Firma FireEye oferująca nowej generacji zabezpieczenia opublikowała raport o zaawansowanych cyberatakach, zgodnie z którym serwery o charakterze przestępczym są zlokalizowane w 184 krajach, najczęstszym celem ataków są firmy technologiczne, a 89% zaawansowanych ataków o długotrwałym działaniu jest przeprowadzanych z wykorzystaniem chińskich narzędzi.
"Zagrożenia cyfrowe prześcignęły tradycyjne zabezpieczenia oparte na sygnaturach takie jak programy antywirusowe i rozprzestrzeniły się na całym świecie, dzięki czemu cyberprzestępcy mogą łatwo pozostać niewykryci i budować połączenia w obrębie dużych przedsiębiorstw. Badanie przeprowadzone przez FireEye pozwala spojrzeć na globalną epidemię tego nowego rodzaju zaawansowanych cyberataków z właściwej perspektywy" - powiedział David DeWalt, dyrektor generalny firmy FireEye.
Serwery sterujące są intensywnie wykorzystywane w ciągu całego procesu ataku do utrzymania komunikacji z zainfekowanym urządzeniem za pomocą wywołań zwrotnych, umożliwiających atakującemu pobranie i modyfikację szkodliwego oprogramowania, aby uniknąć jego wykrycia, pobranie danych lub rozszerzenie ataku w obrębie atakowanego przedsiębiorstwa.
Najważniejsze ustalenia raportu he Advanced Cyber Attack Landscape o zaawansowanych cyberatakach:
• Cyberataki mają charakter globalny - w ciągu ostatniego roku wywołania zwrotne zostały wysłane do 184 krajów. Firma FireEye ustaliła, że serwery sterujące są zlokalizowane w 184 krajach - co stanowi wzrost o 41% w porównaniu z raportem FireEye z 2010 r., kiedy znajdowały się w 130 krajach. W 2012 roku Stany Zjednoczone, Korea Południowa i Chiny posiadały największą liczbę serwerów sterujących. Na 7. miejscu w tej klasyfikacji znalazła się Polska.
• Większość ataków pochodzi z Azji i Europy Wschodniej - pod względem przeciętnej liczby wywołań zwrotnych na firmę na pierwszym miejscu znajdują się Chiny, Korea Południowa, Indie, Japonia i Hong Kong - pochodziło stamtąd 24% globalnych wywołań zwrotnych. Tuż za nimi plasują się państwa Europy Wschodniej takie jak Rosja, Polska, Rumunia, Ukraina, Kazachstan i Łotwa, gdzie współczynnik ten wyniósł 22%.
• Częstym celem ataków są firmy technologiczne - skierowano do nich największą liczbę wywołań zwrotnych związanych z nową generacją cyberataków. Firmy te są atakowane pod kątem kradzieży własności intelektualnej, sabotażu lub modyfikacji kodu źródłowego w celu ułatwienia dalszych inicjatyw przestępczych.
• Większość wywołań zwrotnych w ramach ataków APT jest związanych z narzędziami APT wykonanymi w Chinach lub pochodzących od chińskich grup hakerów. Badając DNA znanych rodzin szkodliwego oprogramowania APT pod kątem wywołań zwrotnych, firma FireEye odkryła, że większość wywołań zwrotnych w ramach ataków APT (89%) jest związana z narzędziami APT wykonanymi w Chinach lub pochodzącymi od chińskich grup hakerów. Najważniejsze narzędzie to Gh0st RAT.
Ustalenia raportu są oparte na zablokowaniu ponad 12 mln wywołań zwrotnych z 184 krajów, zarejestrowanych przez platformę FireEye na tysiącach urządzeń użytkowników końcowych w 2012 r. Platforma FireEye jest wdrażana za zaporami firewall, zaporami nowej generacji, systemami zapobiegającymi włamaniom do komputerów (IPS), programami antywirusowymi i innymi bramami bezpieczeństwa, stanowiąc ostatnią linię obrony przed zaawansowanymi atakami, które omijają tradycyjną infrastrukturę bezpieczeństwa opartą na sygnaturach.
Interaktywna mapa wywołań zwrotnych wykonywanych przez serwery sterujące znajduje się na stronie www.fireeye.com/cyber-attack-landscape/
Źródło: FireEye