Новый виток кибепротивостояния спецслужб: Group-IB нашли 7 новых проправительственных APT-группировок

Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Военные операции становятся более явными, а акценты смещаются со шпионажа на уничтожение инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры (КИИ). 

Так, аналитики Group-IB обнаружили 7 ранее неизвестных проправительственных APT-группировок, основной целью которых были атаки на объекты КИИ. 

«Аналитиками было обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), AVIVORE (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной. Кроме того, выявлена новая активность шести групп, которые оставались незамеченными последние несколько лет», — говорится в отчете Group-IB «Hi-Tech Crime Trends 2020-2021», представленном на CyberCrimeCon 2020.

Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры  пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения. 

При этом, согласно отчету, прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных с спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телекомоператорами и попытки вывода их инфраструктуры из строя. В частности, были установлены новые рекорды мощности DDoS атак: 2,3 Тб/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год было публично зафиксировано девять таких инцидентов.

«На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране — 8 групп, в Северной Корее и России — по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа — по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране», — сообщается в документе. 

Согласно проанализированным данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно 34 кампании было проведено в данном регионе. На втором месте Европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном, хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США – наименее атакуемые державы. 

Согласно аналитике, приведенной в отчете, 15 кампаний было проведено в США и 9 в России. Состав атакующих при этом схож для обеих стран – в основном, это группы из Китая, Северной Кореи и Ирана. В России зафиксирована одна атака Казахстанских спецслужб, США атаковали также хакеры из Сектора Газа и Пакистана. 

BIS Journal — медиа-партнер CyberCrimeCon’20

25 ноября, 2020