Tokom prva tri meseca 2018. godine, istraživači kompanije Kaspersky Lab otkrili su talas novih naprednih trajnih pretnji (APT – Advanced Persistent Threat) čije je uporište prevashodno u Aziji – više od 30 odsto izveštaja u prvom kvartalu odnosilo se na pretnje koje su poticale upravo iz ovog regiona. Vrhunac aktivnosti detektovan je takođe i na Bliskom istoku gde su akteri pretnji počeli da koriste brojne nove tehnike. Ovi i drugi trendovi su šire obrađeni u najnovijem kvartalnom izveštaju o pretnjama kompanije Kaspersky Lab.
U prvom kvartalu 2018. godine, istraživači kompanije Kaspersky Lab nastavili su da otkrivaju sajber aktivnosti čiji su počinitelji APT grupe koje,I zmeđu ostalog, komuniciraju i na jezicima poput ruskog, kineskog, engleskog i korejskog. I dok neki od već dobro poznatih aktera nisu pokazivali bilo kakve značajnije znakove aktivnosti, primećen je rastući broj APT operacija i novih aktera pretnji u azijskom regionu. Malverski napad „Olympic Destroyer” usmeren na Olimpijske igre u Pjongčangu delimično objašnjava ovaj porast.
Glavni zaključci za prvi kvartal 2018. uključuju:
-
Neprestani rast aktivnosti na kineskom govornom području, uključujući klaster aktivnosti pod nazivom „ShaggyPanther“ čiji su napadi usmereni ka vladinim institucijama, prvenstveno onim na Tajvanu i u Maleziji, kao i klaster „CardinalLizard“, čije se interesovanje proširilo na Maleziju ove godine, pored već postojećeg fokusa na Filipine, Rusiju i Mongoliju.
-
Zabeležena APT aktivnost u južnoj Aziji. Novootkrivena „Sidewinder“ grupa počela je sa napadima na pakistanske vojne entitete.
-
APT grupa „IronHusky“, po svemu sudeći, prestala je sa napadima na aktere ruske vojske i sav svoj fokus preusmerila na Mangoliju. Krajem januara 2018. godine, ovaj kineski akter pokrenuo je kampanju napada na mongolske vladine organizacije pre njihovog sastanka sa Međunarodnim monetarnim fondom (MMF).
- Fokus na Korejsko poluostrvo ne jenjava. APT grupa „Kimusky“, koja napada južnokorejske istražvačke institute i političke aktivnosti, obnovila je svoj arsenal pretnji potpuno novim frejmvorkom stvorenim za sajber spijunažu, koji se koristi u „spir fišing“ kampanji za krađu identiteta. Takođe, ogranak ozloglašene „Lazarus“ grupe, „Bluenoroff“, preusmerio je svoje napade na nove mete koje uključuju i kompanije koje se bave kripovalutama i „point of sales“ terminale poput kasa.
Kompanija Kaspersky Lab je takođe uočila vrhunac aktivnosti na Bliskom istoku. Na primer, APT grupa „StrongPty“ pokrenula je brojne nove „Man-in- the-Middle“ (MiTM) napade na mreže internet operatera (ISP - internet service provider). Još jedna veoma vešta grupa sajber kriminalaca, „Desert Falcons“, vratila se kako bi napala Android uređaje malverom koji je prethodno korišćen 2014. godine.
Takođe, u prvom kvartalu, istraživači kompanije Kaspersky Lab otkrili su i nekoliko grupa koje redovno napadaju rutere i mrežni hardver u svojim kampanjama, što je pristup koji su pre mnogo godina usvojili akteri poput grupa „Regin” i „CloudAtlas“. Prema ekspertima, ruteri će nastaviti da budu meta napadačima s obzirom na to da na taj način postaju uporište napadača u infrastrukturi koju poseduje žrtva.
„U toku prva tri meseca ove godine mogli smo da primetimo brojne nove ATP grupe koje su, iako su posedovale različite stepene sofisticiranosti, ipak koristile najjednostavnije i najdostupnije malver alate. Takođe, u ovom periodu nismo detektovali značajniju aktivnost dobro poznatih aktera. Ovo nas navodi da verujemo da razmišljaju o tome kako da promene svoje strategije i da reorganizuju svoje timove za buduće napade.“ izjavio je Vinćente Dijaz (Vincente Diaz), glavni istaživač za bezbednost u GReAT timu (timu sa globalna istraživanja i analizu) kompanije Kaspersky Lab.
Novoobjavljeni izveštaj o APT trendovima za prvi kvartal daje prikaz nalaza izveštaja o pretnjama kompanije Kaspersky Lab, koji su dostupni ekskluzivno samo pretplatnicima. U toku prvog kvartala 2018. godine, GReAT tim kompanije Kaspersky Lab sastavio je 27 eksluzivnih izveštaja za pretplatnike, koji sadrže pravila vezana za korišćenje indikatora kompromitovanosti (IOC) i YARA alata, pomoću kojih mogu ojačati svoju forenziku i unaprediti lov na malver.