4 januari, 2023
3 aktiva APT-grupper under 2022
APT-angrepp är ett ständigt hot mot såväl stater som enskilda organisationer. Här tittar vi närmare på några ATP-grupper som har varit aktiva under det föregående året.
APT, eller Advanced Persistent Threat, är en typ av planerad cyberattack mot ett företag eller en organisation. Den är oftast utförd av grupper som har blivit sponsrade av någon högre auktoritet, så som en hel nation eller stat, i syftet att spionera, stjäla pengar eller utföra så kallad "cyber-warfare" genom att förstöra olika IT-system.
Det kan också handla om kriminella grupperingar som sträcker sig över flera länder. I dessa fall genomförs främst attacker i syfte att tjäna pengar, till exempel via ransomware-angrepp.
Disclaimer: Innan du läser vidare vill vi understryka att denna text endast är skriven för att summera intressanta APT-attacker och grupper som ser ut att ha varit mest aktiva under det gångna året. Det finns med andra ord ingen politisk agenda eller försök till förtal mot något av länderna som nämns.
Under senare år har det kommit allt mer information och undersökningar gällande APT-grupper. Dessa rapporter påvisar bland annat att de primära vektorerna för APT-grupper är zero-days, utnyttjande av nya sårbarheter (såsom log4shell när det släpptes sen 2021), phishing av olika slag och supply-chain-attacker. De visar även att det finns aktiva APT-grupper från flera länder, och många av dem har i år varit upptagna med att angripa flertal olika företag och statliga enheter.
3 aktiva APT-grupper 2022
APT-grupper blir ofta namngivna utifrån modellen APT-XX, där XX står för nummer. Utöver detta får vissa grupper speciella namn. Kanske har du till exempel hört om Charming Kitten (APT35), eller Lazarus Group (APT38)? De som får namn är vanligtvis också de som är mest aktiva när det kommer till angrepp.
I den här artikeln ska vi titta närmare på tre olika APT-grupper som har varit aktiva under det gångna året; Double Dragon, Lazarus Group och Primitive Bear.
Double Dragon
En grupp som har angripit ett flertal länder är APT-41, även känd som Double Dragon, Wicked Panda, WINNTI group, m.fl. Gruppen har varit efterlysta av FBI sedan 2020, och företaget FireEye anser att det högst troligt att de är sponsrade av kinesiska staten.
Double Dragon har under åren angripit många typer av företag, bland annat inom medicin och sjukvård, media, hård- och mjukvaruutveckling, telekom, trafik och transport, utbildning, datorspelsutveckling och virtuell valuta (både kryptovaluta och valuta inom datorspel).
Likt andra hotaktörer kommer Double Dragon förstås byta sin ”modus operandi” titt som tätt, men deras tillvägagångssätt har historiskt sett framför allt innefattat supply-chain-, spear-phishing- och watering-hole-attacker.
Double Dragon har en lång historia av uppmärksammade angrepp, men under 2022 har deras mest märkvärda angrepp varit relaterat till COVID-19. Under pandemin har den amerikanska staten erbjudit ”COVID relief funds” för att hjälpa amerikanska medborgare som har drabbats ekonomiskt. Double Dragon ska ha stulit runt 20 miljoner USD av dessa pengar. Dessvärre har inga uppgifter om hur attacken gick till framkommit, då den berörda tjänsten har avstått från att lämna någon information om angreppet.
Lazarus Group
En annan känd APT-grupp är Nordkorea-associerade APT-38, eller Lazarus Group. De har en lång historia av cyberattacker bakom sig, då de så tidigt som 2009 stod bakom DDoS-angrepp mot Sydkorea.
Lazarus utnyttjade under 2022 bland annat klienter för elföretag i USA, Japan och Kanada som var opatchade för sårbarheten log4j/log4shell. Men utöver att utnyttja kända brister har Lazarus även lagt mycket fokus mot blockchainvaluta. Under mars/april 2022 utförde de exempelvis ett angrepp mot Ronin Network, och stal i samband med det 625 miljoner USD i Etherum.
Under 2021 inledde de även ”Operation Dream Job”, som var ett angrepp där Lazarus utförde phishing genom att skicka ut jobbannonser, främst riktade mot företag som jobbar inom kemi. I början på 2022 kunde man hitta angripare som kopplats till Lazarus på dessa kemiföretags nätverk.
Primitive Bear
Det finns ett antal APT-grupper kopplade till Ryssland, ofta namngivna med “bear” i namnet. I och med kriget i Ukraina har det i år främst rapporterats om angrepp från ryska APT-grupper mot länder associerade med kriget. Ryssland har dock nekat till detta.
Den av de ryska ATP-grupper som har fått störst uppmärksamhet under året är Gamaredon, eller Primitive Bear, som enligt rapporter ska ha genomfört ett antal cyberangrepp mot Ukraina. Gruppen ska ha utfört attacker mot landet så tidigt som 2013, och har varit fortsatt aktiva i år.
Primitive Bears attacker brukar inledas med phishing-angrepp. Men istället för det typiska phishing-mailet, där ett offer till exempel uppmanas att trycka på en länk, bifogar Primitive Bear ett skadligt dokument maskerat som ett CV till arbetsgivare. Detta dokument exekverar sedan VBS-kod (ett skriptspråk på Windows-datorer), som öppnar dörren för ytterligare attacker.
Framtiden för APT-grupper
Det råder ingen tvekan om att APT-grupper kommer att fortsätta angripa olika typer av företag och statliga aktörer. Det förespås bland annat att det kommer utvecklas mer sofistikerad ransomware, och att supply-chain-attacker kommer bli ett allt större hot. Det kommer med andra ord bli viktigare än någonsin för dessa organisationer att säkra upp sin infrastruktur.
Om du vill läsa mer om APT-grupper har FBI har en lista över de som de anser är de största hoten. Där efterlyser de APT-grupper som främst har angripit USA:s infrastruktur, men även APT-grupper som angripit andra länder.