מעבדת קספרסקי

קספרסקי

במהלך שלושת החודשים הראשונים של השנה, חשפו חוקרי מעבדת קספרסקי גל של מתקפות מתקדמות (APT) הממוקד בעיקר באסיה – יותר מ- 30% מהדיווחים ברבעון הראשון של 2018 היו קשורים לאיומים באזור זה. שיאים נרשמו גם במזרח התיכון, עם חשיפה של מספר טכניקות חדשות של גורמי איום באזור זה. מגמות אלה ואחרות נחשפות בדוח מודיעין האיומים הרבעוני החדש של מעבדת קספרסקי.

ברבעון הראשון של 2018, חוקרי מעבדת קספרסקי המשיכו לזהות מתקפות מתקדמות של קבוצות סייבר הדוברות את השפות רוסית, סינית, אנגלית, קוריאנית ואחרות. בעוד חלק מהשחקנים המוכרים לא הציגו פעילות משמעותית, זוהה מספר מתרחב של פעילויות APT וגורמי איום חדשים באזור אסיה. עליה זו מוסברת, בין היתר, על ידי מתקפת הקוד הזדוני Olympic Destroyer על המשחקים האולימפיים בפיונגצ'אנג.

נקודות מרכזיות ברבעון הראשון של 2018 כוללות:
עליה מתמשכת בפעילות של גורמים דוברי סינית, כולל מערך הפעילות ShaggyPanther המכוון כנגד גופי ממשל בעיקר בטייוואן ומלזיה, ו-CardinalLizard, אשר הגבירה את העניין שלה במלזיה, לצד המיקוד הקיים של הקבוצה בפיליפינים, רוסיה ומונגוליה.
תיעוד של פעילות APT בדרום אסיה. ישויות של הצבא הפקיסטני היו תחת התקפה מצד קבוצת Sidewinder שנחשפה לראשונה.
IronHusky APT כנראה הפסיק לתקוף גופי צבא ברוסיה והעביר את כל המאמצים שלו למונגוליה. בסוף 2018, הגורם דובר הסינית הוציא מתקפה כנגד ארגונים ממשלתיים במונגוליה לפני פגישתם עם קרן המטבע העולמית.

חצי האי הקוריאני נותר במוקד. מתקפת Kimusky, המכוונת כנגד קבוצות חשיבה (Think tanks) ופעילים פוליטיים, חידשה את ארסנל הכלים שלה עם פלטפורמת ריגול סייבר חדשה שנעשה בה שימוש בקמפיינים של פישינג ממוקד. יותר מכך, Bluenoroff, קבוצת משנה של קבוצת Lazarus הידועה, עברה למטרות חדשות שכוללות חברות של מטבעות קריפטוגרפיים ונקודות מכירה (PoS).

מעבדת קספרסקי זיהתה זינוק גם בפעילות האיומים במזרח התיכון. לדוגמא, StrongPity APT השיקה מספר התקפות Man-in-the-Middle (MiTM) על רשתות של ספקי שירותי אינטרנט. קבוצה אחרת של עברייני סייבר בעלי יכולות גבוהות, Desert Falcons, חזרה לתקוף מכשירי אנדרואיד באמצעות קוד זדוני שהשתמשו בו ב- 2014.

בנוסף, חשפו חוקרי מעבדת קספרסקי ברבעון הראשון מספר קבוצות שתקפו באופן קבוע נתבים וחומרת תקשורת. מדובר בגישה שאומצה לפני מספר שנים על ידי שחקנים כגון Regin ו- CloudAtlas. על פי המומחים, נתבים ימשיכו לשמש כמטרה עבור תוקפים, כדרך להשגת דריסת רגל ראשונית בתשתית של הקורבן.

"במהלך שלושת החודשים הראשונים של השנה זיהינו מספר קבוצות איום חדשות, ברמות שונות של תחכום, אבל בסך הכל, כולן משתמשות בכלים הזדוניים השכיחים והזמינים ביותר. במקביל, לא זיהינו פעילות משמעותית מצד חלק מהשחקנים המוכרים. הדבר גורם לנו להאמין שהם בונים מחדש את האסטרטגיות שלהם ומארגנים מחדש את הצוותים לצורך התקפות עתידיות", אמר וינסנט דיאז, חוקר אבטחה ראשי בצוות GReAT של מעבדת קספרסקי.

דוח מגמות ה-APT לרבעון הראשון החדש, מסכם את הממצאים שפורסמו בדוחות מודיעין האיומים של מעבדת קספרסקי. במהלך הרבעון הראשון של 2018, יצר צוות המחקר והניתוח של מעבדת קספרסקי 27 דוחות, הכוללים מדדי זיהוי פריצה (IOC) וחוקי YARA, כדי לסייע בפורנזיקה וציד קוד זדוני.
למידע נוסף - כאן