Durante o segundo trimestre de 2018, os pesquisadores da Kaspersky Lab observaram um cenário dinâmico de operações de APTs, baseados principalmente na Ásia e envolvendo agentes de ameaças familiares e também menos conhecidos. Vários grupos direcionaram ou sincronizaram suas campanhas com incidentes geopolíticos delicados. Essas e outras tendências são abordadas no resumo trimestral de inteligência de ameaças da Kaspersky Lab.
Durante abril, maio e junho de 2018, os pesquisadores da Kaspersky Lab continuaram descobrindo novas ferramentas, técnicas e campanhas lançadas por grupos de ameaças persistentes avançadas (APTs), alguns deles inativos há anos. A Ásia permaneceu como epicentro de interesse das APTs: grupos regionais, como o Scarcruft e o Lazarus, de idioma coreano, estiveram especialmente atarefados, e os pesquisadores descobriram um implante chamado LightNeuron, usado pelo Turla, de idioma russo, para atacar a Ásia Central e o Oriente Médio.
Os destaques do segundo trimestre de 2018 incluem:
A volta do agente por trás do Olympic Destroyer. Depois do ataque aos Jogos Olímpicos de Inverno de Pyeongchang em janeiro de 2018, os pesquisadores descobriram o que acreditaram ser uma nova atividade desse agente, visando organizações financeiras na Rússia e laboratórios de prevenção de ameaças bioquímicas na Europa e Ucrânia. Vários indicadores sugerem existir, com confiança baixa a média, um elo entre o Olympic Destroyer e o agente de ameaças de idioma russo Sofacy.
Lazarus/BlueNoroff. Há indícios de que essa APT conhecida estava atacando instituições financeiras na Turquia como parte de uma campanha de espionagem cibernética maior, assim como cassinos na América Latina. Essas operações sugerem que o grupo continua realizando atividades com motivação financeira, apesar das negociações de paz norte-coreanas em andamento.
Os pesquisadores observaram uma atividade relativamente grande da APT Scarcruft, em que o agente da ameaça usa um malware no Android e executa uma operação com um novo backdoor que os pesquisadores chamaram de POORWEB.
Descobriu-se que a APT LuckyMouse, de um agente de ameaça de idioma russo, também conhecida como APT 27, que foi observada anteriormente lançando ataques de waterhole contra ISPs na Ásia por meio de sites de grande visibilidade, atingiu ativamente entidades governamentais do Cazaquistão e da Mongólia, aproximadamente no mesmo período em que esses governos se encontraram na China.
A campanha VPNFilter descoberta pela Cisco Talos e atribuída pelo FBI ao Sofacy ou Sandworm, revelou a imensa vulnerabilidade do hardware de redes domésticas e das soluções de armazenamento a ataques. A ameaça é capaz até de injetar o malware no tráfego para infectar os computadores que estão atrás do dispositivo de rede infectado. A análise da Kaspersky Lab confirmou que é possível encontrar rastros dessa campanha quase em todos os países.
“O segundo trimestre de 2018 foi muito interessante em termos de atividade de APTs, com algumas campanhas extraordinárias que nos mostram como algumas das ameaças que estamos prevendo ao longo dos últimos anos se tornaram reais. Em particular, fizemos repetidas advertências de que o hardware de rede é ideal para ataques direcionados e destacamos a existência e disseminação de atividades avançadas focadas nesses dispositivos”, disse Vicente Diaz, pesquisador-chefe de segurança da Equipe Global de Pesquisa e Análise da Kaspersky Lab (GreAt).
O Relatório de Tendências de APTs do segundo trimestre resume as conclusões dos relatórios de inteligência de ameaças exclusivos para assinantes da Kaspersky Lab, que também incluem dados de indicadores de comprometimento (IOC) e regras da YARA para auxiliar na perícia e na busca de malware