Raport Specjalny | Cyberzagrożenia | Zaawansowane cyberataki

Zmienia się też cel przestępczej aktywności. Nie jest nim już bezpośrednia infekcja systemów informatycznych, ważniejszy staje się dostęp do poufnych danych lub poznanie struktury organizacyjnej firmy, aby zakłócać jej funkcjonowanie w późniejszym czasie. Wprowadzone przez nich oprogramowanie coraz częściej nie wykazuje cech destrukcyjnych. W czasie zaawansowanych ataków trwałego zagrożenia (APT) hakerzy uzyskują i utrzymują nieautoryzowany dostęp do zaatakowanej sieci, przy czym przez dłuższy czas pozostają niewykrytymi. Chodzi im o eksfiltrację danych, czyli nieautoryzowany ich transfer, a nie powodowanie awarii sieci, odmowy usługi lub infekowanie systemów złośliwym oprogramowaniem.

I hakerzy, i rządzący…

Jak ocenia firma Cisco, APT często wykorzystują taktyki inżynierii społecznej lub luki w oprogramowaniu w instytucjach dysponujących informacjami o wysokiej wartości. Na takich ataków może skorzystać tak sektor prywatny, jak i publiczny. Podejrzewa się nawet, że rządy niektórych państw wykorzystywały APT do zakłócania określonych operacji wojskowych lub wywiadowczych. Jako przykłady podaje się ataki Titan Rain, Ghostnet czy Stuxnet. Mniejsze grupy używają prostszych narzędzi, aby uzyskać dostęp, ukraść własność intelektualną i zyskać przewagi konkurencyjne.

We wrześniu 2021 r. amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) opublikowała ostrzeżenie, że hakerzy aktywnie wykorzystują nowo zidentyfikowane luki w samoobsługowym zarządzaniu hasłami i rozwiązaniu jednokrotnego logowania, znanym jako ManageEngine ADSelfService Plus. Używali przy tym programów Godzilla i NGLite, opracowanych z chińskimi instrukcjami, publicznie dostępnych do pobrania na GitHub.

Godzilla to bogata w funkcje powłoka internetowa, która analizuje przychodzące żądania HTTP POST, odszyfrowuje dane za pomocą tajnego klucza, wykorzystuje odszyfrowaną zawartość do wykonania dodatkowych funkcji i zwraca wynik za pośrednictwem odpowiedzi HTTP. Dzięki temu hakerzy mogą zatrzymać kod, który mógłby zostać oznaczony jako złośliwy, docelowym systemem do czasu aż będą gotowi do jego użycia. NGLite został opisany przez autora jako „anonimowy wieloplatformowy program do zdalnego sterowania oparty na technologii blockchain”. Do tego rodzaju programów należy także KdcSponge – nowatorskie narzędzie do kradzieży poświadczeń, wdrażane na kontrolerach domen.

W podsumowaniu aktywności zaawansowanych trwałych zagrożeń po III kw. 2021 r., opublikowanym przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky, odnotowano takie trendy, jak ataki na łańcuch dostaw m.in. SmudgeX, DarkHalo i Lazarus, czy też wykorzystanie zaawansowanych i wysoce wydajnych ładunków, zainscenizowanych przez komercyjny framework poeksploatujący znany jako Slingshot. Bootkity – pomimo środków zaradczych, wprowadzonych przez Microsoft, aby uczynić je trudniejszymi do wdrożenia w systemie operacyjnym Windows, wciąż pozostają aktywnym składnikiem niektórych głośnych APT. W obecnym kwartale zaobserwowano też nienormalny wzrost incydentów pochodzący od tzw. chińskojęzycznych grup zagrożeń, przy jednoczesnym spadku aktywności na Bliskim Wschodzie. Inżynieria społeczna pozostaje kluczową metodą inicjowania ataków, istotnym wyzwaniem są też exploity (CloudComputating, Origami Elephant, Andariel), w tym wykorzystujące luki w oprogramowaniu układowym.

Spear phishing

...