Virksomhedssikkerhedsledere, der opfatter nationalstatsstøttede cybergrupper som en fjern trussel, vil måske gense denne antagelse og i en fart.
Adskillige nylige geopolitiske begivenheder rundt om i verden i løbet af det seneste år har ansporet til en kraftig stigning i nationalstaternes aktivitet mod kritiske mål, såsom havnemyndigheder, it-virksomheder, statslige agenturer, nyhedsorganisationer, kryptovalutafirmaer og religiøse grupper.
En Microsoft-analyse af globale trussellandskab i løbet af det sidste år, udgivet 4. nov., viste, at cyberangreb rettet mod kritisk infrastruktur blev fordoblet, fra at stå for 20 % af alle nationalstatsangreb til 40 % af alle angreb, som virksomhedens forskere opdagede.
Desuden skifter deres taktik - mest bemærkelsesværdigt registrerede Microsoft en stigning i brugen af zero-day exploits.
Flere faktorer drev øget nationalstats trusselaktivitet
Ikke overraskende tilskrev Microsoft en stor del af stigningen til angreb fra Rusland-støttede trusselsgrupper relateret til og til støtte for landets krig i Ukraine. Nogle af angrebene var fokuseret på at beskadige ukrainsk infrastruktur, mens andre var mere spionagerelaterede og omfattede mål i USA og andre NATO-medlemslande. Halvfems procent af Rusland-støttede cyberangreb, som Microsoft opdagede i løbet af det sidste år, var rettet mod NATO-lande; 48 % af dem var rettet mod it-tjenesteudbydere i disse lande.
Mens krigen i Ukraine drev det meste af aktiviteten fra russiske trusselsgrupper, fremmede andre faktorer en stigning i angreb fra grupper sponsoreret af Kina, Nordkorea og Iran. Angreb fra iranske grupper, for eksempel, eskalerede efter et præsidentielt skifte i landet.
Microsoft sagde, at det observerede iranske grupper, der lancerede destruktive, diskudslettende angreb i Israel, såvel som hvad det beskrev som hack-and-leak-operationer mod mål i USA og EU. Et angreb i Israel udløste nødraketsignaler i landet, mens et andet forsøgte at slette data fra et offers systemer.
Stigningen i angreb fra nordkoreanske grupper faldt sammen med en stigning i missiltest i landet. Mange af angrebene var fokuseret på at stjæle teknologi fra luftfartsselskaber og forskere.
Grupper i Kina øgede i mellemtiden spionage- og datatyveriangreb for at støtte landets bestræbelser på at øve mere indflydelse i regionen, sagde Microsoft. Mange af deres mål omfattede organisationer, der var fortrolige med information, som Kina anså for at være af strategisk betydning for at nå sine mål.
Fra Software Supply Chain til IT Service Provider Chain
Nationalstatslige aktører henvendte sig i højere grad til it-virksomheder end andre sektorer i perioden. It-virksomheder, såsom udbydere af cloud-tjenester og udbydere af administrerede tjenester, tegnede sig for 22 % af de organisationer, som disse grupper var rettet mod i år. Andre stærkt målrettede sektorer omfattede de mere traditionelle tænketanke og ofre for ikke-statslige organisationer (17 %), uddannelse (14 %) og offentlige myndigheder (10 %).
Ved at målrette IT-tjenesteudbydere var angrebene designet til at kompromittere hundredvis af organisationer på én gang ved at bryde en enkelt betroet leverandør, sagde Microsoft. Angrebet sidste år på Kaseya, som resulterede i ransomware bliver i sidste ende distribueret til tusindvis af downstream-kunder, var et tidligt eksempel.
Der var flere andre i år, inklusive en i januar, hvor en Iran-støttet aktør kompromitterede en israelsk cloud-tjenesteudbyder for at prøve at infiltrere virksomhedens downstream-kunder. I en anden gruppe fik en libanon-baseret gruppe ved navn Polonium adgang til adskillige israelske forsvars- og juridiske organisationer via deres cloud-tjenesteudbydere.
De voksende angreb på it-serviceforsyningskæden repræsenterede et skift væk fra det sædvanlige fokus, som nationalstatsgrupper har haft på softwareforsyningskæden, bemærkede Microsoft.
Microsofts anbefalede foranstaltninger til at mindske eksponeringen for disse trusler omfatter gennemgang og revision af upstream- og downstream-serviceudbyderforhold, uddelegering af ansvarlig for privilegeret adgangsstyring og håndhævelse af mindst privilegeret adgang efter behov. Virksomheden anbefaler også, at virksomheder gennemgår adgangen for partnerforhold, der er ukendte eller ikke er blevet revideret, aktiverer logning, gennemgår al godkendelsesaktivitet for VPN'er og fjernadgangsinfrastruktur og aktiverer MFA for alle konti
En stigning på nul dage
En bemærkelsesværdig tendens, som Microsoft observerede, er, at nationalstatsgrupper bruger betydelige ressourcer på at unddrage sig den sikkerhedsbeskyttelse, som organisationer har implementeret for at forsvare sig mod sofistikerede trusler.
"Ligesom virksomhedsorganisationer begyndte modstandere at bruge fremskridt inden for automatisering, cloud-infrastruktur og fjernadgangsteknologier til at udvide deres angreb mod et bredere sæt af mål," sagde Microsoft.
Justeringerne omfattede nye måder til hurtigt at udnytte uoprettede sårbarheder, udvidede teknikker til at bryde virksomheder og øget brug af legitime værktøjer og open source-software til at sløre ondsindet aktivitet.
En af de mest bekymrende manifestationer af tendensen er den stigende brug blandt nationalstatsaktører af nul-dages sårbarhedsudnyttelse i deres angrebskæde. Microsofts forskning viste, at der lige mellem januar og juni i år blev frigivet patches til 41 nul-dages sårbarheder mellem juli 2021 og juni 2022.
Ifølge Microsoft har Kina-støttede trusselsaktører været særligt dygtige til at finde og opdage zero-day exploits for nylig. Virksomheden tilskrev tendensen til en ny Kina-regulering, der trådte i kraft i september 2021; det kræver, at organisationer i landet rapporterer eventuelle sårbarheder, de opdager, til en kinesisk regeringsmyndighed til gennemgang, før de videregiver oplysningerne til andre.
Eksempler på nuldagstrusler, der falder ind under denne kategori, omfatter CVE-2021-35211, en fejl ved fjernudførelse af kode i SolarWinds Serv-U-software, der blev bredt udnyttet, før den blev rettet i juli 2021; CVE-2021-40539, a kritisk autentificering omgå sårbarhed i Zoho ManageEngine ADSelfService Plus, patchet i september sidste år; og CVE-2022-26134, en sårbarhed i Atlassian Confluence Workspaces som en kinesisk trusselsaktør aktivt udnyttede, før en patch blev tilgængelig i juni.
"Denne nye regulering kan gøre det muligt for elementer i den kinesiske regering at oplagre rapporterede sårbarheder i forhold til at våben dem," advarede Microsoft og tilføjede, at dette bør ses som et vigtigt skridt i brugen af nul-dages udnyttelse som en statsprioritet.
.
