Hackerii de limbă chineză sporesc activitatea și diversifică metodele de cyberattack
Grupurile avansate de amenințare persistentă (APT) sau hackerii sponsorizați de stat și-au diversificat metodele de cyberattack în al doilea trimestru al acestui an, în ciuda continuării exploatării pandemiei Covid-19 ca temă pentru a atrage potențialele victime.
Ca și alți atacatori, grupurile APT încearcă să fure date, să perturbe operațiunile sau să distrugă infrastructura. Spre deosebire de majoritatea criminalilor cibernetici, atacatorii APT își urmăresc obiectivele pe parcursul a câteva luni sau ani. Acestea se adaptează apărărilor cibernetice și își retrag frecvent aceiași victimă.
În timp ce Asia de Sud-Est continuă să fie o regiune activă pentru activitățile APT, Kaspersky a observat, de asemenea, o activitate intensă a grupurilor de limbă chineză din trimestrul doi, inclusiv ShadowPad, HoneyMyte, CactusPete, CloudComputating și SixLittleMonkeys.
Guvernul american, în urmă cu două zile, a lansat informații despre o variantă malware folosită de hackerii sponsorizați de guvernul chinez în campaniile de spionaj cibernetic care vizează guvernele, corporațiile și grupurile de fotografii.
Potrivit Biroului Federal de Investigații (FBI), Agenția de Securitate pentru Cibersecuritate și Infrastructură (CISA) și Departamentul Apărării (DoD), noul malware este un acces la distanță troian (RAT) denumit Taidoor.
FBI și CISA au emis un avertisment în luna mai a acestui an că hackerii sponsorizați de stat încearcă să colecteze informații despre Covid-19 după ce au compromis organizațiile din sectoarele de sănătate, industria farmaceutică și cercetarea.
Cu atât de mult acces legitim de la distanță în rețelele și gazdele, a declarat Matt Walmsley, directorul EMEA la Vectra TechRadar Pro Orientul Mijlociu că există o mulțime de oportunități pentru RAT-uri să funcționeze nedescoperite pe perioade îndelungate, deoarece acestea se ascund la vedere.
„Sunt un instrument deosebit de util pentru actorii amenințării la nivel de stat național care doresc să realizeze recunoaștere extinsă și să mențină un punct de persistență în cadrul organizațiilor țintă. Acest lucru pare să fie, cu siguranță, cazul în care activitatea este legată de China din 2008 ”, a spus el.
Există semnături pentru RAT-urile cele mai obișnuite, dar el a spus că atacatorii calificați pot personaliza cu ușurință sau construi propriile lor RAT folosind instrumente comune de la distanță, cum ar fi RDP, pentru a exercita acces la distanță.
Christopher Hills, adjunct CTO la BeyondTrust, a declarat că ceea ce este interesant în ceea ce privește Taidoor este ținta principală și informațiile pe care le urmăresc ca urmare a folosirii acestui malware dăunător.
"Nu știu dacă ar trebui să fim lingușiți că sunt interesați de informațiile, tratamentele, pacienții, statisticile Covid-19 sau dacă ar trebui să ne punem întrebarea mai mare„ de ce "?"
„Ce folos le oferă aceste informații și cum le vor folosi? La sfârșitul zilei, este încă un compromis sau o încălcare a datelor; ceva ce ar trebui să ne asigurăm și să știm este în siguranță. În cele din urmă, însă, se întoarce la zicală, nu este vorba despre „dacă” vom fi încălcați, ci „când” și cum vom fi pregătiți să facem față încălcării ”, a spus el.
Direcționarea noilor platforme
Sam Curry, Chief Security Officer, Cybereason, a declarat că cele mai noi dezvăluiri cu privire la încercările repetate ale Chinei de a fura IP de la organizațiile publice și private din SUA vor duce la o negare puternică a implicării, deoarece punctele lor de discuție includ întotdeauna ceva despre cât de șocați sunt și că , ca națiune, nu sunt implicați în spionaj sau în hackingul statelor naționale.
„În realitate, este un joc al lui 'Xi a spus', a spus ea ', cu China căutând să se distanțeze de probe naibii, în același timp strângându-și eforturile de a stânjeni SUA prin hacking în rețele și furtul secretelor guvernamentale, proiecte, statistici de cercetare și vaccinuri în curs de brevet sau orice altceva nu este ținut departe de ochii lor înfiorători ”, a spus el.
Mai mult, el a spus că atacurile cibernetice într-o perioadă de pandemie asupra entităților guvernamentale, companiilor de sănătate și infrastructurii de cercetare sunt diabolice.
„În orice alt teatru în afară de cyber, acesta ar fi un act clar de război și supus represaliilor diplomatice, economice și potențial militare. Unele state-națiune tratează criza Covid ca o continuare a jocului vechi de tit-pentru-tat și este rușinos ”, a spus el.
Cercetătorii Kaspersky au văzut dezvoltarea continuă a arsenalelor APT pe diferite fronturi – de la țintirea de noi platforme și exploatarea activă a vulnerabilităților la trecerea la instrumente noi în întregime.
Potrivit experților din industrie, China are cel mai mare număr de APT-uri și grupuri de actori amenințători în comparație cu alte țări, urmată de Rusia, Iran și Coreea de Nord.
Grupuri chineze
APT 1, APT 2, APT 3, APT 4, APT 5, APT 6, APT 9, APT 10, APT 12, APT 14, APT 15, APT 16, APT 17, APT 18, APT 19, APT 20, APT 21 , APT 22, APT 23, APT 26, APT 27, APT 30, APT 31, APT 40, Group 72 sau Axiom, Barium, Blackgear, Blue Termite sau Cloudy Omega, Bronz Butler sau Tick, DragonOK, Elderwood sau Sneaky Panda, GhostNet sau Snooping Dragon, CactusPete, Goblin Panda sau Cycldek, Hidden Lynx sau Aurora Panda, Plumb, Lotus Blossom sau Spring Dragon, Lucky Cat, Moafee, Mofang, Mustang Panda, Naikon sau Lotus Panda, Dragon Dragon, Nitro sau Covert Grove, PassCV, PittyTiger sau Pitty Panda, Platinum, Rancor, Scarlet Mimic, Shadow Network, Snake Wine, Suckfly, TA459, Taidoor, Panda Temper, Thrip, Blackfly sau Wanda Panda, Pacha Group, Rocke.
Grupuri rusești
APT 28, APT 29, TeamSpy Crew, TeleBots, TEMP.Veles, Turla sau Waterbug, Blackfly, Wick Panda, Grim Spider, Spider Lunar, Pinchy Spider, Dragonfly 2.0, Buhtrap, Cobalt Group sau Cobalt Spide, Corkow sau Metel, Wizard Spider , Spider Zombie, Urs energetic sau Dragonfly, FIN7, Gamaredon Group, Inception Framework, Lurk, MoneyTaker, Operation BugDrop, Roaming Tiger, RTM și Iron Viking sau Voodoo Bear.
Grupuri iraniene
APT33, Gold Lowell sau Boss Spider, Cadelle, Chafer sau APT 39, Charming Kitten sau NewsBeef, CopyKittens sau Slayer Kitten, Cutting Kitten, DarkHydrus sau LazyMeerkat, DNSpionage, Domestic Kitten, Flying Kitten sau Ajax Security Team, Group5, Infy sau Prince of Persia, Iridium, Leafminer sau Raspite, Institutul Mabna sau Bibliotecarul silențios, Madi, APT 35, MuddyWater, APT 34 sau OilRig, Greenbug și Sima.
Grupuri nord-coreene
Covellite, Kimsuky sau Velvet Chollima, Lazarus Group, Andariel sau Silent Chollima, APT 38, APT 37, ScarCruft și Created Stolen.
Geopolitica rămâne motivul cheie
Vicente Diaz, cercetător în domeniul securității, Echipa de cercetare și analiză globală, Kaspersky, a spus că geopolitica rămâne un motiv important pentru unii actori amenințători APT, așa cum se arată în activitățile MuddyWater, compromisul site-ului Web Orientul Mijlociu și campaniile CloudComputating și HoneyMyte grupuri.
După cum reiese din activitățile lui Lazarus și BlueNoroff, el a spus că câștigul financiar este un alt motor pentru unii actori amenințători – inclusiv utilizarea atacurilor ransomware și a actorilor amenințători APT continuă să exploateze vulnerabilitățile software.
Potrivit unui studiu sponsorizat de IBM Security și realizat de Institutul Ponemon în 17 țări între octombrie 2019 și aprilie 2020, cele mai costisitoare încălcări rău intenționate au fost cauzate de actorii statului național, în medie de 4,43 milioane dolari, în timp ce hacktivii erau responsabili pentru încălcările rău a costat în medie 4,28 milioane dolari, în timp ce încălcările cauzate de ciberneticii motivați financiar au costat în medie 4,23 milioane dolari.
Studiul a arătat că majoritatea încălcărilor nocive, 53%, au fost cauzate de atacatori motivați financiar. Actorii amenințării statelor naționale au fost implicați în 13% din încălcări rău intenționate; hacktivii din 13% și 21% din acest tip de încălcare a datelor a fost cauzat de atacatori de motivație necunoscută.
„Vedem că actorii continuă să investească în îmbunătățiri ale seturilor de instrumente ale acestora, să diversifice vectorii de atac și chiar să treacă la noi tipuri de ținte. Ciberneticii nu se opresc deja la ceea ce au obținut, ci dezvoltă continuu noi tactici, tehnici și proceduri și așa ar trebui să fie cei care doresc să se protejeze pe ei înșiși și organizațiile lor de atac ”, a spus Diaz.