Globalna infrastruktura krytyczna znalazła się pod stałą presją wysoko zorganizowanych, sponsorowanych przez państwa grup cybernetycznych. Raport Aryaka Threat Research Labs pokazuje, że tzw. ekosystemy szpiegowskie (espionage ecosystems) prowadzą długofalowe, skoordynowane operacje wymierzone w administrację publiczną, sektor obronny oraz kluczowe łańcuchy dostaw.
W centrum analizy znalazła się grupa Transparent Tribe (APT36) oraz powiązany z nią klaster SideCopy. Ich działania potwierdzają, że współczesne cyberataki to nie spektakularne incydenty, lecz długotrwałe, dyskretne kampanie wywiadowcze.
Espionage ecosystems – nowy model cyberzagrożeń
Dr Aditya Sood, wiceprezes ds. inżynierii bezpieczeństwa i architektury AI w Aryaka, a także szef Threat Research Lab firmy, podkreśla, że mamy do czynienia z dojrzałym modelem operacyjnym. „Ekosystem szpiegowski” to sieć powiązanych aktorów, narzędzi i infrastruktur C2, których celem jest:
- długoterminowe utrzymanie dostępu do systemów ofiary,
- pozyskiwanie danych wywiadowczych,
- zakłócanie działania infrastruktury (w tym ataki DDoS),
- omijanie klasycznych mechanizmów detekcji.
Atakujący koncentrują się na cierpliwości i trwałości dostępu, a nie na szybkości czy widowiskowości operacji.
Cyberwywiad jako globalne wyzwanie
Cyberszpiegostwo to globalne wyzwanie, z którym zmaga się wiele państw. W ciągu ostatnich dwóch lat region Europy, Bliskiego Wschodu i Afryki (EMEA) oraz Wielka Brytania stały się celem szeregu zaawansowanych operacji szpiegowskich prowadzonych głównie przez chińskie, rosyjskie i irańskie grupy APT, przypominają eksperci Aryaka. Podmioty powiązane z Chinami, takie jak UNC6384/Mustang Panda i APT31 (Judgement Panda/Zirconium), prowadziły ciągłe kampanie phishingowe przeciwko europejskim instytucjom dyplomatycznym i rządowym, dostarczając narzędzia zdalnego dostępu, takie jak PlugX, oraz warianty Gh0stRAT, takie jak SugarGh0st i SpiceRAT, które umożliwiają ukryte utrzymywanie się w sieci, wykonywanie poleceń i eksfiltrację poufnych danych.
Jednocześnie grupy powiązane z państwem rosyjskim, w tym Sandworm (APT44) i warianty podgrup, takie jak Seashell Blizzard, wdrożyły backdoory i RAT-y, w szczególności DarkCrystal (DcRAT), za pomocą zhakowanych narzędzi i fałszywego oprogramowania aktywacyjnego, aby utrzymać tajne przyczółki w sieciach powiązanych z Ukrainą, UE i Wielką Brytanią, ułatwiając zdalne sterowanie i kradzież danych uwierzytelniających. Wykrywanie tych kampanii jest utrudnione ze względu na wykorzystywanie przez nie narzędzi wyglądających na legalne i tzw. technik zaciemniania (obfuscation techniques). Raporty CERT-EU zwracają uwagę na te kampanie, a także inne zaawansowane działania, takie jak operacje BadPilot, które mają na celu utrzymywanie długotrwałego dostępu i szpiegostwo. Wskaźnikami zagrożenia są nietypowy ruch sieciowy, podejrzane skróty plików i nietypowa aktywność użytkowników, które zespoły ds. bezpieczeństwa powinny uważnie monitorować.
Te wielowektorowe ataki pokazują, że współczesne cyberszpiegostwo prowadzone przez państwa w tym regionie wykorzystuje szeroką gamę rodzajów złośliwego oprogramowania RAT i zaawansowanych technik TTP, takich jak spear phishing, narzędzia z trojanami i techniki ruchu bocznego, aby osiągnąć trwałość, uniknąć wykrycia i zebrać strategiczne informacje wywiadowcze.
To potwierdza, że cyberbezpieczeństwo infrastruktury krytycznej i sektora publicznego staje się jednym z kluczowych wyzwań strategicznych dla państw i przedsiębiorstw.
Transparent Tribe (APT36)
Modelowym przykładem „espionage ecosystem” z raportu Aryaka jest działalność grupy Transparent Tribe oraz powiązanego z nią klastra SideCopy. To dojrzała struktura, która od lat prowadzi długofalowe operacje wywiadowcze przeciw instytucjom rządowym i sektorowi obronnemu, rozwijając narzędzia i rozszerzając zasięg na różne platformy.
W środowisku Windows wykorzystywany był phishing z użyciem plików LNK i HTA prowadzących do instalacji GETA RAT. Ataki opierały się na technikach „living-off-the-land” – nadużywaniu legalnych komponentów systemu (np. mshta.exe), wykonywaniu kodu w pamięci oraz wielowarstwowych mechanizmach persistence.
Równolegle prowadzono kampanie w środowiskach Linux z użyciem ARES RAT instalowanego przez downloader w Go. Malware profilował system, eksfiltrował dane i utrzymywał się poprzez usługi użytkownika, co pokazuje pełną międzyplatformową strategię.
Dodatkowo zidentyfikowano Desk RAT – narzędzie dystrybuowane przez złośliwy dodatek PowerPoint, umożliwiające stały monitoring i komunikację przez WebSocket.
Całość pokazuje istotę ekosystemu szpiegowskiego: nie pojedynczy malware, lecz zintegrowany zestaw narzędzi, technik i kampanii nastawionych na długoterminową, dyskretną infiltrację.
Wnioski
Raport Aryaka pokazuje jednoznacznie: nie są to incydenty jednostkowe, lecz elementy dojrzałego ekosystemu zagrożeń.
Dla operatorów infrastruktury krytycznej i firm oznacza to konieczność:
- monitorowania anomalii behawioralnych, a nie tylko sygnatur,
- zapewnienia widoczności międzyplatformowej (Windows i Linux),
- ciągłego testowania odporności (cyber resilience),
- zaangażowania zarządów w kwestie bezpieczeństwa cyfrowego.
W erze „espionage without noise” największą bronią atakującego jest wytrwałość. Największą słabością obrońcy – brak długofalowej strategii, podsumowuje Dr Aditya Sood.
Więcej w raporcie: Unveiling Transparent Tribe’s (APT36) C&C and Network Tradecraft.
(grafika tytułowa – źr. Aryaka)
