Εξαιρετικά “πολυάσχολο” αποδείχθηκε το δεύτερο τρίμηνο του τρέχοντος έτους για τις προηγμένες επιθέσεις τύπου APT (Advanced Persistent Threats), βασικό γνώρισμα των οποίων είναι η επιμονή του επιτιθέμενου να αποκτήσει πρόσβαση στο δίκτυο του θύματος και να τη διατηρήσει μελλοντικά.
Κατά τη διάρκεια του δεύτερου τριμήνου του 2018, οι ερευνητές της Kaspersky Lab παρακολούθησαν ένα ενεργό τοπίο επιχειρήσεων APT με έδρα κυρίως την Ασία, το οποίο περιελάμβανε τόσο γνωστούς όσο και λιγότερο γνωστούς απειλητικούς φορείς. Ορισμένες ομάδες στόχευσαν ή τοποθέτησαν χρονικά τις εκστρατείες τους γύρω από ευαίσθητα γεωπολιτικά περιστατικά.
Στο δεύτερο τρίμηνο του 2018, οι ερευνητές της Kaspersky Lab συνέχισαν να αποκαλύπτουν νέα εργαλεία, τεχνικές και εκστρατείες που ξεκίνησαν από ομάδες τύπου APT, μερικές από τις οποίες ήταν αδρανείς για χρόνια. Η Ασία παρέμεινε το επίκεντρο του ενδιαφέροντος των APT: περιφερειακές ομάδες, όπως οι Κορεάτικης προέλευσης ομάδες Lazarus και Scarcruft, ήταν ιδιαίτερα απασχολημένες και οι ερευνητές ανακάλυψαν ένα εμφύτευμα που ονομάζεται LightNeuron και χρησιμοποιείται από τη ρωσόφωνη ομάδα Turla για να στοχεύσει την Κεντρική Ασία και τη Μέση Ανατολή.
Στα σημαντικά γεγονότα για το δεύτερο τρίμηνο του 2018 περιλαμβάνονται η επιστροφή του φορέα, που κρύβεται πίσω από τον Olympic Destroyer. Μετά την επίθεση που πραγματοποίησε τον Ιανουάριο του 2018 κατά των χειμερινών Ολυμπιακών αγώνων στο Pyeongchang, οι ερευνητές ανακάλυψαν ότι αυτό ήταν νέα δραστηριότητα από αυτόν τον φορέα με στόχο χρηματοπιστωτικούς οργανισμούς στη Ρωσία και τα βιοχημικά εργαστήρια πρόληψης απειλών στην Ευρώπη και την Ουκρανία.
Τουρκία και Λ. Αμερική
Επίσης, υπήρχαν ενδείξεις ότι η υψηλού προφίλ APT στοχεύει σε χρηματοπιστωτικά ιδρύματα στην Τουρκία, στο πλαίσιο μιας μεγαλύτερης εκστρατείας ψηφιακής κατασκοπείας, καθώς και σε καζίνο στη Λατινική Αμερική. Αυτές οι ενέργειες, σύμφωνα με τους αναλυτές, υποδηλώνουν ότι, υποκινούμενες από οικονομικά κίνητρα, δραστηριότητες συνεχίζονται ενεργά για αυτήν την ομάδα, παρά τις συνεχιζόμενες βορειοκορεατικές ειρηνευτικές συνομιλίες.
Στο μεταξύ, οι ερευνητές παρατήρησαν σχετικά υψηλή δραστηριότητα από τη Scarcruft APT, με τον απειλητικό φορέα να χρησιμοποιεί το κακόβουλο λογισμικό Android, εκκινώντας μια επιχείρηση με ένα νέο backdoor, το οποίο οι ερευνητές ονόμασαν POORWEB.
Επίσης, διαπιστώθηκε ότι η LuckyMouse APT, κινεζόφωνος απειλητικός φορέας, γνωστός ως APT 27, ο οποίος είχε παρατηρηθεί στο παρελθόν, καταχράστηκε τους ISPs στην Ασία για waterhole επιθέσεις μέσω ιστότοπων υψηλού προφίλ, και ο οποίος στοχεύει ενεργά σε κυβερνητικούς οργανισμούς στο Καζακστάν και τη Μογγολία την περίοδο που οι κυβερνήσεις αυτές πραγματοποίησαν συνάντηση στην Κίνα.
«Το δεύτερο τρίμηνο του 2018 ήταν πολύ ενδιαφέρον από άποψη δραστηριότητας των φορέων APT, με μερικές αξιοσημείωτες εκστρατείες να μας υπενθυμίζουν πόσο πραγματικές έχουν γίνει μερικές από τις απειλές που προβλέψαμε τα τελευταία χρόνια” αναφέρουν οι αναλυτές της Kaspersky Lab. Και προσθέτουν: “Έχουμε προειδοποιήσει επανειλημμένα ότι το hardware δικτύωσης είναι ιδανικό για στοχευμένες επιθέσεις και έχουμε υπογραμμίσει την ύπαρξη και διάδοση προηγμένης δραστηριότητας που επικεντρώνεται σε αυτές τις συσκευές».