Ataki APT w II kwartale 2019 r., czyli dezinformacja na Bliskim Wschodzie

Przeczytaj także: Ataki APT w I kwartale 2019 r., czyli znowu Azja

W drugim kwartale 2019 r. badacze Kaspersky zetknęli się z dość interesującą aktywnością na Bliskim Wschodzie. Mowa tu o serii wycieków takich zasobów jak kod, infrastruktura, dane ugrupowania oraz ofiar, które miały rzekomo należeć do osławionych już perskojęzycznych cybergangów – OilRig oraz MuddyWater. Wycieki pochodziły wprawdzie z różnych źródeł, ale wszystkie miały miejsce w odstępie zaledwie kilku tygodni. W ramach trzeciego z wycieków, który miał ujawniać informacje dotyczące podmiotu o nazwie „RANA institute”, materiał w języku perskim pojawił się na stronie „Hidden Reality”. W efekcie analizy materiałów, infrastruktury oraz wykorzystanej strony internetowej, eksperci Kaspersky doszli do wniosku, że za wyciekiem tym może kryć się cyberugrupowanie Hades. Ta sama grupa odpowiadała za incydent OlympicDestroyer podczas Zimowych Igrzysk Olimpijskich w Pjongczangu, jak również robaka ExPetr oraz różne operacje, których celem była dezinformacja, w tym wyciek e-maili dotyczących kampanii prezydenckiej Emmanuela Macrona we Francji w 2017 r.

Pozostałe kluczowe wydarzenia związane z aktywnością APT w II kwartale 2019 r.:

• Rosyjskojęzyczne ugrupowania nieustannie udoskonalają dotychczasowe oraz tworzą nowe narzędzia, jak również przeprowadzają nowe operacje. Na przykład od marca gang Zebrocy wydaje się kierować swoją uwagę ku pakistańskim/indyjskim wydarzeniom, urzędnikom, dyplomatom i wojskowym, utrzymując jednocześnie stały dostęp do lokalnych i odległych sieci rządowych w Azji Środkowej. Ataki ugrupowania Turla nadal charakteryzowały się wykorzystywaniem szybko ewoluującego zestawu narzędzi, a w jednym przypadku przypuszcza się, że grupa ta „uprowadziła” infrastrukturę należącą do OilRig.
• Odnotowano wysoki stopień aktywności związanej z Koreą, podczas gdy w pozostałej części Azji Południowo-Wschodniej panował większy spokój w porównaniu z wcześniejszymi kwartałami. Operacje, które zasługują na uwagę, to atak przeprowadzony przez ugrupowanie Lazarus na firmę z branży gier mobilnych w Korei Południowej oraz kampania przeprowadzona przez BlueNoroff, podgrupę gangu Lazarus, której celem był bank zlokalizowany w Bangladeszu.
• Badacze zaobserwowali również aktywną kampanię wymierzoną w podmioty rządowe w Azji Środkowej, która została przeprowadzona przez rosyjskojęzyczne ugrupowanie APT SixLittleMonkeys z wykorzystaniem nowej wersji trojana Microcin oraz, na ostatnim etapie, narzędzia zdalnej administracji, któremu firma Kaspersky nadała nazwę HawkEye.

Drugi kwartał 2019 r. pokazuje, jak mglisty i zwodniczy stał się obecnie krajobraz zagrożeń i jak często rzeczywistość okazuje się zupełnie inna, niż wydawała się wcześniej. Przykładem może być ugrupowanie cyberprzestępcze, które „porwało” infrastrukturę mniejszego gangu, oraz grupa, która prawdopodobnie wykorzystała serię wycieków do internetu w celu szerzenia dezinformacji oraz podważenia wiarygodności ujawnionych zasobów. Branża bezpieczeństwa mierzy się z coraz bardziej złożonym zadaniem demaskowania pozorów w celu dotarcia do faktów i danych analitycznych dot. zagrożeń, na których opiera się cyberbezpieczeństwo. Jak zawsze warto dodać, że nie posiadamy pełnego obrazu i pewne aktywności mogły nam umknąć lub nie zostały przez nas w pełni zrozumiane – powiedział Vicente Diaz, główny badacz ds. cyberbezpieczeństwa z firmy Kaspersky.