Na początek definicja. APT (advanced persistent threat) to ukryty aktor zagrożeń, zazwyczaj państwo lub grupa sponsorowana przez państwo, która uzyskuje nieautoryzowany dostęp do sieci komputerowej i pozostaje niewykryta przez dłuższy czas. Termin ten może również odnosić się do grup niezależnych od państwa, które przeprowadzają ukierunkowane włamania na dużą skalę.
Motywacje takich aktorów są zazwyczaj polityczne lub ekonomiczne. Każdy duży sektor biznesu odnotował przypadki cyberataków przeprowadzanych przez hakerów w określonych celach, czy to kradzieży, szpiegowania, czy zakłócania. Niektóre grupy wykorzystują tradycyjne wektory szpiegostwa, w tym inżynierię społeczną, wywiad ludzki i infiltrację, aby uzyskać dostęp do fizycznej lokalizacji w celu skompromitowania infrastruktury.
Jak wygląda krajobraz grup APT?
Daje na to odpowiedź raport ESET. Dostępny tutaj. Podsumowano w nim godne uwagi działania wybranych grup APT od kwietnia do września 2024 r.
Raport podzielony jest na państwa sponsorujące, ale podkreśla operacje reprezentatywne dla szerszego spektrum zagrożeń. Ilustruje kluczowe trendy i wydarzenia chociaż, jak twierdzą autorzy, zawiera tylko niewielką część danych wywiadowczych zebranych przez ESET APT.
Chiny
Jedną z wymienianych w raporcie grup jest MirrorFace. Zazwyczaj skupiała się
na podmiotach japońskich, po raz pierwszy, w badanym okresie, grupa rozszerzyła swoje działania o organizację dyplomatyczne w Unii Europejskiej, jednocześnie nadal priorytetowo traktując swoje japońskie cele. Ponadto powiązane z Chinami grupy APT coraz częściej polegają na otwartym kodzie źródłowym i wieloplatformowej sieci VPN SoftEther, aby utrzymać dostęp do infrastruktury ofiar. SoftEther VPN jest ulubionym narzędziem innej grupy APT tj. Flax Typhoon. Z kolei chińska grupa- Webworm zastąpiła swojego w pełni funkcjonalnego backdoora SoftEther VPN Bridge na komputerach organizacji rządowych w UE. Ten sam VPN jest używany przez GALLIUM w atakach na operatorów telekomunikacyjnych w Afryce.
Iran
Grupy powiązane z Iranem naruszyły bezpieczeństwo kilku firm świadczących usługi finansowe w Afryce – kontynencie geopolitycznie ważnym dla Iranu; prowadziły cyberszpiegostwo przeciwko Irakowi i Azerbejdżanowi, sąsiednim krajom, z którymi Iran ma złożone relacje. Zwiększyły również swoje zainteresowanie sektorem transportu w Izraelu. Pomimo tego pozornie wąskiego geograficznego ukierunkowania, Irańskie grupy APT zaatakowały wysłanników dyplomatycznych we Francji i organizacje edukacyjne w Stanach Zjednoczonych.
Korea Północna
Grupy ATP z Korei Północnej koncentrują się na kradzieży funduszy – zarówno tradycyjnych walut, jak i kryptowalut – w celu wsparcia reżimu. Grupy te kontynuowały ataki na firmy obronne i lotnicze w Europie oraz USA, a także atakowały deweloperów kryptowalut, ośrodki analityczne i organizacje pozarządowe. Jedna z takich grup, Kimsuky, zaczęła hakować pliki Microsoft Management Console, które są zwykle używane przez administratorów systemów, ale mogą wykonywać dowolne polecenia systemu Windows. Ponadto kilka grup powiązanych z Koreą Północną wzięło na cel popularne usługi w chmurze, w tym Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub i Bitbucket.
Badacze ESET odkryli lukę umożliwiającą zdalne wykonanie kodu w WPS Office dla systemu Windows. Atak wykorzystujący exploit przypisany został powiązanej z Koreą Południową grupie APT-C-60.
Rosja
Grupy cybernetycznego szpiegostwa powiązane z Rosją, często atakowały serwery poczty internetowej, takie jak Roundcube i Zimbra, zazwyczaj za pomocą wiadomości e-mail typu spearphishing, które wyzwalają znane luki XSS.
Analitycy z ESET wyróżniają dwie rosyjskie grupy: Sednit atakującą podmioty rządowe, akademickie i związane z obronnością na całym świecie oraz GreenCube. Ta druga kradnie wiadomości e-mail za pośrednictwem luk XSS w Roundcube.
Oczywiście działalność rosyjskich grup determinuje wojna w Ukrainie. Gamaredon wdraża duże kampanie spearphishingu, przerabiając jednocześnie swoje narzędzia, wykorzystując aplikacje do przesyłania wiadomości Telegram i Signal. Sandworm wykorzystał swój nowy backdoor Windows – WrongSens, oraz zaawansowane złośliwe oprogramowanie Linux: LOADGRIP i BIASBOAT.
Opisane w raporcie analizy, są częścią działalności wywiadowczej, której szczegóły są udostępniane w ramach usługi ESET Threat intelligence. Pomagają organizacjom odpowiedzialnym za ochronę obywateli, krytycznej infrastruktury i wartościowych aktywów zabezpieczyć się przed cyberatakami kierowanymi przez państwa lub wrogie grupy przestępcze
Raporty APT są dobrym uzupełnieniem rozwiązań ESET, które chronią organizacje przed złośliwymi działaniami opisanymi w tym raporcie. Warto zainteresować się kompleksowymi narzędziami ochrony. Takimi które będą pracować wieloplatformowo: na stacjach roboczych, urządzeniach mobilnych, serwerach czy też będą chronić aplikacje w chmurze. Przykładem kompleksowego rozwiązania jest pakiet ESET PROTECT Elite, który zawiera zaawansowane narzędzie klasy XDR (Extended Detection & Response) służące do wykrywania i reagowania na ataki.
Pakiet umożliwia sandboxing w chmurze oraz zarządzanie podatnościami. Warto również wymienić funkcjonalności wspomagające bezpieczeństwo. Takie jak uwierzytelnienie wieloskładnikowe czy szyfrowanie dysków. Więcej informacji na temat rozwiązania możesz znaleźć tutaj.