Pe parcursul primelor trei luni din an, cercetătorii Kaspersky Lab au descoperit un nou val de activități APT, în special în Asia – peste 30% dintre rapoartele pe T1 au fost dedicate amenințărilor din această regiune. De asemenea, s-a constatat un vârf de activitate în Orientul Mijlociu, cu o serie de noi tehnici folosite de autori. Acestea se numără printre tendințele incluse în cel mai recent rezumat trimestrial Kaspersky Lab al informațiilor despre amenințările cibernetice.
În primul trimestru din 2018, cercetătorii Kaspersky Lab au continuat să detecteze activități cibernetice din partea unor grupuri APT (amenințări avansate și persistente), vorbitoare de limbi cum ar fi rusa, chineza, engleza și coreeana. Și, chiar dacă unii autori foarte cunoscuți nu au avut o activitate demnă de a fi remarcată, în regiunea asiatică au fost detectați noi autori și un număr în creștere de operațiuni APT. Creșterea se explică parțial prin atacul malware Olympic Destroyer, din timpul Jocurilor Olimpice de la Pyeongchang.
Alte concluzii privind activitatea APT din T1 2018:
- Creșterea permanentă a activității grupărilor vorbitoare de limbă chineză, inclusiv a celor reunite în jurul ShaggyPanther, care vizează entitățile guvernamentale în special în Taiwan și Malaysia. De asemenea, cei de la CardinalLizard și-au crescut în 2018 interesul față de Malaysia și, în același timp, și l-au menținut pe cel față de Filipine, Rusia și Mongolia.
- Activitate APT înregistrată în Asia de Sud – Entități militare din Pakistan au fost atacate de grupul Sidewinder, descoperit recent.
- Gruparea APT IronHusky a încetat, aparent, să mai vizeze entități militare rusești și își concentrează toate eforturile în zona Mongoliei. La sfârșitul lunii ianuarie 2018, această entitate de limbă chineză a lansat o campanie de atacuri împotriva unor organizații guvernamentale din Mongolia, înainte de întâlnirea lor cu Fondul Monetar Internațional (FMI).
- Peninsula Coreeană rămâne în vizor. Gruparea APT Kimsuky, care vizează grupurile de dialog și activitățile politice, și-a reînnoit complet arsenalul. Acesta este creat pentru spionaj cibernetic și a fost folosit într-o campanie de phishing direcționat. În plus, o ramură a grupului Lazarus, Bluenoroff, și-a ales noi ținte, printre care companii de cripto-monede.
Kaspersky Lab a detectat și un vârf de activitate în Orientul Mijlociu. De exemplu, gruparea APT StrongPity a lansat mai multe atacuri de tip Man-in-the-Middle (MiTM) asupra rețelelor furnizorilor de Internet. Un alt grup cu abilități avansate de infracționalitate cibernetică, Desert Falcons, a recurs din nou la atacarea dispozitivelor Android cu un malware folosit în 2014.
De asemenea, în T1, cercetătorii Kaspersky Lab au descoperit mai multe grupuri care atacă în mod regulat router-e și hardware de rețea în campaniile lor, o abordare adoptată acum câțiva ani de atacatori precum Regin sau CloudAtlas. Potrivit experților, router-ele vor continua să fie o țintă pentru atacatori, ca modalitate de a obține controlul asupra infrastructurii victimei.
Ultimul raport – Tendințele APT în T1 – rezumă descoperirile rapoartelor Kaspersky Lab de informații despre amenințări, disponibile doar pe bază de abonament. În timpul primului trimestru din 2018, echipa globală de cercetare și analiză Kaspersky Lab a creat pentru abonați 27 de rapoarte private despre amenințări, cu date despre indici de compromitere și reguli YARA, care să sprijine procesul de investigație.
