Во втором квартале 2019 года в рамках деятельности по продвинутой долгосрочной киберугрозе (APT) было задействовано много операций, направленных на цели на Ближнем Востоке или в Южной Корее.
Хотя целью значительной части этих действий был кибершпионаж или финансовая выгода, кажется, что по крайней мере одна кампания была проведена с целью распространения дезинформации.
В мае исследователи Касперского изучили ресурсы кибершпионажа, которые просочились в иранское подразделение, и пришли к выводу, что причиной утечки может быть Hades, группировка, связанная с кампанией ExPetr и кибератакой на инфраструктуру зимних Олимпийских игр в Пхенчхане.
Во втором квартале 2019 года исследователи Касперского наблюдали интересную активность на Ближнем Востоке.
Он включал в себя серию утечек в Интернете, касающихся таких ресурсов, как код, инфраструктура, группировка данных и жертвы.
Утечки произошли из разных источников, но все они произошли в течение нескольких недель.
В рамках третьей утечки в Интернете, которая якобы раскрыла информацию, относящуюся к организации под названием «Институт RANA», материал на персидском языке появился на сайте под названием «Скрытая реальность».
Анализируя используемые материалы, инфраструктуру и веб-сайт, исследователи Касперского пришли к выводу, что кибергруппа Hades может быть связана с этой утечкой.
Эта группа стоит за инцидентом OlympicDestroyer на зимних Олимпийских играх в Пхеньяне, а также за червем ExPetr и различными кампаниями, направленными на дезинформацию, такими как утечка электронной почты в связи с президентской кампанией Эммануила Макрона во Франции в 2017 году.
Другие ключевые события, связанные с деятельностью APT во втором квартале 2019 года:
Атаки группы Turla по-прежнему характеризовались использованием быстро развивающегося набора инструментов, и в одном случае предполагалось, что эта группа «похитила» инфраструктуру, принадлежащую OilRig.
Был высокий уровень активности, связанный с Кореей, в то время как остальная часть Юго-Восточной Азии была более спокойной по сравнению с предыдущими кварталами.
Операции, которые заслуживают внимания, - это атака, проведенная Lazarus на мобильную игровую компанию в Южной Корее, и кампания, проведенная BlueNoroff, подгруппой банды Lazarus, целью которой был банк, расположенный в Бангладеш.
Исследователи также наблюдали активную кампанию, нацеленную на государственные структуры в Центральной Азии, которая проводилась русскоязычной группой APT SixLittleMonkeys с использованием новой версии трояна Microcin и, на последнем этапе, инструмента удаленного администрирования, который Касперский назвал именем HawkEye.
Второй квартал 2019 года показывает, насколько туманным и обманчивым стал ландшафт угроз и как часто реальность оказывается совершенно иной, чем казалось раньше. Примером может служить киберпреступная группа, которая «похитила» инфраструктуру небольшой банды, и группа, которая, вероятно, использовала серию утечек в Интернет для распространения дезинформации и подрыва доверия к раскрытым активам.
Индустрия безопасности сталкивается со все более сложной задачей разоблачения внешности, чтобы получить факты и аналитические данные об угрозах, на которых основана кибербезопасность. Как всегда, стоит добавить, что у нас нет полной картины, и некоторые действия могли ускользнуть от нас или не были полностью поняты нами. - сказал Висенте Диаз, главный исследователь по кибербезопасности в «Касперском».