Aktywność cyberprzestępcza w I kwartale 2019 roku
W pierwszym kwartale 2019 r. badacze z Kaspersky Lab zaobserwowali wiele interesujących, nowych incydentów. Główną kampanią APT, jaka miała miejsce w badanym okresie, była operacja ShadowHammer: zaawansowana kampania ukierunkowana wykorzystująca łańcuch dostaw w celu rozprzestrzeniania infekcji na niewiarygodnie szeroką skalą w połączeniu ze starannie wdrożonymi technikami umożliwiającymi precyzyjne ataki na wybrane ofiary.
Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:
- Geopolityka stanowiła kluczowy czynnik motywujący aktywność cyberprzestępców - często występował wyraźny związek pomiędzy wydarzeniami politycznymi a ukierunkowaną szkodliwą aktywnością.
- Azja Południowo-Wschodnia pozostała najgorętszym regionem na świecie pod względem ataków APT - to tam skupiło się najwięcej ugrupowań, najwięcej aktywności, najwięcej zamieszania.
- W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.
- Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane firmie Kaspersky Lab jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.
- Dobrą passą zdają się cieszyć dostawcy „komercyjnego" szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.
Spojrzenie wstecz na miniony kwartał zawsze wywołuje zadziwienie. Nawet jeśli mamy poczucie, że nie zdarzyło się nic „przełomowego", odkrywamy krajobraz zagrożeń, w którym można wyróżnić interesujące historie oraz ewolucję na różnych frontach. W pierwszym kwartale krajobraz ten obejmował wyrafinowane ataki na łańcuch dostaw, ataki na entuzjastów kryptowaluty oraz motywy geopolityczne. Mamy świadomość, że nie posiadamy pełnego obrazu i pewnych aktywności jeszcze nie dostrzegamy lub nie rozumiemy, dlatego jeśli jakiś region lub sektor nie znajduje się na naszym radarze, nie znaczy to, że nie pojawi się tam w przyszłości. W związku z tym każdy powinien być zabezpieczony zarówno przed znanymi, jak i nieznanymi zagrożeniami - powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.
