5G как приманка: почему хакеры охотятся на телеком в Юго-Восточной Азии

Компания Positive Technologies опубликовала исследование деятельности APT-группировок, атакующих организации в странах Юго-Восточной Азии. Наибольшее количество атак зафиксировано на Филиппинах и во Вьетнаме. В тройку самых атакуемых отраслей региона входят государственные учреждения, телекоммуникационные компании и военно-промышленный комплекс.

Согласно исследованию, наибольшее число атак зафиксировано в следующих странах: Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%).

Юго-Восточная Азия представляет значительный интерес с точки зрения мировой экономики и геополитики. Анализ охватывает деятельность 20 APT-группировок, атакующих регион с января 2020 года по апрель 2024 года. Основными целями атак являются государственные организации, телекоммуникационные компании (60% атак) и военно-промышленный комплекс (50% атак).

Одной из причин частых атак на телекоммуникационные компании является быстрое развитие технологий 5G, что создает дополнительные уязвимости. Аналитики Positive Technologies выяснили, что большинство APT-группировок начинают атаки с фишинговых рассылок, часто приуроченных к значимым для региона событиям, таким как саммиты АСЕАН. Также используются атаки типа watering hole, когда на веб-сайтах размещаются скрипты, загружающие вредоносные программы на компьютеры посетителей.

Проникнув в сеть, злоумышленники исследуют среду, идентифицируют пользователей скомпрометированных узлов для повышения привилегий и продвижения в инфраструктуре. Большинство группировок собирают данные о конфигурации сети, просматривают файлы и каталоги в поисках полезной информации и изучают запущенные процессы для составления представления об установленных средствах защиты.

APT-группировки используют как уникальное ПО собственной разработки, так и легитимные инструменты, уже имеющиеся в скомпрометированной системе, что позволяет им маскировать свои действия. Например, 70% группировок применяют Cobalt Strike — коммерческое ПО для тестирования на проникновение, которое активно используется злоумышленниками. Специальные версии Cobalt Strike со сложными механизмами защиты от обнаружения применялись в атаках на организации Филиппин, Таиланда, Малайзии и Индонезии с сентября 2021 года по июнь 2022 года.

Для защиты от сложных целевых атак Positive Technologies рекомендует организациям обратить внимание на инвентаризацию IT-активов, мониторинг и реагирование на инциденты, повышение киберграмотности сотрудников и оценку защищенности. Полный перечень тактик и техник APT-группировок можно найти в исследовании на сайте Positive Technologies.