Durante il secondo trimestre del 2018, i ricercatori di Kaspersky Lab hanno rilevato un alto tasso di attività nel panorama delle campagne APT, con una forte concentrazione soprattutto in Asia e il coinvolgimento di gruppi di cybercriminali sia noti che meno noti
Nel secondo trimestre del 2018, i ricercatori di Kaspersky Lab hanno portato avanti le loro scoperte a proposito di nuovi strumenti, tecniche e campagne lanciate da gruppi APT (Advanced Persistent Threat), alcuni dei quali erano rimasti inattivi per diversi anni. L’Asia mantiene un ruolo centrale in fatto di attività APT: gruppi regionali, come Lazarus o ScarCruft, di lingua coreana, sono stati particolarmente attivi, e i ricercatori hanno scoperto anche un nuovo strumento, chiamato LightNeuron, utilizzato dal gruppo di lingua russa Turla per prendere di mira l’Asia Centrale e il Medio Oriente.
Tra i punti salienti del report, per il secondo trimestre del 2018, troviamo:
- Il ritorno degli attori dietro Olympic Destroyer. Dopo l’attacco avvenuto nel gennaio 2018 contro i giochi olimpici invernali di Pyeongchang, i ricercatori hanno scoperto quella che pensavano fosse una nuova attività da parte degli attori di questa minaccia, indirizzata ad organizzazioni finanziarie in Russia e a laboratori di prevenzione dai pericoli biochimici in Europa e in Ucraina. Un certo numero di indicatori suggerisce, con un livello di sicurezza medio-basso, un legame tra Olympic Destroyer e il gruppo di lingua russa dietro Sofacy.
- Lazarus / BlueNoroff. Ci sono stati alcuni segnali del fatto che questa campagna APT di alto profilo fosse mirata ad alcune istituzioni finanziarie in Turchia e che al contempo facesse parte di una più grande campagna di cyberspionaggio, che includeva tra gli obiettivi anche alcuni casinò dell’America Latina. Queste operazioni suggeriscono come l’attività con fini di carattere economico stia proseguendo per questo gruppo, nonostante i colloqui di pace nordcoreani in corso.
- I ricercatori hanno osservato un’intensa attività da parte del gruppo APT ScarCruft, il quale ha effettuato attacchi attraverso l’utilizzo di malware per Android e ha avviato un’operazione sfruttando una nuova backdoor che i ricercatori hanno chiamato POORWEB.
- Riguardo alla campagna APT LuckyMouse, gruppo di lingua cinese conosciuto anche con il nome di APT 27 e noto in precedenza per aver sfruttato alcuni Internet Service Provider in Asia per attacchi di tipo “waterhole” lanciati attraverso siti internet di alto profilo, si è scoperto che ha attivamente colpito realtà governative in Kazakistan e in Mongolia, proprio nei periodi in cui questi governi hanno tenuto i loro incontri con la Cina.
- La campagna VPNFilter, scoperta da Cisco Talos e attribuita dall’FBI a Sofacy o a Sandworm, ha rivelato l’immensa vulnerabilità agli attacchi da parte di hardware di reti domestiche e delle soluzioni di storage. La minaccia è anche in grado di iniettare un malware nel traffico in modo da infettare i computer collegati al dispositivo di rete attaccato. L’analisi fatta da Kaspersky Lab ha confermato che tracce di questa campagna sono presenti in quasi tutti i paesi.
“Il secondo trimestre del 2018 è stato un periodo molto interessante per quanto riguarda le attività APT, con alcune campagne degne di nota che ci ricordano quanto siano diventate reali alcune delle minacce che abbiamo predetto nel corso degli ultimi anni. In particolare, avevamo segnalato a più riprese che gli hardware di rete sarebbero stati il luogo di sviluppo ideale per attacchi mirati e avevamo messo in luce l’esistenza e la diffusione di avanzate attività incentrate proprio su questo tipo di dispositivi”, ha affermato Vicente Diaz, Principal Security Researcher del Global Research & Analysis Team (GReAT) di Kaspersky Lab.
Il nuovo report sulle tendenze APT del secondo trimestre del 2018 illustra le scoperte dai rapporti sull’intelligence delle minacce informatiche degli utenti Kaspersky Lab, che includono anche i dati sugli Indicatori di Compromissione (IOC) e regole YARA per supportare le attività di analisi forense e “malware-hunting”.