В первом квартале 2019 года русскоговорящие кибергруппировки в основном ушли в тень. Лишь немногие из них вели себя активно — например, Sofacy и Turla. Такие выводы сделала «Лаборатория Касперского» на основании мониторинга данных об APT-атаках в первые три месяца 2019 года. Эксперты предполагают, что, возможно, затишье связано с изменениями в этих структурах. Самой «громкой» кампанией прошедшего периода стала операция ShadowHammer — сложная целевая атака на цепочки поставок.
В январе, феврале и марте APT-атаки были нацелены преимущественно на жертвы, расположенные в Юго-Восточной Азии. Оставались активными и китайскоговорящие группировки, которые проводили в первом квартале кампании разного уровня сложности. Например, CactusPete, ведущая свою деятельность с 2012 года, внедряла новые варианты загрузчиков и бэкдоров, а также перекомпонованные эксплойты для уязвимости нулевого дня в движке VBScript, ранее использовавшиеся участниками группы DarkHotel.
По данным «Лаборатории Касперского», основным драйвером APT-атак в первом квартале была геополитика. Также злоумышленники довольно часто интересовались криптовалютами. Кроме того, атаки часто проводились с помощью коммерческого шпионского ПО: в первые три месяца года были обнаружены, к примеру, новый вариант программы FinSpy и операция LuckyMouse, для реализации которой использовались утекшие в сеть разработки компании Hacking Team.
«В подведении ежеквартальных итогов всегда есть элемент неожиданности. В процессе работы нам часто кажется, что не происходит ничего принципиально нового, но в конце квартала мы обнаруживаем, что на самом деле ландшафт угроз продолжает эволюционировать. Например, за прошедшие три месяца мы видели сложные атаки на цепочки поставок, атаки на криптовалюту и сильное влияние геополитики. Конечно, наше представление об угрозах не является полным. Мы знаем, что позже непременно столкнёмся с чем-либо, прежде нам неизвестным. Если некий регион или сектор ещё не появился на наших радарах, это не значит, что он не появится на них в будущем. Вот почему защита от известных и новых угроз остаётся для организаций по всему миру вопросом первостепенной важности», — прокомментировал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Отчёт «Лаборатории Касперского» основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают, в том числе, данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО.
Чтобы избежать риска стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует компаниям:
- предоставить команде SOC доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками;
- внедрить EDR-решение, например Kaspersky Endpoint Detection and Response, для обнаружения и изучения угроз, ориентированных на конечные устройства, и своевременного устранения последствий инцидентов;
- внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
- в связи с тем, что многие целевые атаки начинаются с применения фишинга или других техник социальной инженерии, проводить тренинги, которые позволяют повышать киберосведомлённость сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated Security Awareness Platform.