ταϊβάν και τη Μαλαισία, και η CardinalLizard, η οποία το 2018 αύξησε το ενδιαφέρον της στη Μαλαισία παράλληλα με την επικέντρωση στις Φιλιππίνες, τη Ρωσία και τη Μογγολία.

- Καταγεγραμμένη δραστηριότητα APT στη Νότια Ασία. Οι στρατιωτικοί οργανισμοί του Πακιστάν έχουν υποστεί επίθεση από την πρόσφατα ανακαλυφθείσα ομάδα Sidewinder.

- Το IronHusky APT προφανώς σταματά να στοχεύει ρωσικούς στρατιωτικούς φορείς και μεταφέρει όλες τις προσπάθειές του στη Μογγολία. Στα τέλη Ιανουαρίου 2018, αυτός ο κινεζόφωνος φορέας ξεκίνησε μια εκστρατεία επίθεσης εναντίον κυβερνητικών οργανισμών της Μογγολίας πριν από τη συνάντησή τους με το Διεθνές Νομισματικό Ταμείο (ΔΝΤ).

- Η κορεατική χερσόνησος παραμένει στο επίκεντρο. Το Kimsuky APT, στοχεύοντας σε think tanks και πολιτικές δραστηριότητες της Νότιας Κορέας, ανανέωσε το οπλοστάσιό του με ένα εντελώς νέο πλαίσιο σχεδιασμένο για ψηφιακή κατασκοπεία και χρησιμοποιήθηκε σε μια spear-phishing εκστρατεία. Επιπλέον, μία υποομάδα της διαβόητης ομάδας Lazarus, η Bluenoroff, έχει μετατοπιστεί σε νέους στόχους, στους οποίους περιλαμβάνονται εταιρείες κρυπτονομισμάτων και Τερματικά Σημεία Πώλησης (PoS). 

Η Kaspersky Lab ανίχνευσε επίσης κορύφωση απειλητικής δραστηριότητας στη Μέση Ανατολή. Για παράδειγμα, το StrongPity APT ξεκίνησε μια σειρά από νέες επιθέσεις Man-in-the-Middle (MiTM) σε δίκτυα ISP (ISP). Μια άλλη εξειδικευμένη ομάδα ψηφιακών εγκληματιών, οι Desert Falcons, επέστρεψε στην στοχοποίηση συσκευών Android με κακόβουλο λογισμικό που είχε χρησιμοποιηθεί το 2014.

Επίσης, στο πρώτο τρίμηνο, οι ερευνητές της Kaspersky Lab ανακάλυψαν αρκετές ομάδες που στοχεύουν συνήθως routers και εξοπλισμούς δικτύου στις εκστρατείες τους, μια προσέγγιση που υιοθετήθηκε πριν από χρόνια από φορείς όπως οι Regin και CloudAtlas. Σύμφωνα με τους ειδικούς, τα routers θα εξακολουθήσουν να αποτελούν στόχο για τους επιτιθέμενους ως ένας τρόπος να βρεθούν στην υποδομή ενός θύματος. 

«Κατά τους πρώτους τρεις μήνες του έτους παρατηρήσαμε έναν αριθμό νέων απειλητικών ομάδων διαφορετικών επιπέδων πολυπλοκότητας, αλλά οι οποίες, γενικά, χρησιμοποιούσαν τα πιο κοινά και διαθέσιμα εργαλεία κακόβουλου λογισμικού. Ταυτόχρονα, δεν παρατηρήσαμε σημαντική δραστηριότητα από γνωστούς φορείς. Αυτό μας οδηγεί στο να πιστεύουμε ότι επανεξετάζουν τις στρατηγικές τους και αναδιοργανώνουν τις ομάδες τους για μελλοντικές επιθέσεις», δήλωσε ο Vicente Diaz, Principal Security Researcher στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab.

Η πρόσφατα δημοσιευμένη έκθεση «Q1 APT Trends» συνοψίζει τα συμπεράσματα ειδικών εκθέσεων της Kaspersky Lab μόνο για συνδρομητές. Κατά το πρώτο τρίμηνο του 2018, η Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky Lab δημιούργησε 27 ιδιωτικές αναφορές για συνδρομητές, με δεδομένα Δεικτών Συμβιβασμού και κανόνες YARA που βοηθούν στη συλλογή εγκληματολογικών στοιχείων και το «κυνήγι» κακόβουλου λογισμικού.