Část operací spadajících do kategorie pokročilých trvalých hrozeb (APT) ve druhém čtvrtletí tohoto roku buď pocházela, nebo byla zaměřena na oblast Blízkého východu a Jižní Koreje. Většina z nich měla za cíl kybernetickou špionáž a finanční krádeže, přinejmenším jedna se ale soustředila i na šíření dezinformací. V květnu odborníci Kaspersky analyzovali únik údajných kyberšpionážních nástrojů patřících íránským aktérům. Ukázalo se, že pocházejí od skupiny Hades, která je mimo jiné spojovaná s červem ExPetr a útoky na zimní olympijské hry v roce 2018. Tato a další zjištění přináší čtvrtletní report společnosti Kaspersky.
Od dubna do června tohoto roku věnovali odborníci z Kaspersky svoji pozornost řadě zajímavých aktivit na Blízkém východě. Příkladem za všechny je online únik informací, který obsahoval zdrojový kód, detaily o skupině a její infrastruktuře či obětech. Tyto detaily měly patřit známým persky mluvícím kyberzločineckým skupinám OilRig a MuddyWater. Úniky pocházely z různých zdrojů a jejich uveřejnění dělilo jen pár týdnů. Třetí únik, který podle všeho vyzrazoval informace o subjektu nazvaném „RANA institut“, byl uveřejněn v perštině na stránce nesoucí jméno „Hidden Reality“. Na základě analýzy dostupných materiálů, infrastruktury a použité internetové stránky se odborníci z Kaspersky domnívají, že má s tímto únikem co do činění hackerská skupina Hades. Ta byla v minulosti zodpovědná za incident pojmenovaný OlympicDestroyer, který byl zacílen na ZOH v roce 2018. Na svém kontě má také červa ExPetr a řadu dezinformačních kampaní, jako například únik
e-mailové komunikace vztahující se k prezidentské kampani Emanuela Macrona v roce 2017.
Další zajímavá zjištění APT reportu za druhé čtvrtletí 2019:
-
Ruskojazyčné skupiny neustále vylepšují své nástroje, které používají ve svých škodlivých kampaních. Například skupina Zebrocy nově zaměřuje své aktivity na pákistánské a indické vládní představitele, diplomaty a vojenské subjekty. Zároveň se snaží udržet si přístup k vládním sítím středoasijských států. Skupina Turla ve svých útocích také používala velmi pokročilé nástroje a v jednom případě se zdá, že dokonce zcizila infrastrukturu jiné zločinecké skupiny – OilRig.
-
Kyberzločinci útočící na Jižní Koreu zůstali velmi aktivní, zatímco útoků na ostatní státy z jihovýchodní Asie v porovnání s předchozími obdobími ubylo. Za zmínku stojí především útok skupiny Lazarus, který byl zacílený na jihokorejskou společnost vyvíjející mobilní hry. „Dceřiná podskupina“ Lazarusu, pojmenovaná BlueNoroff, napadla bangladéšskou banku a kryptoměnový software.
-
Odborníci také zaznamenali aktivní kampaň zacílenou na vládní subjekty v centrální Asii. Pachatelem je s velkou pravděpodobností čínsky hovořící APT skupina SixLittleMonkeys, která využila novou verzi Microcin trojského koně a RAT, který Kaspersky označuje jako HawkEye.
Aby se subjekty nestaly obětí cílených útoků známých nebo neznámých hrozeb, doporučují odborníci z Kaspersky následující opatření:
-
Poskytněte svému týmu odborníků na IT zabezpečení přístup k nejaktuálnějším informacím o kybernetických hrozbách. Jedině tak udržíte krok s nejnovějšími nástroji, technikami a taktikami hackerů.
-
Abyste mohli včas a efektivně detekovat, analyzovat a reagovat na kybernetické incidenty, vybavte svá koncová řešení účinnými EDR řešeními.
-
Kromě nezbytné ochrany koncových zařízení byste měli zajistit ochranu celé korporátní sítě prostřednictvím Kaspersky Anti Targeted Attack Platform.
-
Protože většina cílených útoků začíná phishingovou zprávou nebo jinou metodou sociálního inženýrství, měli bystě pravidelně školit své zaměstnance. Lidský faktor je často nejslabší součástí firemní infrastruktury.