T2 2018 a fost marcat de ținte geopolitice și de noi campanii în Asia, din partea grupărilor APT

Pe parcursul trimestrului al doilea din 2018, cercetătorii Kaspersky Lab au observat o activitate intensă pe segmentul operațiunilor APT (Advanced Persistent Threat), mai ales în Asia, și care implică atât autori cunoscuți, cât și unii mai puțin faimoși. Numeroase grupări au vizat sau și-au programat campaniile în jurul unor incidente geopolitice sensibile, arată sumarul trimestrial Kaspersky Lab al rapoartelor despre amenințările cibernetice.

În al doilea trimestru din 2018, cercetătorii Kaspersky Lab au continuat să descopere noi instrumente, tehnici și campanii lansate de grupările APT, unele dintre ele nedând semne de activitate în ultimii ani. Asia a rămas epicentrul interesului APT: grupări regionale, precum Lazarus (de limbă coreeană) și Scarcruft, au fost foarte ocupate, iar cercetătorii au descoperit un implant denumit LightNeuron, folosit de gruparea vorbitoare de limbă rusă Turla pentru a ataca Asia Centrală și Orientul Mijlociu.

Activitatea din T2 2018 include acțiuni precum:

• Revenirea atacatorului din spatele Olympic Destroyer. După atacul din ianuarie 2018, de la Jocurile Olimpice de Iarnă de la Pyeongchang, cercetătorii au descoperit ceea ce au apreciat a fi o nouă operațiune a acestui autor, vizând organizații financiare din Rusia și laboratoare de prevenție a amenințărilor biochimice din Europa și Ucraina. Mai multe indicii sugerează posibilitatea unei legături între Olympic Destroyer și gruparea de limbă rusă Sofacy.

• Lazarus/BlueNoroff. Au existat semne că această grupare APT cunoscută viza organizații financiare din Turcia – parte a unei campanii mari de spionaj cibernetic, derulată inclusiv în cazinourile din America Latină. Aceste operațiuni indică faptul că grupul continuă să fie motivat în principal de câștiguri financiare, în ciuda tratativelor de pace cu Coreea de Nord.
• Cercetătorii au observat o activitate relativ intensă din partea Scarcruft APT, gruparea folosind malware pentru Android și demarând o operațiune cu un nou backdoor, pe care cercetătorii l-au numit POORWEB.
• APT-ul LuckyMouse, de limbă chineză, cunoscut și ca APT 27, care fusese anterior observat că folosește furnizorii de Internet din Asia pentru atacuri de tip waterhole prin intermediul unor site-uri foarte cunoscute, a atacat activ entități guvernamentale din Kazahstan și Mongolia, în perioada în care aceste guverne s-au întâlnit în China.
• Campania VPNFilter, descoperită de Cisco Talos și atribuită de FBI grupărilor Sofacy sau Sandworm, a arătat vulnerabilitatea imensă la atacuri asupra hardware-ului de rețea de uz casnic și a soluțiilor de stocare. Amenințarea poate chiar să insereze malware în trafic, pentru a infecta computerele din spatele dispozitivului de rețea compromis. Analiza Kaspersky Lab a confirmat că pot fi găsite urme ale acestei campanii aproape în fiecare țară.

„Al doilea trimestru din 2018 a fost foarte interesant din punct de vedere al activității APT, cu niște campanii remarcabile, care ne amintesc cât de reale s-au dovedit unele amenințări, despre care am vorbit în ultimii ani”, spune Vicente Diaz, Principal Security Researcher în echipa Kaspersky Lab GReAT. „Mai exact, am avertizat de mai multe ori că hardware-ul de rețea este ideal pentru atacuri direcționate și am atras atenția asupra existenței și răspândirii unor grupări avansate care se concentrează pe aceste dispozitive.”

Raportul Tendințe APT în T2 rezumă rezultatele rapoartelor Kaspersky Lab cu informații despre amenințări, disponibile doar abonaților, care includ și date despre indicatorii de compromitere (IOC) și regulile YARA, pentru a ajuta echipele de cercetare.

Rezumatul poate fi găsit pe Securelist.