Cyberprzestępcy sponsorowani przez rządy to dziś jedno z największych zagrożeń dla bezpieczeństwa cyfrowego państw i firm. Grupy APT (Advanced Persistent Threat) atakują infrastrukturę krytyczną, wykradają dane i prowadzą kampanie szpiegowskie. W grę wchodzą potężne zasoby techniczne i finansowe oraz działania na globalną skalę.
APT to zaawansowane, długoterminowe kampanie cybernetyczne, których celem jest pozyskanie i utrzymanie nieautoryzowanego dostępu do systemów IT. W przeciwieństwie do klasycznych cyberataków, te operacje trwają miesiącami, a nawet latami. Napastnicy wnikają do systemów krok po kroku – wykorzystując słabe punkty, infekując sieć złośliwym oprogramowaniem i zdobywając kolejne uprawnienia.
– Grupy cyberprzestępców wspierane przez rządy dysponują ogromnymi zasobami i zatrudniają wysoko wykwalifikowanych specjalistów. To sprawia, że ich działania są wyjątkowo trudne do wykrycia i zneutralizowania – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Fortinet poprzez zespół FortiGuard Labs na bieżąco monitoruje aktywność tych grup. Na ich radarze są m.in.:
- Turla (Rosja): działa od 2004 r. Znana z przejmowania sygnałów satelitarnych i ataków na europejskie ministerstwa oraz infrastrukturę ukraińskiej armii.
- SweetSpecter (Chiny): w 2024 r. próbowała wyłudzić dane od pracowników OpenAI. Wykorzystywała także ChatGPT do badania luk w zabezpieczeniach.
- MuddyWater (Iran): specjalizuje się w spear phishingu i atakach na sektor energetyczny i telekomunikacyjny na Bliskim Wschodzie.
- Lazarus/Hidden Cobra (Korea Północna): odpowiedzialna za kradzieże setek milionów dolarów z giełd kryptowalut i instytucji finansowych.
– Obrona sieci przed atakami APT to spore wyzwanie i kluczowe jest wdrożenie przez przedsiębiorstwa wieloaspektowego podejścia. Z pewnością dokładne monitorowanie całego ruchu w sieci – przychodzącego i wychodzącego – może pomóc w zablokowaniu złośliwego oprogramowania. Dobrym pomysłem może być także stworzenie białej listy w pełni zaufanych i sprawdzonych stron oraz aplikacji. Warto również wprowadzić uwierzytelnianie wieloskładnikowe (MFA). W celu podniesienia zdolności organizacji do reagowania na incydenty powinno się inwestować w zabezpieczenia klasy EDR/XDR, które mogą powstrzymać rozprzestrzenianie się ataku – podsumowuje Robert Dąbrowski z Fortinet.
