Cyberaktivitäten von APT-Gruppen
Im ersten Quartal des Jahres 2018 erkannten die Cybersicherheitsexperten weiterhin Cyberaktivitäten von APT-Gruppen, die unter anderem Russisch, Chinesisch, Englisch und Koreanisch sprechen. Während einige bekannte Akteure keine nennenswerten Aktivitäten zeigten, wurden im asiatischen Raum vermehrt APT-Operationen und neue Bedrohungsakteure wahrgenommen. Dieser Anstieg lässt sich zum Teil am Angriff der Olympic-Destroyer-Malware auf die Olympischen Spiele in Pyeongchang festmachen.
Wichtige Erkenntnisse des Kaspersky-APT-Berichts
- Chinesischsprachige Aktivitäten steigen kontinuierlich an; dazu gehört das ShaggyPanther-Cluster, das aktiv auf Regierungseinrichtungen hauptsächlich in Taiwan und Malaysia abzielt sowie CardinalLizard, das im Jahr 2018 vor allem Malaysia als auch die Philippinen, Russland und die Mongolei ins Visier nahm.
- APT-Aktivität wurde vor allem in Südasien festgestellt; so wurden pakistanische Militäreinrichtungen von der kürzlich entdeckten Sidewinder-Gruppe angegriffen.
- IronHusky APT stellt das Abzielen auf russische militärische Akteure offensichtlich ein und legt nun seinen Fokus auf die Mongolei; Ende Januar 2018 startete der chinesischsprachige Bedrohungsakteur im Vorfeld eines Treffens mit dem Internationalen Währungsfonds (IWF) eine Angriffskampagne gegen mongolische Regierungsorganisationen.
- Koreanische Halbinsel bleibt im Fokus: Die Kimsuky-APT-Gruppe, die es auf südkoreanische Denkfabriken und politische Aktivitäten abgesehen hat, erweiterte sein Arsenal mit einem völlig neuen Framework für Cyberspionage und für eine Spear-Phishing-Kampagne. Auch verlagerte sich Bluenoroff, eine Untergruppe der berüchtigten Lazarus Group, auf neue Ziele: darunter Kryptowährungsunternehmen sowie Kassensysteme (Point of Sales/PoS).
Höchststand der Bedrohungen im Nahen Osten
Die Experten von Kaspersky Lab stellten darüber hinaus auch im Nahen Osten einen Höchststand der Bedrohungsaktivität fest. So startete StrongPity APT beispielsweise eine Reihe neuer Man-in-the-Middle (MiTM)-Angriffe auf Netzwerke von Internet Service Providern (ISP). Eine weitere hochqualifizierte Gruppe Cyberkrimineller, die Desert Falcons, erschien wieder auf der Bildfläche, um Android-Geräte mit Malware, die zuvor 2014 verwendet wurde, zu infizieren.
Im ersten Quartal des Jahres 2018 entdeckten die Cybersicherheitsexperten mehrere Gruppen, die auf Router und Netzwerkkomponenten abzielen, ähnlich wie dies vor Jahren von Akteuren wie Regin und CloudAtlas betrieben wurde. Laut den Experten werden Router weiterhin ein Ziel für Angreifer sein, um in die anvisierte Infrastruktur eines Opfers einzudringen.