Η Kaspersky με έκθεσή της για τις τάσεις στις Προηγμένες Επίμονες Απειλές (APT – Advanced Persistent Threats) αποκαλύπτει την έντονη δραστηριότητα που καταγράφηκε το πρώτο τρίμηνο του 2023. Υπήρξε ένας συνδυασμός νέων και καθιερωμένων απειλητικών φορέων που εντοπίζονται σε μια σειρά από εκστρατείες. Η έκθεση δείχνει ότι, κατά τη διάρκεια αυτής της περιόδου, οι APT φορείς ήταν απασχολημένοι με την ενημέρωση των εργαλείων τους και την επέκταση των φορέων επίθεσης τόσο από γεωγραφική άποψη όσο και από άποψη βιομηχανιών-στόχων.
Κατά τη διάρκεια των πρώτων τριών μηνών του 2023, οι ερευνητές της Kaspersky ανακάλυψαν νέα εργαλεία, τεχνικές και εκστρατείες που ξεκίνησαν από ομάδες APT για επιθέσεις στον κυβερνοχώρο σε όλο τον κόσμο. Η έκθεση τάσεων APT προέρχεται από την ιδιωτική έρευνα πληροφόρησης απειλών και σημαντικών εξελίξεων της Kaspersky, καθώς και από περιστατικά στον κυβερνοχώρο που οι ερευνητές πιστεύουν ότι όλοι πρέπει να γνωρίζουν. Η έκθεση τόνισε πολλές τάσεις, όπως:
Νέες τεχνικές και ενημερωμένα εργαλεία
Οι APT φορείς αναζητούν συνεχώς νέους τρόπους για να εκτελέσουν τις επιθέσεις τους προκειμένου να αποφύγουν τον εντοπισμό και να επιτύχουν τους στόχους τους. Στο 1ο τρίμηνο του 2023, οι ερευνητές της Kaspersky είδαν ότι καθιερωμένοι απειλητικοί φορείς όπως οι Turla, MuddyWater, Winnti, Lazarus και ScarCruft - οι οποίοι βρίσκονται στην αρένα των APT για πολλά χρόνια - δεν μένουν αμετάβλητοι αλλά συνεχίζουν να αναπτύσσουν τα εργαλεία τους. Για παράδειγμα, η Turla έχει εντοπιστεί να χρησιμοποιεί το TunnusSched backdoor, ένα σχετικά ασυνήθιστο εργαλείο για αυτήν την ομάδα, το οποίο είναι γνωστό ότι χρησιμοποιεί η Tomiris. Αυτό δείχνει πώς οι καθιερωμένοι APT φορείς προσαρμόζονται και εξελίσσουν τις τακτικές τους για να παραμένουν μπροστά από τις εξελίξεις.
Υπήρξαν επίσης εκστρατείες από φορείς απειλών που ανακαλύφθηκαν πρόσφατα, όπως η Trila, που στόχευε Λιβανέζικες κυβερνητικές οντότητες.
Περισσότερες βιομηχανίες γίνονται αντικείμενο ενδιαφέροντος για τους APT φορείς
Οι APT φορείς συνεχίζουν να επεκτείνονται πέρα από τα παραδοσιακά θύματά τους, όπως κρατικοί θεσμοί και στόχοι υψηλού προφίλ, για να συμπεριλάβουν τους τομείς της αεροπορίας, της ενέργειας, της μεταποίησης, των ακινήτων, των οικονομικών, των τηλεπικοινωνιών, της επιστημονικής έρευνας, της πληροφορικής και του gaming. Τέτοιες εταιρείες διαθέτουν σημαντικές ποσότητες δεδομένων που εξυπηρετούν στρατηγικές απαιτήσεις που σχετίζονται με εθνικές προτεραιότητες ή δημιουργούν πρόσθετες προσβάσεις και φορείς για τη διευκόλυνση μελλοντικών εκστρατειών.
Γεωγραφική επέκταση
Οι ειδικοί της Kaspersky έχουν επίσης δει προηγμένους φορείς να εκτελούν επιθέσεις με επίκεντρο την Ευρώπη, τις ΗΠΑ, τη Μέση Ανατολή και διάφορα μέρη της Ασίας. Ενώ οι περισσότεροι δράστες στο παρελθόν στόχευαν θύματα σε συγκεκριμένες χώρες, όλο και περισσότεροι APT φορείς στοχεύουν πλέον σε θύματα παγκοσμίως. Για παράδειγμα, η MuddyWater, ένας απειλητικός φορέας που προηγουμένως έδειχνε προτίμηση στη στόχευση οντοτήτων στη Μέση Ανατολή και τη Βόρεια Αφρική, έχει επεκτείνει την κακόβουλη δραστηριότητά του σε οργανισμούς στο Αζερμπαϊτζάν, την Αρμενία, τη Μαλαισία και τον Καναδά, επιπλέον των προηγούμενων στόχων της σε Σαουδική Αραβία, Τουρκία, ΗΑΕ, Αίγυπτο, Ιορδανία, Μπαχρέιν και Κουβέιτ.
«Ενώ παρακολουθούμε τους ίδιους APT φορείς για δεκαετίες, είναι σαφές ότι εξελίσσονται συνεχώς με νέες τεχνικές και εργαλεία. Επιπλέον, η εμφάνιση νέων παραγόντων απειλής σημαίνει ότι το τοπίο των APT αλλάζει γρήγορα, ειδικά σε αυτούς τους ταραχώδεις καιρούς. Οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να διασφαλίσουν ότι είναι εξοπλισμένοι με πληροφορίες για τις απειλές και τα κατάλληλα εργαλεία για να αμυνθούν από υπάρχουσες και αναδυόμενες απειλές. Με το να μοιραζόμαστε τις γνώσεις και τα ευρήματά μας, στοχεύουμε να δώσουμε τη δυνατότητα στους επαγγελματίες της κυβερνοασφάλειας να είναι προετοιμασμένοι έναντι απειλών υψηλού προφίλ», σχολιάζει ο David Emm, κύριος ερευνητής ασφάλειας στην Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky (GReAT).
Για να αποφύγετε να πέσετε θύμα στοχευμένης επίθεσης από γνωστό ή άγνωστο απειλητικό φορέα, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των ακόλουθων μέτρων:
- Ενημερώστε το λειτουργικό σύστημα Microsoft Windows OS και άλλα λογισμικά τρίτων το συντομότερο δυνατό και να το κάνετε τακτικά.
- Αναβαθμίστε την ομάδα κυβερνοασφάλειάς σας για την αντιμετώπιση των πιο πρόσφατων στοχευμένων απειλών με το Kaspersky online training που αναπτύχθηκε από ειδικούς της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky.
- Για ανίχνευση, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών σε επίπεδο τερματικού σημείου, εφαρμόστε λύσεις EDR όπως το Kaspersky Endpoint Detection and Response.
- Εκτός από την υιοθέτηση βασικής προστασίας τερματικού σημείου, εφαρμόστε μια λύση ασφάλειας εταιρικού επιπέδου που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως η Kaspersky Anti Targeted Attack Platform.
- Καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με ηλεκτρονικό phishing ή άλλες τεχνικές κοινωνικής μηχανικής, εισαγάγετε ενημερωτική εκπαίδευση σχετικά με την ασφάλεια και διδάξτε πρακτικές δεξιότητες στην ομάδα σας – για παράδειγμα, μέσω της Kaspersky Automated Security Awareness Platform.