Data: Sobota, 11 maja 2019, 14:01

Aktywność cyberprzestępcza w I kwartale pod znakiem geopolityki

W pierwszych trzech miesiącach 2019 r. badacze z Kaspersky Lab zaobserwowali aktywne operacje związane z zaawansowanymi zagrożeniami, które skupiały się głównie na Azji Południowo-Wschodniej i w coraz większym stopniu kształtowane były przez geopolitykę. Obejmowały one ataki na kryptowaluty, ataki z użyciem komercyjnego oprogramowania szpiegującego oraz przeprowadzoną na dużą skalę kampanię ataków na łańcuch dostaw.

Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:

Geopolityka stanowiła kluczowy czynnik motywujący aktywność cyberprzestępców – często występował wyraźny związek pomiędzy wydarzeniami politycznymi a ukierunkowaną szkodliwą aktywnością.

Azja Południowo-Wschodnia pozostała najgorętszym regionem na świecie pod względem ataków APT – to tam skupiło się najwięcej ugrupowań, najwięcej aktywności, najwięcej zamieszania.

W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.

Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane firmie Kaspersky Lab jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.

Dobrą passą zdają się cieszyć dostawcy „komercyjnego” szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.