Secondo un recente report, nel corso del primo trimestre del 2018 è stata rilevata una nuova ondata di attività APT (Advanced Persistent Threat), localizzate principalmente in Asia, da parte di gruppi APT di lingua russa, cinese, inglese e coreana, tra le altre. E mentre alcuni attori conosciuti sono rimasti silenti, un numero crescente di operazioni APT e nuovi attori di minacce sono stati rilevati nella regione asiatica. Questa crescita si spiega in parte con l’attacco malware Olympic Destroyer ai Giochi Olimpici di Pyeongchang.
Tra i punti salienti del report:
- Crescita costante di azioni cybercriminali da parte di attori di lingua cinese, compreso il gruppo ShaggyPanther – la cui attività è rivolta ad enti governativi concentrati principalmente a Taiwan e in Malesia – e CardinalLizard, che ha focalizzato la sua attenzione sulla Malesia, mantenendo il focus già esistente su Filippine, Russia e Mongolia.
- Rilevamento di attività APT nell’Asia meridionale. Organi militari pachistani sono stati attaccati dal gruppo Sidewinder, appena scoperto.
- L’APT IronHusky sembra aver interrotto le sue attività verso gli enti militari russi, trasferendo tutti i suoi sforzi sulla Mongolia. Alla fine di gennaio 2018, questo gruppo di lingua cinese ha lanciato un attacco verso le organizzazioni governative mongole prima del loro incontro con il Fondo Monetario Internazionale (FMI).
- La penisola coreana rimane nel mirino. L’APT di Kimsuky, che prende di mira i think thank e le attività politiche della Corea del Sud, ha rinnovato il suo arsenale con un framework completamente nuovo, progettato per il cyberspionaggio e utilizzato in una campagna di spear-phishing. Inoltre, una parte del famigerato gruppo Lazarus, Bluenoroff, è passato a nuovi obiettivi tra cui società di criptovalute e POS (Point of Sales).
- Picco di attività cybercriminale in Medio Oriente. Per esempio, l’APT StrongPity ha lanciato una serie di nuovi attacchi MiTM (Man-in-the-Middle) sulle reti di provider di servizi internet (ISP). Un altro gruppo di cybercriminali altamente qualificato, i Desert Falcon, è tornato a puntare ai dispositivi Android con malware già usati nel 2014.
- Emergono diversi gruppi sistematicamente interessati a colpire con le loro campagne router e hardware di rete, un tipo di approccio già adottato anni fa da attori come Regin e CloudAtlas. Secondo gli esperti i router continueranno ad essere un bersaglio per i criminali, un modo perfetto per introdursi nell’infrastruttura delle vittime.
“Nel corso dei primi tre mesi dell’anno abbiamo identificato una serie di nuovi gruppi di cybercriminali attivi con diversi livelli di sofisticazione; nel complesso, tutti hanno utilizzato i malware più comuni e accessibili. Nello stesso tempo non abbiamo rintracciato alcuna attività significativa da parte di attori già noti. Questi fatti ci portano a pensare che le organizzazioni stiano riprogettando le loro strategie e riorganizzando i loro team per attacchi futuri” ha commentato Vicente Diaz, Principal Security Researcher del Global Research & Analysis Team (GReAT) di Kaspersky Lab.
