Хакерские атаки, спонсируемые государством: что такое продвинутые постоянные угрозы и на кого они нацелены в 2022 году?
В 2022 году наблюдался заметный рост кибератак, спонсируемых государством. Многие из этих атак были осуществлены так называемыми постоянными угрозами повышенной сложности или APT. Эти группы работают с правительствами, а также могут заниматься незаконной коммерческой деятельностью.
В 2022 году иностранные организации атаковали другие иностранные организации с помощью DDoS-атак, шпионских операций, атак программ-вымогателей и взломов критически важной инфраструктуры. Эти атаки вызвали серьезные сбои в цепочке поставок, убытки на миллиарды долларов и сбор больших объемов информации в рамках шпионских операций.
С прицелом на то, с чем мир может столкнуться в 2023 году, вот 5 разрушительных APT-атак, которые произошли в 2022 году:
Table of Contents
Китайская APT 41/Double Dragon крадет 20 миллионов долларов из фондов помощи COVID
В 2022 году одна из самых шокирующих APT-атак была проведена группой, известной как APT 41 или Double Dragon . Этой группе удалось украсть средства на помощь COVID на сумму около 20 миллионов долларов из нескольких стран Азии и Африки. Атака была нацелена конкретно на банки, государственные учреждения и другие организации, которые распределяли денежные средства во время пандемии. Считается, что украденные деньги были отмыты через криптовалютные кошельки, что затрудняет их отслеживание и восстановление.
В заявлении Секретной службы указано, что APT41, действующая уже более десяти лет, считается спонсируемой государством китайской киберугрозой, весьма опытной в выполнении шпионских миссий и финансовых преступлений для личной выгоды. Киберэксперты, а также действующие и бывшие должностные лица из нескольких агентств назвали APT41 «рабочей лошадкой» операций кибершпионажа, приносящих пользу китайскому правительству. Поскольку в 2020 году средства для оказания помощи COVID стали мишенью возможностей, эта угроза стала более актуальной, чем когда-либо.
Иранский Rampant Kitten/APT DEV-0270 компрометирует Совет по защите систем США
В ноябре Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) выпустили совместный бюллетень по кибербезопасности в отношении усовершенствованных постоянных угроз Ирана (APT). Злоумышленник по имени Rampant Kitten в феврале использовал известную уязвимость Log4Shell для проникновения на сервер VMware Horizon.
Это привело к компрометации федеральной сети, принадлежащей Совету по защите систем заслуг США. В ответ CISA предупредила все организации, которые не смогли применить исправления Log4Shell, о потенциальных признаках компрометации. The Washington Post назвала пострадавшее агентство Советом по защите систем заслуг США. Эти типы атак подчеркивают необходимость постоянной бдительности и активных действий со стороны бизнеса и правительств для защиты критической инфраструктуры.
Криптовалюта Lazarus Group/APT38 Target из Северной Кореи
В апреле совместный бюллетень по кибербезопасности (CSA), выпущенный Федеральным бюро расследований (ФБР), Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и Министерством финансов США (Казначейство), предупредил о киберугрозах, связанных с кражей криптовалюты Северной Корейская государственная группа продвинутых постоянных угроз (APT), известная как Lazarus Group, APT38, BlueNoroff и Stardust Chollima.
По крайней мере, с 2020 года эта группа нацелена на организации, работающие в сфере технологии блокчейн и индустрии криптовалют, такие как криптовалютные биржи, протоколы DeFi, видеоигры для заработка на криптовалюте, венчурные фонды, инвестирующие в криптовалюту, или физические лица, владеющие большими суммами цифровой валюты. или ценные NFT.
Злоумышленники использовали социальную инженерию через различные коммуникационные платформы, чтобы убедить жертв загружать троянские криптовалютные приложения. Это позволяет им получить доступ к компьютеру жертвы, распространять вредоносное ПО и красть закрытые ключи или использовать другие пробелы в безопасности для инициирования мошеннических транзакций в блокчейне.
Иранская APT MuddyWater/APT 34 нацелена на государственный/частный сектор в Азии, Африке, Европе и Северной Америке
В апреле 2022 года спонсируемые правительством кибератаки со стороны иранской группы продвинутых постоянных угроз MuddyWater/APT 34 были нацелены на ряд государственных и частных организаций в различных секторах Азии, Африки, Европы и Северной Америки в рамках Министерства разведки и безопасности Ирана. (МОИС).
Впоследствии, в сентябре 2020 года, федеральное правительство США наложило санкции на правительство Ирана за его поддержку киберпреступной деятельности, которая, как они утверждают, осуществляется через несколько групп Advanced Persistent Threat (APT).
В частности, Управление по контролю за иностранными активами Министерства финансов США (OFAC) определило Министерство разведки и безопасности Ирана (MOIS) как «участвующее в кибердеятельности против Соединенных Штатов и их союзников» как минимум с 2007 года.
Российские участники APT нацелены на оборонных подрядчиков
По крайней мере, с января 2020 года по февраль 2022 года Федеральное бюро расследований США (ФБР), Агентство национальной безопасности (АНБ) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) выявили регулярную схему кибератак против США. проверенные оборонные подрядчики (CDC), происходящие от российских субъектов, спонсируемых государством .
В этих атаках использовались распространенные, но эффективные тактики, такие как целевой фишинг, сбор учетных данных, методы грубой силы/распыления паролей и использование известных уязвимостей в слабо защищенных учетных записях и сетях. Злоумышленники также нацелились на среды Microsoft 365 (M365) с сохраняемостью, поддерживаемой за счет использования законных учетных данных и вредоносного ПО для кражи данных.
Вышеупомянутые атаки вызвали серьезные сбои и ущерб в миллиарды долларов по всему миру. Они проводились как по геополитическим причинам, так и для получения денежной выгоды. Ясно, что APT будут оставаться угрозой на долгие годы и должны решаться упреждающе, чтобы свести к минимуму дальнейший ущерб субъектами как в государственном, так и в частном секторах.
