Китай

Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

Останалите тенденции включват:

• увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
• разширяване на географското покритие на дейността;
• засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

Китайски APT групи възприемат нови тактики

Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

Иран засилва присъствието си в Африка

Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

Северна Корея: От криптовалути до шпионаж

Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

Руски групи: Нови играчи и подобрени инструменти

Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

 

Разследването на усилията на китайското правителство да хакне телеком мрежите на САЩ е разкрило „широкомащабна и значима“ кампания за кибершпионаж. Тя е насочена към кражба на информация от правителствени служители и политически фигури, посочват от ФБР. 

Хакери, свързани с Пекин, са компрометирали мрежите на „множество“ телекоми, за да получат достъп до личните комуникации на „ограничен брой лица“. Те са се опитали да копират „определена информация, предмет на искания от правоприлагащите органи на САЩ съгласно съдебни разпореждания“. 

Предупреждението идва след няколко нашумели инцидента. През септември ФБР обяви, че е прекъснало мащабна китайска хакерска операция, известна като Flax Typhoon. Тя включваше инсталирането на зловреден софтуер на повече от 200 000 потребителски устройства – камери, видеорекордери и домашни и офис рутери.  

„Новините за продължителна хакерска кампания и кибершпионаж, насочени към изборите в САЩ от групи, свързани с Китай, не трябва да са изненада. Те са факт в продължение на десетилетия. Това, което се случва в политическата и икономическата сфера на САЩ, е изключително важно за Пекин и за останалия свят“, посочва в коментар Анди Гарт, директор по правителствените въпроси в ESET. 

По думите му като се насочва към американската администрация, Китай вероятно търси ранна представа за бъдещата политика на САЩ. Освен това Пекин се стреми да идентифицира възможности за упражняване на влияние.  

„Китайските операции по кибершпионаж и други злонамерени дейности срещу интересите на САЩ едва ли ще спрат скоро. Това е предизвикателство, с което американските власти ще трябва да се справят в обозримо бъдеще“, категоричен е Гарт. 

 

Китайската хакерска група Salt Typhoon е проникнала в мрежите на поне три от големите американски доставчици на телекомуникационни услуги – Verizon, AT&T и Lumen Technologies – в резултат на значителен пробив в киберсигурността.

Списъкът на засегнатите компании може да се окаже по-дълъг, тъй като нападателите са били внедрени в засегнатите системи в продължение на няколко месеца, преди да бъдат открити.

Смята се, че операцията има за цел кражба на информация, свързана със законни федерални искания за подслушване. Хакерите обаче са получили достъп до по-широк интернет трафик в компрометираните мрежи, което поражда опасения за потенциална кражба и на други чувствителни данни.

От ФБР предполагат, че зад кампанията стои Министерството на държавната сигурност на Китай.