Le APT, minacce avanzate persistenti, rilevate nel secondo trimestre del 2019 hanno preso di mira o avevano origine in Paesi quali Medio Oriente e Corea del Sud.
Gran parte degli attacchi si sono concentrati su attività di cyber-spionaggio o attività volte ad ottenere un profitto economico. Almeno una delle campagne rilevate era, invece, destinata a diffondere notizie false.
A maggio, i ricercatori di Kaspersky hanno analizzato una fuga di notizie frutto di un’apparente attività di spionaggio informatico perpetrata da un’entità iraniana e sono giunti alla conclusione che il gruppo criminale che si nascondeva dietro l’attacco fosse Hades, un gruppo collegato anche a ExPetr e all’attacco informatico rivolto ai Giochi Olimpici invernali del 2018.
Questi e altri trend sulle attività APT in tutto il mondo sono riportate nell’ultimo report trimestrale di threat intelligence di Kaspersky.
Il report trimestrale sui trend APT è il risultato della ricerca di threat intelligence di Kaspersky ed evidenzia i principali sviluppi di questo tipo di attività.
Nel secondo trimestre del 2019, i ricercatori di Kaspersky hanno osservato alcune interessanti attività in Medio Oriente ad opera di noti criminali informatici di lingua persiana quali OilRig e MuddyWater.
Tra queste attività sono state rilevate la fuga di notizie online relative ad asset quali codici, infrastrutture, dettagli sul gruppo e le presunte vittime. Le fughe di notizie provenivano da fonti diverse ma sono state diffuse nel giro di poche settimane l’una dall’altra. La terza fuga di notizie online, che ha diffuso informazioni relative a un’entità chiamata “RANA institute”, è stata pubblicata in lingua persiana su un sito web chiamato “Hidden Reality”.
L’analisi effettuata dai ricercatori di Kaspersky su materiali, infrastrutture e sul sito web dedicato che è stato utilizzato, ha portato alla conclusione che questa fuga di notizie potesse essere collegata al gruppo criminale Hades. Hades è lo stesso gruppo criminale artefice dell’incidente OlympicDestroyer che ha preso di mira i Giochi Olimpici Invernali del 2018, così come il worm ExPetr e le varie campagne di disinformazione come la fuga di email relative alla campagna elettorale presidenziale di Emmanuel Macron in Francia nel 2017.
Altri punti salienti del report sui trend APT rilevati nel secondo trimestre 2019:
I gruppi criminali di lingua russa continuano a perfezionare e rilasciare costantemente nuovi strumenti e a lanciare nuove operazioni. Ad esempio, da marzo, Zebrocy sembra aver rivolto la sua attenzione agli eventi, ai funzionari, ai diplomatici e ai militari di Pakistan e India, oltre a mantenere un accesso continuo alle reti locali e remote del governo dell’Asia centrale. Gli attacchi di Turla hanno continuato a presentare un set di strumenti in rapida evoluzione e, in un caso significativo, l’apparente hijacking di infrastrutture appartenenti a OilRig.
L’attività legata alla Corea ha continuato ad essere intensa, mentre il resto dell’Asia sudorientale ha avuto meno attività di questo tipo rispetto ai trimestri precedenti. Tra le operazioni da segnalare va menzionato un attacco del gruppo Lazarus che ha preso di mira una società di mobile gaming in Corea del Sud e una campagna di BlueNoroff, il sottogruppo di Lazarus, che ha preso di mira, invece, una banca situata in Bangladesh e software di crypto-currency.
I ricercatori hanno anche osservato una campagna attiva che prendeva di mira gli enti governativi dell’Asia Centrale perpetrata da un gruppo cinese APT SixLittleMonkeys, utilizzando una nuova versione del Microcin Trojan e un RAT che Kaspersky chiama HawkEye.
“Il secondo trimestre del 2019 mostra quanto sia diventato confuso e poco chiaro il panorama delle minacce e quanto spesso le cose appaiano diverse dalla realtà. Tra le altre cose, abbiamo avuto modo di osservare un autore delle minacce che ha effettuato l’hijacking di un’infrastruttura di un gruppo più piccolo e abbiamo rilevato un altro gruppo che sfruttava una serie di fughe di notizie online per diffondere disinformazione e minare la credibilità degli asset esposti. Chi si occupa di sicurezza non deve farsi ingannare e deve essere in grado di ricostruire i fatti e fare la vera threat intelligence su cui si basa la sicurezza informatica. Come sempre è importante sottolineare che la visibilità che possiamo avere non è completa ed esistono attività che non abbiamo ancora rilevato o non sono state ancora completamente comprese – quindi la protezione contro le minacce note e sconosciute rimane vitale per tutti”, ha dichiarato Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky.
Il report sui trend APT rilevati nel secondo trimestre riassume i risultati dei report di threat intelligence riservati agli abbonati di Kaspersky che includono anche i dati IOC (Indicators of Compromise) e i dati e le regole YARA che supportano le indagini forensics e la caccia ai malware. Per ulteriori informazioni è possibile contattare: intelreports@kaspersky.com
Per evitare di essere tra le vittime di un attacco mirato, i ricercatori di Kaspersky raccomandano di seguire le seguenti indicazioni:
Fornire al proprio team SOC l’accesso alla Threat Intelligence più aggiornata per essere sempre informati sugli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli autori delle minacce e dai criminali informatici.
Per il rilevamento a livello endpoint, le indagini ed una reazione tempestiva agli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
Oltre ad adottare una protezione per gli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come la piattaforma Kaspersky Anti Targeted Attack Platform.
Poiché molti attacchi mirati hanno sfruttano tecniche come il phishing o l’ingegneria sociale, è importante introdurre corsi di formazione sulla sicurezza ad esempio attraverso la piattaforma Kaspersky Automated Security Awareness Platform.
