Tokom drugog kvartala 2018. godine, istraživači kompanije Kaspersky Lab zapazili su porast broja naprednih upornih pretnji (Advanced Persistent Threat – APT), vođenih uglavnom iz Azije, koje su uključivale i dobro poznate i manje poznate aktere pretnji. Brojne grupe su tempirale napade u vreme osetljivih geopolitičkih incidenata. Ovi, ali i drugi trendovi, obuhvaćeni su najnovijim kvartalnim izveštajem kompanije Kaspersky Lab.
U drugom kvartalu 2018. godine, istraživači kompanije Kaspersky Lab nastavili su da otkrivaju nove alate, tehnike i kampanje pokrenute od strane APT grupa, koje su mirovale godinama. Azija je ostala epicentar interesovanja naprednih upornih pretnji: regionalne grupe, kao što su Lazarus i Scarcruft sa korejskog govornog područja, bile su naročito uposlene. Istraživači su otkrili implant zvan LightNeuron koji Turla koristi za operacije u Centralnoj Aziji i Bliskom Istoku. Ključni nalazi iz drugog kvartala 2018 uključuju:
-
Povratak aktera koji su stajali iza kampanje Olympic Destroyer. Nakon napada u januaru 2018. godine na Zimskim olimpijskim igrama u Pjongčangu, istraživači su otkrili nove aktivnosti ovog aktera – ciljane napade na finansijske organizacije u Rusiji i laboratorije za prevenciju biohemijskih pretnji u Evropi i Ukrajini. Brojni indikatori ukazuju na nisku do srednje pouzdanu vezu između pretnje Olympic Destroyer i aktera Sofacy sa ruskog govornog područja.
- Lazarus/BlueNoroff. Postojali su nagoveštaji da je ova visokoprofilna APT grupa ciljala finansijske institucije u Turskoj i kazina u Latinskoj Americi kao deo veće kampanje sajber špijunaže, Ove operacije ukazuju na to da ova grupa nastavlja sa finansijski motivisanim aktivnostima, uprkos tekućim mirovnim pregovorima u Severnoj Koreji.
-
Istraživači su primetili relativno visoku aktivnost APT grupe Scarcruft koja je koristila Android malvere za pokretanje operacije sa novim “bekdorom”, koji su istraživači nazvali POORWEB.
-
The LuckyMouse APT, kineski akter, takođe poznat kao APT 27, koji je ranije uhvaćen u zloupotrebi internet provajdera u Aziji zbog napada na sajtove visokog profila, primećen je da aktivno cilja kazanstanske i mongolske vladine subjekte za vreme održavanja njihovih sastanaka u Kini.
- VPNFilter kampanja otkrivena od strane organizacije Cisco Talos, koju je FBI pripisao hakerskim grupama Sofacy i Sandsworm, otkrila je brojne napade preko hardvera za umrežavanja i sistema za skladištenje podataka. Pretnja čak može ubrizgati virus u mrežni saobraćaj kako bi “zarazila” računare povezane na zaraženi mrežni uređaj. Rezultati analiza kompanije Kaspersky Lab pokazali su da se tragovi ove kampanje mogu naći u skoro svakoj zemlji.
“Drugi kvartal 2018. godine bio je veoma interesantan u pogledu APT aktivnosti, sa nekoliko kampanja vrednih pažnje koje nas podsećaju koliko su neke pretnje, koje smo poslednih godina predvideli, postale stvarne. Konkretno, više puta smo upozorili da je mrežni hardver idealno pogodan za ciljane napade i istakli postojanje i širenje naprednih aktivnosti fokusiranih na takve uređaje”, navodi Visente Dijaz (Vicente Diaz), glavni istraživač tima za globalno istraživanje i analizu kompanije Kaspersky Lab.
Izveštaj APT trendova drugog kvartala kompanije Kaspersky Lab, namenjen pretplatnicima, sumira obaveštajne podatke. Takođe uključuje i podatke indikatora kompromitovanosti sistema (IOC) i pravila YARA za pomoć u fonenzici i malver napadima. Za više informacija konktatirajte nas Izveštaj APT trendova za drugi kvartal možete pronaći na Securelist lokaciji.