Kaspersky: Máme za sebou kvartál plný záplat, před APT útoky nejsou v bezpečí servery ani vládní organizace

Během uplynulých tří měsíců využívali autoři pokročilých trvalých hrozeb (APT) hlavně útoky typu supply chain attacks (na dodavatelský řetězec) a zero day exploits (zneužití zranitelnosti nultého dne). Chyba v softwaru Orion IT společnosti SolarWinds, který slouží k monitoringu počítačových infrastruktur, vedla k instalaci „zadních vrátek“ více než do 18 tisíc sítí, zranitelnost na serveru Microsoft Exchange měla zase za následek vlnu útoků v Evropě, v Rusku a ve Spojených státech. Svědčí o tom závěry čtvrtletní zprávy o APT, kterou vydává společnost Kaspersky.

Pachatelé APT útoků neustále mění taktiku, zdokonalují své nástroje a vymýšlejí nové a nové aktivity. Analytický tým společnosti Kaspersky (Global Research and Analysis, GReAT) proto pro uživatele i odbornou veřejnost vydává čtvrtletní zprávy o nejdůležitějším vývoji v této oblasti. Během uplynulých tří měsíců zaznamenal zejména dvě hlavní vlny útoků.

První vlnu způsobila chyba v softwarové platformě Orion IT společnosti SolarWinds. Platforma slouží k monitoringu IT infrastruktur a jejím prolomením se vytvořila „zadní vrátka“ (backdoor) jménem Sunburst, která útočníci nainstalovali do sítí více než 18 tisíc zákazníků. Mezi ně patřily mimo jiné velké korporace a vládní úřady v Severní Americe, v Evropě, na Blízkém východě a v Asii.

Při bližším ohledání „zadních vrátek“ si analytici společnosti Kaspersky všimli jejich podoby se starším programem tohoto typu, jemuž se říkalo Kazuar. Ten se poprvé projevil v roce 2017 a pátrání po jeho původcích vedlo k neslavně proslulé hackerské skupině Turla. Naznačuje to možné spojení mezi útočníky využívajícími oba nástroje.

Za masivními útoky na Microsoft Exchange stálo více hráčů

Příčinou druhé vlny útoků se stal dnes již opravený zero day exploit na serveru Microsoft Exchange. Počátkem března těchto exploitů využila nová útočná skupina známá jako HAFNIUM k sérii omezených a přesně zacílených útoků. Během prvního březnového týdne napadla na 1 400 samostatných serverů, většinou v Evropě a ve Spojených státech, některé servery i opakovaně. Naznačuje to, že těchto zranitelností nyní využívá více skupin. V polovině března jsme odhalili další kampaň využívající stejných nástrojů, tentokrát ovšem zaměřenou na Rusko. I tady se vyskytly stopy skupiny HAFNIUM a dalších útočníků, o nichž už společnost Kaspersky věděla.

Za dalšími aktivitami stojí nechvalně proslulá skupina Lazarus – i ta zvolila metodu útoků zero-day. V tomto případě pomocí sociálního inženýrství přesvědčila bezpečnostní analytiky, aby si stáhli napadený soubor z vývojového prostředí Visual Studio, případně lákala oběti na svůj blog a instalovala jim do prohlížečů Chrome exploit. Účelem útoku byla zjevně krádež dat z průzkumu zranitelnosti. První vlna těchto útoků přišla v lednu, druhá v březnu. Během druhé vlny vznikla celá řada falešných profilů na sociálních sítích, a dokonce jedna falešná firma, jejímž cílem bylo vyhlédnuté oběti zmást.

Bližší analýza společnosti Kaspersky odhalila, že se malware použitý při této vlně shodoval s nástrojem ThreatNeedle, který rovněž vyvinula skupina Lazarus a v polovině roku 2020 posloužil k útokům na armádní systémy.

Okamžitá instalace bezpečnostních záplat je základ

Další pozoruhodné útoky typu zero-day, kterým se začalo říkat TurtlePower, se zaměřily na vládní úřady a telekomunikační firmy v Pákistánu a Číně. Pravděpodobně se na nich podílela skupina BitterAPT group. Původ dnes již opravené zranitelnosti je patrně spojený s útočníkem s přezdívkou Moses, který má za posledních pět let na svědomí minimálně pět exploitů. Některé z nich využily skupiny BitterAPT a DarkHotel.

„Asi nejdůležitějším poučením z uplynulého čtvrtletí je neobyčejný destruktivní úspěch supply chain útoků. Bude trvat několik měsíců, než plně vyhodnotíme dopad kauzy SolarWinds. Dobrou zprávou je, že tento typ útoků momentálně zkoumá celá bezpečnostní komunita a diskutuje, co se s nimi dá dělat. První tři měsíce letošního roku přinesly rovněž důkaz, jak důležité je okamžitě instalovat bezpečnostní záplaty. Zero-day exploity budou díky své efektivně i nadále vděčným a oblíbeným nástrojem APT skupin, které je budou používat nadmíru kreativně, o čemž svědčí poslední kampaň skupin Lazarus,“ říká Ariel Jungheit, hlavní bezpečnostní analytik týmu GReAT.

Zpráva o trendech v APT aktivitách v prvním čtvrtletí 2021 shrnuje závěry ze specializovaných reportů společnosti Kaspersky, jejichž odběr je možný po registraci. Obsahují mj. i data týkající se tzv. Indicators of Compromise (IOC) a pravidla YARA pro forenzní práci a boj s malware. Pokud chcete tyto reporty dostávat, zašlete e-mail na adresu mintelreports@kaspersky.com.

Chcete-li předcházet ATP útokům, zvažte následující doporučení společnosti Kaspersky.

• Instalujte bezpečnostní záplaty, jakmile jsou k dispozici. Po instalaci už útočníci nemůžou problém zneužít.

• Pravidelně provádějte bezpečnostní kontrolu počítačové infrastruktury v organizaci, snažte se odhalit bezpečnostní díry a zranitelné systémy.

• Instalací bezpečnostního řešení s ochranou proti síťovým hrozbám výrazně ulehčíte práci zaměstnancům odpovědným za kybernetickou bezpečnost.

• Nainstalujte si rovněž řešení proti APT útokům a řešení EDR, které umožňuje odhalit možné útoky, prozkoumat je a napravit situaci. Zajistěte bezpečnostnímu týmu přístup k nejnovějším informacím o softwarových hrozbách a pravidelná školení. To vše získáte v rámci služby Kaspersky Expert Security framework.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější.