Il Report Kaspersky Lab sulle APT nel Q1 2019 mette ancora in guardia contro gli attacchi di matrice geopolitica, provenienti in particolare dal Sud-Est Asiatico. Il report dedicato ai principali trend del mondo delle APT si basa sulla ricerca privata a livello di intelligence delle minacce, ma anche su altre fonti mettendo in luce i principali sviluppi che dovrebbero essere al centro dell’attenzione dei ricercatori nei prossimi mesi.
Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab
Dare uno sguardo a quello che è successo nel corso del trimestre appena passato è sempre sorprendente. Anche quando abbiamo la sensazione che non si sia verificato nulla di davvero rivoluzionario, ci troviamo davanti ad un panorama di cyberminacce pieno di storie interessanti e di evoluzioni su tanti fronti diversi. Nel primo trimestre, ad esempio, abbiamo rilevato attacchi sofisticati alla supply chain, così come al mondo delle criptovalute o a driver geopolitici. Sappiamo che la nostra visibilità non è completa e che ci saranno attività che non siamo ancora in grado di rilevare o di comprendere, così come siamo coscienti del fatto che, se una regione o un settore ad oggi non appare sul nostro radar di intelligence delle minacce, questo non significa che non lo sarà in futuro. La protezione da cyberminacce note o ancora sconosciute resta una priorità di vitale importanza per tutti noi.
La campagna APT che ha caratterizzato l’intero trimestre è stata di sicuro l’operazione ShadowHammer, campagna avanzata e mirata che ha utilizzato la supply chain per una distribuzione su scala incredibilmente ampia, combinando questo tipo di azione con tecniche implementate in maniera davvero meticolosa, per colpire con estrema precisione le vittime designate.
Tra gli altri aspetti rilevanti:
-La geopolitica, e le tensioni ad essa collegate, considerate come uno dei principali motori di attività delle APT.
-L’Asia sudorientale è rimasta la regione più freneticamente attiva al mondo in fatto di APT rispetto a quanto registrato in altre aree geografiche.
-I gruppi di cybercriminali che usano la lingua russa hanno mantenuto un profilo basso rispetto agli ultimi anni. Nonostante questo, è rimasta costante una certa attività di fondo, come ad esempio, quella relativa alla distribuzione di malware da parte di Sofacy e Turla. Gli autori di cyberminacce che usano, invece, la lingua cinese, hanno continuato a portare avanti le loro attività, mescolando livelli alti e bassi di sofisticazione a seconda della campagna da realizzare.
-Un’attività piuttosto fiorente dei fornitori di malware “commerciali” a disposizione dei governi e di altre entità, come una nuova variante di FinSpy “in the wild”, così come un’operazione di LuckyMouse che implementava strumenti trapelati da HackingTeam.
Qualche consiglio
Per non diventare vittime di un attacco mirato da parte di autori di minacce, conosciuti o sconosciuti, i ricercatori di Kaspersky Lab raccomandano di:
-fornire ai propri team SOC l’accesso alla Threat Intelligence più recente, perché possano essere sempre aggiornati sugli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli autori delle minacce e dai cybercriminali.
-Per il rilevamento a livello degli endpoint, l’analisi e la messa in atto di una strategia di remediation tempestiva, si consiglia di adottare soluzioni EDR come Kaspersky Endpoint Detection and Response.
-Oltre ad adottare una forma di protezione essenziale per gli endpoint, è necessario implementare una soluzione di sicurezza aziendale, per rilevare minacce avanzate a livello di rete in una fase iniziale, come ad esempio Kaspersky Anti Targeted Attack Platform.
-Fondamentale introdurre occasioni di formazione dedicate alla “security awareness” ed insegnare alcune abilità pratiche, ad esempio, attraverso uno strumento come Kaspersky Automated Security Awareness Platform.