Nel corso dei primi tre mesi del 2018 i ricercatori di Kaspersky Lab hanno scoperto una nuova ondata di attività APT localizzate principalmente in Asia – più del 30% dei report dei primi tre mesi tratta di minacce in questa regione
Nel primo trimestre del 2018, i ricercatori di Kaspersky Lab hanno continuato a registrare cyber attività da parte di gruppi APT (Advanced Persistent Threat) di lingua russa, cinese, inglese e coreana, tra le altre. E mentre alcuni attori conosciuti non hanno mostrato alcuna attività di rilievo, un numero crescente di operazioni APT e nuovi attori di minacce sono stati rilevati nella regione asiatica. Questa crescita si spiega in parte con l’attacco malware Olympic Destroyer ai Giochi Olimpici di Pyeongchang.
Tra i punti salienti del report per il primo trimestre del 2018 troviamo:
- La crescita costante di azioni cybercriminali da parte di attori di lingua cinese, compreso il gruppo ShaggyPanther – la cui attività è rivolta ad enti governativi concentrati principalmente a Taiwan e in Malesia – e CardinalLizard, che ha focalizzato la sua attenzione sulla Malesia, mantenendo il focus già esistente su Filippine, Russia e Mongolia.
- Il rilevamento di attività APT nell’Asia meridionale. Organi militari pachistani sono stati attaccati dal gruppo Sidewinder, appena scoperto.
- L’APT IronHusky sembra aver interrotto le sue attività verso gli enti militari russi, trasferendo tutti i suoi sforzi sulla Mongolia. Alla fine di gennaio 2018, questo gruppo di lingua cinese ha lanciato un attacco verso le organizzazioni governative mongole prima del loro incontro con il Fondo Monetario Internazionale (FMI).
- La penisola coreana rimane nel mirino. L’APT di Kimsuky, che prende di mira i think thank e le attività politiche della Corea del Sud, ha rinnovato il suo arsenale con un framework completamente nuovo, progettato per il cyberspionaggio e utilizzato in una campagna di spear-phishing. Inoltre, una parte del famigerato gruppo Lazarus, Bluenoroff, è passato a nuovi obiettivi tra cui società di criptovalute e POS (Point of Sales).
Kaspersky Lab ha anche rilevato un picco di attività cybercriminale in Medio Oriente. Per esempio, l’APT StrongPity ha lanciato una serie di nuovi attacchi MiTM (Man-in-the-Middle) sulle reti di provider di servizi Internet (ISP). Un altro gruppo di cybercriminali altamente qualificato, i Desert Falcon, è tornato a puntare ai dispositivi Android con malware già usati nel 2014.
Sempre nel primo trimestre, i ricercatori di Kaspersky Lab hanno scoperto diversi gruppi sistematicamente interessati a colpire con le loro campagne router e hardware di rete, un tipo di approccio già adottato anni fa da attori come Regin e CloudAtlas. Secondo gli esperti i router continueranno ad essere un bersaglio per i criminali, un modo perfetto per introdursi nell’infrastruttura delle vittime.
“Nel corso dei primi tre mesi dell’anno abbiamo identificato una serie di nuovi gruppi di cybercriminali attivi con diversi livelli di sofisticazione; nel complesso, tutti hanno utilizzato i malware più comuni e accessibili. Nello stesso tempo non abbiamo rintracciato alcuna attività significativa da parte di attori già noti. Questi fatti ci portano a pensare che le organizzazioni stiano riprogettando le loro strategie e riorganizzando i loro team per attacchi futuri” ha commentato Vicente Diaz, Principal Security Researcher del Global Research & Analysis Team (GReAT) di Kaspersky Lab.
Il nuovo report sulle tendenze APT del primo trimestre del 2018 illustra le scoperte dei rapporti sulle minacce informatiche degli utenti Kaspersky Lab. Nel corso dei primi tre mesi del 2018, il team di ricerca globale e analisi di Kaspersky Lab ha prodotto 27 report privati per gli abbonati, con dati sugli Indicatori di Compromissione (IOC) e regole YARA per aiutarli nella ricerca forense e nell’individuazione dei malware.