Pe parcursul trimestrului al doilea din 2018, cercetatorii Kaspersky Lab au observat o activitate intensa pe segmentul operatiunilor APT (Advanced Persistent Threat), mai ales in Asia, si care implica atat autori cunoscuti, cat si unii mai putin faimosi. Numeroase grupari au vizat sau si-au programat campaniile in jurul unor incidente geopolitice sensibile, arata sumarul trimestrial Kaspersky Lab al rapoartelor despre amenintarile cibernetice.

In al doilea trimestru din 2018, cercetatorii Kaspersky Lab au continuat sa descopere noi instrumente, tehnici si campanii lansate de gruparile APT, unele dintre ele nedand semne de activitate in ultimii ani. Asia a ramas epicentrul interesului APT: grupari regionale, precum Lazarus (de limba coreeana) si Scarcruft, au fost foarte ocupate, iar cercetatorii au descoperit un implant denumit LightNeuron, folosit de gruparea vorbitoare de limba rusa Turla pentru a ataca Asia Centrala si Orientul Mijlociu.

Activitatea din T2 2018 include actiuni precum:

  • Revenirea atacatorului din spatele Olympic Destroyer. Dupa atacul din ianuarie 2018, de la Jocurile Olimpice de Iarna de la Pyeongchang, cercetatorii au descoperit ceea ce au apreciat a fi o noua operatiune a acestui autor, vizand organizatii financiare din Rusia si laboratoare de preventie a amenintarilor biochimice din Europa si Ucraina. Mai multe indicii sugereaza posibilitatea unei legaturi intre Olympic Destroyer si gruparea de limba rusa Sofacy.
  • Lazarus/BlueNoroff. Au existat semne ca aceasta grupare APT cunoscuta viza organizatii financiare din Turcia – parte a unei campanii mari de spionaj cibernetic, derulata inclusiv in cazinourile din America Latina. Aceste operatiuni indica faptul ca grupul continua sa fie motivat in principal de castiguri financiare, in ciuda tratativelor de pace cu Coreea de Nord.
  • Cercetatorii au observat o activitate relativ intensa din partea Scarcruft APT, gruparea folosind malware pentru Android si demarand o operatiune cu un nou backdoor, pe care cercetatorii l-au numit POORWEB.
  • APT-ul LuckyMouse, de limba chineza, cunoscut si ca APT 27, care fusese anterior observat ca foloseste furnizorii de Internet din Asia pentru atacuri de tip waterhole prin intermediul unor site-uri foarte cunoscute, a atacat activ entitati guvernamentale din Kazahstan si Mongolia, in perioada in care aceste guverne s-au intalnit in China.
  • Campania VPNFilter, descoperita de Cisco Talos si atribuita de FBI gruparilor Sofacy sau Sandworm, a aratat vulnerabilitatea imensa la atacuri asupra hardware-ului de retea de uz casnic si a solutiilor de stocare. Amenintarea poate chiar sa insereze malware in trafic, pentru a infecta computerele din spatele dispozitivului de retea compromis. Analiza Kaspersky Lab a confirmat ca pot fi gasite urme ale acestei campanii aproape in fiecare tara.

„Al doilea trimestru din 2018 a fost foarte interesant din punct de vedere al activitatii APT, cu niste campanii remarcabile, care ne amintesc cat de reale s-au dovedit unele amenintari, despre care am vorbit in ultimii ani”, spune Vicente Diaz, Principal Security Researcher in echipa Kaspersky Lab GReAT. „Mai exact, am avertizat de mai multe ori ca hardware-ul de retea este ideal pentru atacuri directionate si am atras atentia asupra existentei si raspandirii unor grupari avansate care se concentreaza pe aceste dispozitive.”

Raportul Tendinte APT in T2 rezuma rezultatele rapoartelor Kaspersky Lab cu informatii despre amenintari, disponibile doar abonatilor, care includ si date despre indicatorii de compromitere (IOC) si regulile YARA, pentru a ajuta echipele de cercetare.

Rezumatul poate fi gasit pe Securelist.