Raport: Polska jest celem największych grup hakerskich
Firma Thales przygotowała raport aktualnych zagrożeń cybernetycznych na świecie. Wynika z niego, że grupy przestępcze operujące w cyberprzestrzeni stają się dużo lepiej zorganizowane i przeprowadzają coraz bardziej skomplikowane operacje.
12.10.2020 | aktual.: 13.10.2020 10:28
Raport zaznacza powstanie fenomenu Big Game Hunting (BGH), czyli akcji hakerskich wymierzonych przeciwko dużym i bogatym korporacjom. Ataki BGH cechują się bardzo dobrym przygotowaniem oraz wysokimi stratami firm, jeśli ataki się powiodą (firma Eurofins straciła 63 mln euro, Altron 20 mln euro, Norsk Hydro 75 mln euro).
Wśród grup przestępczych działających w sieci obserwuje się postępująca specjalizacje. Niektóre grupy zajmują się rozwijaniem i udostępnianiem narzędzi w modelu subskrypcyjnym (malware-as-a-service), inne specjalizują się atakami na konkretne instytucje (banki, duże firmy) lub zwykłych użytkowników (wyłudzanie danych).
Grupy dzielą się też na dwie zasadnicze kategorie: wspierane przez rządy (np. z Rosji, Chin lub Korei Północnej) oraz niezależne. Ich cele się różnią, grupy wspierane przez rządy będą próbowały wykradać wrażliwe dane (np. atak na Partię Demokratyczną Stanów Zjednoczonych w 2016 roku), lub oddziaływać na sytuację w kraju (np. wyłączenie elektrowni na Ukrainie). Celami grup niezależnych są cele zarobkowe.
Raport przeanalizował też zagrożenia występujące w konkretnych krajach w tym w Polsce. Okazuje się, że najpopularniejszym zagrożeniem w naszym kraju są kampanie związane z malware o nazwie Emotet. Według autorów raportu sugeruje to, że Polska stała się celem najbardziej zaawansowanych grup hakerskich, a przede wszystkim grupy "Mummy Spider", która jest autorem malware'u Emotet.
Emotet rozpoczął działanie w 2014, jako tzw. bankbot, czyli program wykradający dane do logowania w bankach. Od tego czasu przeszedł ewolucję i obecnie używany jest jako tzw. loader, czyli program, który pobiera docelowe złośliwe oprogramowanie. Emotet wyróżnia się sposobem działania, gdzie jest aktywny przez kilka miesięcy, aby potem przejść w stan "uśpienia" na okres nawet do roku.
Inne grupy przestępcze działające w Polsce wg raportu.
Cobalt Group – grupa atakująca przede wszystkim instytucje finansowe, która bierze na cel banki w Europie środkowej oraz centralnej i południowo-wschodniej Azji. Pomimo aresztowania rzekomego lidera grupy w Hiszpanii prze Interpol Cobalt nadal jest aktywny.
Kelvin Security – grupa z Ameryki Południowej, która cechuje się średnim zaawansowaniem technicznym w swoich atakach. Aktywnie promuje się w otwartych kanałach internetowych, jak YouTube, blogi, itp.). Na forach dla cyberprzestępców grupa handluje wykradzionymi danymi oraz narzędziami typu malware. Grupa prowadzi też własny sklep z usługami związanymi z działalnością przestępczą.
**Jednostka 180 (Unit 180) ** – jest północnokoreańską grupą odpowiedzialną za pozyskiwanie funduszy na cele działalności przestępczej oraz samego rządu Korei Północnej.
APT38 (Advanced Persistent Threat 38) – jest grupą hakerską związaną z rządem Korei Północnej. Cechuje się bardzo wysokim zaawansowaniem technicznym oraz wykorzystaniem szerokiej palety narzędzi. Według ekspertów APT38 stara się jak najdłużej pozostać obecna w systemach ofiary, a czas do wykrycia często wynosi nawet 5 miesięcy. Grupa jest odpowiedzialna za atak na system SWIFT w 2016 i 2016 roku i ma powiązania z grupą Lazarus odpowiedzialną za atak na wytwórnię SONY.