Cyberwojna w internecie. Raport ESET

ilustracja: bing.com/create

Zagrożenia z Bliskiego Wschodu: Iran uderza po ataku Hamasu

W październiku 2023 roku, po ataku Hamasu na Izrael, aktywność irańskich grup cyberzagrożeń gwałtownie wzrosła. Jak zauważają specjaliści z ESET, nastąpiła zmiana w strategii tych grup – wcześniej skupionych na cyberwywiadzie i ransomware – na bardziej destrukcyjne działania, takie jak pośrednictwo dostępu oraz ataki typu wiper, mające na celu zniszczenie danych. MuddyWater i Agrius, dwie z najbardziej znanych grup powiązanych z Iranem, przeprowadziły serię ataków, które uderzyły w różne sektory, w tym komunikację, rząd i sektor finansowy.

• Atak Agrius na izraelski sektor komunikacji: W listopadzie 2023 roku Agrius użył nowoczesnego BIOS wipera, co doprowadziło do paraliżu systemów wielu izraelskich firm. W atakach tych wykorzystano zmodyfikowane wersje narzędzia Red Petya, które wcześniej stosowano w innych operacjach sabotażowych.

ESET zauważa, że choć operacje te stały się bardziej agresywne, ich skuteczność spadła. Przyspieszone tempo działań doprowadziło do błędów operacyjnych, takich jak zbyt częste korzystanie z tych samych narzędzi i technik, co zwiększyło szanse na ich wykrycie.

Korea Północna nie tylko szpieguje, ale kradnie miliony w kryptowalutach

W świecie cyfrowym jednym z najgroźniejszych graczy pozostaje Korea Północna. Jej grupy, takie jak Lazarus, nieustannie prowadzą ataki na sektor kosmiczny i obronny. Jednak coraz większą uwagę przykuwają operacje przeciwko firmom z sektora kryptowalut. W 2023 roku, według danych ESET, Lazarus i inne północnokoreańskie grupy ukradły kryptowaluty o wartości sięgającej miliarda dolarów. To kropla w morzu finansowych strat, które zadano firmom na całym świecie.

• Techniki Lazarusa: Północnokoreańska grupa coraz częściej stosuje zaawansowane techniki ataków, takie jak supply-chain attacks, czyli ataki na łańcuch dostaw, które polegają na wprowadzaniu złośliwego kodu do oficjalnych aktualizacji oprogramowania.

Z kolei grupy takie jak ScarCruft i Konni skupiają się na wysoce ukierunkowanych atakach phishingowych, które umożliwiają im zdobycie dostępu do sieci rządowych w Korei Południowej i Rosji. W jednym z ataków Konni użyła trojanizowanego instalatora, co pozwoliło na infiltrację komputerów pracowników rosyjskiej ambasady.

Chiny – mistrzowie exploitacji

Chińskie grupy APT nie zwalniają tempa i wciąż wykorzystują luki w zabezpieczeniach publicznie dostępnych aplikacji. Mustang Panda, jedna z najlepiej znanych chińskich grup, skoncentrowała swoje działania na sektorze transportu morskiego, atakując firmy w Europie. Wśród ich ofiar znalazły się firmy z Norwegii, Grecji i Holandii, w tym także jednostki pływające.

• Technika DLL hijacking: Mustang Panda wykorzystywał technikę o nazwie DLL hijacking, aby zaatakować systemy komputerowe tych firm. W tym przypadku użyto plików z nieprawidłowymi sygnaturami cyfrowymi, co pozwoliło na przejęcie kontroli nad systemami ofiar.

Jednak największym wyzwaniem, przed którym stoją specjaliści ds. cyberbezpieczeństwa, są nowe chińskie grupy APT. CeranaKeeper, nowo zidentyfikowana grupa, działa podobnie do Mustang Panda, ale posiada własny, unikalny zestaw narzędzi. ESET śledzi działania obu grup, które zdają się korzystać z tego samego dostawcy narzędzi cyfrowych, co może sugerować współpracę na poziomie technicznym.

Rosyjskie cyberwojna trwa: Europa i Ukraina na celowniku

Rosja pozostaje jednym z najbardziej aktywnych graczy na cyfrowej arenie wojennej. W ciągu ostatnich miesięcy grupy powiązane z Rosją, takie jak Gamaredon, skoncentrowały swoje wysiłki na atakach wywiadowczych oraz operacjach sabotażowych wymierzonych w Ukrainę. Rosyjskie grupy są odpowiedzialne za dziesiątki ataków dziennie na ukraińskie systemy energetyczne.

• Atak na Kyivstar: W grudniu 2023 roku Sandworm przeprowadził atak na jednego z największych ukraińskich operatorów telekomunikacyjnych – Kyivstar. Atak ten, który doprowadził do przerw w działaniu sieci, został upubliczniony na prorosyjskich kanałach w Telegramie.

Rosyjskie grupy, takie jak Sednit, kontynuują również działania wywiadowcze w Europie, koncentrując się na rządowych instytucjach UE. W marcu 2024 roku Sednit przeprowadził serię ataków phishingowych, wykorzystując luki w zabezpieczeniach Microsoft Outlook (CVE-2024-21413).

Techniki, które dominują: phishing, ransomware i wipery

Raport ESET wyraźnie pokazuje, że grupy APT nadal najchętniej wykorzystują techniki phishingowe jako wstęp do większych operacji. W szczególności spearphishing – czyli ataki celowane na wybrane osoby lub organizacje – pozostaje ulubioną metodą początkowego dostępu.

• Phishing: Grupy powiązane z Rosją, takie jak Sednit i Callisto, stosują spearphishing jako główny wektor ataków. W jednym z ostatnich ataków na instytucje europejskie, e-maile zawierały złośliwe linki i załączniki, które po otwarciu umożliwiały atakującym przejęcie kontroli nad systemami ofiar.

Dodatkowo, w 2024 roku zauważono wzrost liczby ataków z użyciem oprogramowania typu wiper – złośliwego oprogramowania, które niszczy dane na zaatakowanych systemach. Te destrukcyjne ataki miały miejsce głównie na Bliskim Wschodzie, gdzie grupy irańskie, takie jak MuddyWater i Agrius, zaatakowały izraelskie firmy.

Sektory celów ataków grup APT (październik 2023 - marzec 2024):

Region	Sektor	Grupy APT powiązane z państwami
Europa	Rząd, obrona, energia	Rosja, Chiny
Bliski Wschód	Telekomunikacja, rząd	Iran, BladedFeline, POLONIUM
Azja	Przemysł kosmiczny, kryptowaluty	Korea Północna (Lazarus)
Ameryki	Rząd, energetyka	Chiny, Iran

Podsumowanie w liczbach

Iran

• 3 duże ataki w Izraelu z wykorzystaniem wiperów.
• 70% ataków na sektor komunikacyjny i rządowy.

Korea Północna:

• Wartość skradzionych kryptowalut w 2023 roku: 600 milionów – 1 miliard USD.
• 5 dużych kampanii phishingowych wymierzonych w przemysł obronny.

Rosja:

• 12 ataków dziennie na ukraińską infrastrukturę energetyczną.
• 4 udane operacje szpiegowskie w instytucjach UE.

Raport ESET pokazuje, że świat cyfrowy staje się coraz bardziej niebezpieczny, a zagrożenia cybernetyczne ewoluują w niespotykanym dotąd tempie. Zarówno rządy, jak i firmy muszą stawić czoła coraz bardziej zaawansowanym przeciwnikom, którzy stosują coraz to nowe techniki i narzędzia.

Cały raport APT Activity Report dostępny jest pod adresem:
https://dagma.eu/storage/_common/blog/doc/APT_Activity_Report_Q4_2023-Q1_2024.pdf