Pokročilé trvalé hrozby (APT) byly v prvním čtvrtletí tohoto roku zacílené převážně na mobilní zařízení. Do centra zájmu se dostala Asie, kde byli aktivní především noví hráči na poli kyberzločinu. Tradiční APT skupiny své útoky daleko častěji cílily a své oběti si vybíraly. Tyto a další zjištění přináší nejnovější APT report společnosti Kaspersky pokrývající události po celém světě za leden až březen 2020.
Zjištění týkající se aktivity pokročilých trvalých hrozeb za první čtvrtletí tohoto roku potvrzují narůstající počet útoků v Asii, především v jihovýchodní části, Jižní Koreji a Japonsku. Odborníci z Kaspersky zaznamenali nové APT skupiny využívající kreativní a často nízkorozpočtové kampaně, díky nimž si na kyberzločinecké scéně vydobývají své místo. Činné nicméně byly i dlouho známé skupiny jako CactusPete a Lazarus.
Kromě toho odborníci očekávají nárůst zájmu o mobilní platformy, ať už jako cílových zařízení útoků, nebo prostředků pro šíření malwaru. Společnost Kaspersky v poslední době informovala o několika kampaních, které se zaměřovaly na útoky na mobilní telefony. Patřily mezi ně LightSpy (kampaň využívající water-holing metodu, která byla zacílená na uživatele iOS i Androidů v Hong-Kongu) a PhantomLance (kyberšpionážní kampaň zacílená na uživatele Androidů v jižní Asii). Obě kampaně úspěšně využívaly k distribuci malwaru různé online platformy (od diskusních fór, přes sociální sítě až po obchod Google Play).
APT skupiny z Asie nebyly samy, kdo vyvíjel mobilní implanty. Například skupina TransparentTribe spustila kampaň s novým modulem nazvaným „USBWorm“, který obsahoval novým implant infikující zařízení s operačním systémem Android. Použitý malware, který útočil především v Afghánistánu a Indii, využíval upravenou verzi „AhMyth“ Android RAT – opensourcového malwaru, který je dostupný na GitHub.
Není velkým překvapením, že od poloviny března začaly APT skupiny zneužívat situaci okolo onemocnění COVID-19. Nedošlo ale k žádným výrazným změnám v používaných taktikách a technikách, pouze ke zneužití aktuálního tématu k okradení uživatelů.
„Aktivita APT hackerů se během pandemie nezastavila. Někteří se snažili využít situace ke zlepšení své pověsti, když oznámili, že prozatím nebudou cílit na zdravotnická zařízení. Z našich zjištění vyplývá, že geopolitický boj a finanční zisky jsou stále hlavními hnacími silami APT skupin. Mobilní zařízení se stávají stále lákavějším cílem kyberzločinců, především nově se objevujících hráčů s kreativními řešeními. Naopak dlouholeté APT skupiny nebyly v prvním kvartále téměř vidět. To je pravděpodobně následek měnících se podmínek. Musím ale dodat, že nemůžeme mít přehled o celém prostředí pokročilých trvalých hrozeb, a tak jistě existuje aktivita, kterou jsme ještě plně nedetekovali nebo nerozkryli. Z toho důvodu je nezbytná ochrana jak před známými, tak i neznámi hrozbami,“ říká Vicente Diaz, vrchní bezpečnostní odborník týmu GReAT ve společnosti Kaspersky.
Více informací o trendech APT hrozeb za první čtvrtletí tohoto roku se dozvíte na blogu Securelist. (7.5.2020)