English
Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendinţă interesantă: în timp ce mulţi atacatori cibernetici avansează şi continuă să îşi diversifice seturile de instrumente, recurgând uneori la unele extrem de bine personalizate şi persistente, alţii îşi ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate în timp. Aceasta şi alte tendinţe APT din diferite părţi ale lumii sunt prezentate în cel mai recent raport trimestrial de informaţii despre ameninţările cibernetice, realizat de Kaspersky, conform unui comunicat trimis redacţiei.
În al treilea trimestru al anului 2020, cercetătorii Kaspersky au observat o divizare a abordării generale folosite de atacatori - multiple evoluţii în tacticile, tehnicile şi procedurile (TTP) grupurilor APT din întreaga lume au fost analizate alături de campanii eficiente care au folosit vectori şi instrumente de infectare destul de banale.
Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfăşurată de un actor necunoscut, care a decis să distrugă sistemul de securitate al uneia dintre victime, folosind un bootkit personalizat pentru UEFI - o componentă hardware esenţială a oricărui dispozitiv computerizat modern. Acest vector a făcut parte dintr-un plan în mai multe etape, denumit MosaicRegressor. Răspândirea UEFI a făcut ca malware-ul plantat pe dispozitiv să fie extrem de persistent şi extrem de greu de eliminat. În plus, informaţia descărcată de malware pe dispozitivul fiecărei victime putea fi diferită - această abordare flexibilă i-a permis actorului să se ascundă şi mai multă vreme.
Alţi infractori cibernetici folosesc steganografia. O nouă metodă care foloseşte binarul Windows Defender semnat Authenticode, un program aprobat, parte integrantă pentru soluţia de securitate Windows Defender, a fost detectată într-un atac asupra unei companii de telecomunicaţii din Europa. O campanie în curs atribuită lui Ke3chang a folosit o nouă versiune a backdoor-ului Okrum. Această versiune actualizată a Okrum foloseşte un binar Windows Defender semnat Authenticode prin utilizarea unei tehnici unice de încărcare laterală. Atacatorii au folosit steganografia pentru a ascunde informaţia principală în executabilul Defender, păstrând în acelaşi timp semnătura digitală validă, şi reducând astfel şansele de detectare.
Mulţi alţi atacatori cibernetici continuă, de asemenea, să îşi actualizeze seturile de instrumente pentru a le face mai flexibile şi mai greu de detectat. Diverse planuri organizate în mai multe etape, precum cel dezvoltat de grupul MuddyWater APT continuă să apară. Această tendinţă este valabilă şi pentru alte programe malware - de exemplu, Dtrack RAT (instrument de acces la distanţă), care a fost actualizat cu o nouă caracteristică care permite atacatorului să folosească mai multe tipuri de informaţie utilă.
Cu toate acestea, unii atacatori încă folosesc cu succes instrumente cu tehnologie rudimentară. Un exemplu este un grup de mercenari numit DeathStalker de către cercetătorii Kaspersky. Acest APT se concentrează în principal pe firme de avocatură şi companii care activează în sectorul financiar, colectând informaţii importante de la victime. Folosind tehnici care au fost în mare parte aceleaşi din 2018, concentrarea pe evitarea detectării a permis DeathStalker să continue să efectueze o serie de atacuri de succes.
"În timp ce unii atacatori cibernetici rămân consecvenţi în timp şi pur şi simplu caută să folosească subiecte interesante precum COVID-19 pentru a atrage victimele să descarce ataşamente rău intenţionate, alte grupuri se reinventează şi îşi perfecţionează seturile de instrumente", comentează Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team, Kaspersky. "Diversificarea platformelor atacate, concentrarea asupra unor noi lanţuri de compromitere a securităţii şi utilizarea serviciilor legitime ca parte a infrastructurii lor de atac, este ceva la care am asistat în ultimul trimestru. În general, pentru specialiştii în securitate cibernetică acest lucru înseamnă că multe companii care se concentrează pe securitatea datelor trebuie să investească resurse în detectarea de activităţi periculoase în medii noi, posibil legitime, care au fost examinate mai puţin în trecut. Aici facem referire la programe malware scrise în limbaje de programare mai puţin cunoscute, sau transmise prin servicii cloud legitime. Urmărirea activităţilor atacatorilor şi a TTP-urilor ne permite să detectăm, pe măsură ce se dezvoltă, noile tehnici şi instrumente şi astfel să ne pregătim să reacţionăm la noi atacuri în timp util."
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
