Cyberprzestępcy sponsorowani przez państwa. Jak działają i kogo atakują?

Przeczytaj także: Cyberszpiedzy z Rosji w natarciu. Nasilone cyberataki grup APT

Advanced Persistent Threat (APT) to kompleksowe i długoterminowe cyfrowe operacje przestępcze. Za ich pomocą atakujący uzyskują i utrzymują nieautoryzowany dostęp do systemów informatycznych przez dłuższy okres. Od innych cyberataków odróżnia je czas trwania. Podczas gdy te podstawowe skupiają się na szybkim wejściu do sieci, a następnie relatywnie szybkim wyjściu, w przypadku APT atakujący albo przez dłuższy czas realizują swoje cele, albo czekają w systemie na odpowiedni moment.

W atakach APT stosowane są niezwykle skomplikowane taktyki oraz wykorzystywana jest pomoc wielu innych podmiotów. Pozwala im to na dostanie się do danego przedsiębiorstwa „krok po kroku”.

Grupy cyberprzestępców wspierane przez rządy dysponują znacznymi zasobami finansowymi i technicznymi. Umożliwia im to rekrutację wykwalifikowanych specjalistów oraz prowadzenie długoterminowych i złożonych działań, co znacznie zwiększa trudność ich neutralizowania – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

W pierwszej kolejności cyberprzestępcy muszą uzyskać dostęp do sieci. Stosują głównie zainfekowane pliki lub słaby punkt w systemie. Jednym z nich może być przykładowo niewystarczająco zabezpieczona poczta elektroniczna. Wykorzystując lukę pozwalającą na działanie, instalują złośliwe oprogramowanie, które umożliwia poruszanie się w sieci bez wykrycia ich aktywności. Takie oprogramowanie służy do rozszerzania dostępu i łamania haseł, aby zdobyć uprawnienia administratora. Gdy atakujący dostaną się do innych serwerów i urządzeń, dokładnie badają jak działa system i zbierają kluczowe informacje. Na koniec podejmują decyzję – opuszczają go albo pozostają w nim na dłuższy czas.

Znane grupy APT i ich zakres działania

Analitycy z zespołu FortiGuard Labs firmy Fortinet aktywnie śledzą działania grup cyberprzestępczych wspieranych przez rządy. Pomagają także firmom w reagowaniu na takie ataki oraz dzielą się wiedzą na te tematy z instytucjami i państwami. Stworzyli całą listę takich grup, którą na bieżąco aktualizują.
Jedną z najbardziej znanych grup przestępczych jest rosyjska Turla, działająca od 2004 roku. Jedną z ich najbardziej znanych operacji było przejmowanie internetowego sygnału satelitarnego w celu sterowania złośliwym oprogramowaniem. Z kolei w 2015 roku grupa przeprowadziła kampanię wymierzoną w europejskie ministerstwa spraw zagranicznych. W trakcie wojny na Ukrainie atakowała natomiast infrastrukturę wojska ukraińskiego.

Innym przykładem takiej grupy może być powiązana z Chińską Republiką Ludową SweetSpecter. W październiku 2024 roku próbowała wyłudzić informacje od pracowników OpenAI, a także wykorzystywała ChatGPT do badania luk w zabezpieczeniach. Ich celem okazała się być eksfiltracja danych na potrzeby szpiegostwa korporacyjnego. Na Bliskim Wschodzie z kolei działa irańska grupa MuddyWater. Atakuje zarówno podmioty z sektora publicznego, jak i prywatnego np. działające w branży energetycznej czy telekomunikacyjnej. Członkowie MuddyWater najchętniej stosują spear phising i wykorzystują luki w zabezpieczeniach, aby zapewnić sobie dostęp do sieci.

Z pomocy cyberprzestępców korzysta także Korea Północna, zatrudniająca grupę Lazarus, zwaną także Hidden Cobra. Jest ona znana ze swoich destrukcyjnych cyfrowych operacji, kradzieży finansowych czy kampanii szpiegowskich wymierzonych w wiele branż na całym świecie. Przykładowo, atakowała giełdy kryptowalut i instytucje finansowe, co doprowadziło do kradzieży setek milionów dolarów.

Obrona sieci przed atakami APT to spore wyzwanie i kluczowe jest wdrożenie przez przedsiębiorstwa wieloaspektowego podejścia. Z pewnością dokładne monitorowanie całego ruchu w sieci – przychodzącego i wychodzącego – może pomóc w zablokowaniu złośliwego oprogramowania. Dobrym pomysłem może być także stworzenie białej listy w pełni zaufanych i sprawdzonych stron oraz aplikacji. Warto również wprowadzić uwierzytelnianie wieloskładnikowe (MFA), co pozwoli na ograniczenie liczby potencjalnych napastników. W celu podniesienia zdolności organizacji do reagowania na incydenty powinno się inwestować w zabezpieczenia klasy EDR/XDR, które mogą powstrzymać rozprzestrzenianie się ataku. – podsumowuje Robert Dąbrowski z Fortinet.