Sicherheitsverantwortliche von Unternehmen, die von Nationalstaaten unterstützte Cyber-Gruppen als ferne Bedrohung wahrnehmen, sollten diese Annahme möglicherweise überdenken, und zwar in aller Eile.
Mehrere aktuelle geopolitische Ereignisse auf der ganzen Welt im vergangenen Jahr haben zu einem starken Anstieg nationalstaatlicher Aktivitäten gegen kritische Ziele wie Hafenbehörden, IT-Unternehmen, Regierungsbehörden, Nachrichtenorganisationen, Kryptowährungsfirmen und religiöse Gruppen geführt.
Eine Microsoft-Analyse der globale Bedrohungslandschaft während des letzten Jahres, veröffentlicht am 4. November, zeigten, dass sich Cyberangriffe auf kritische Infrastrukturen verdoppelten, von 20 % aller nationalstaatlichen Angriffe auf 40 % aller Angriffe, die die Forscher des Unternehmens entdeckten.
Darüber hinaus ändern sich ihre Taktiken – vor allem verzeichnete Microsoft einen Anstieg bei der Verwendung von Zero-Day-Exploits.
Mehrere Faktoren führten zu einer erhöhten nationalstaatlichen Bedrohungsaktivität
Es überrascht nicht, dass Microsoft einen Großteil des Anstiegs auf Angriffe von von Russland unterstützten Bedrohungsgruppen im Zusammenhang mit und zur Unterstützung des Krieges des Landes in der Ukraine zurückführte. Einige der Angriffe konzentrierten sich auf die Beschädigung der ukrainischen Infrastruktur, während andere eher mit Spionage zu tun hatten und Ziele in den USA und anderen NATO-Mitgliedsländern umfassten. Neunzig Prozent der von Russland unterstützten Cyberangriffe, die Microsoft im vergangenen Jahr entdeckte, richteten sich gegen NATO-Staaten; 48 % davon richteten sich an IT-Dienstleister in diesen Ländern.
Während der Krieg in der Ukraine die meisten Aktivitäten russischer Bedrohungsgruppen auslöste, führten andere Faktoren zu einer Zunahme der Angriffe von Gruppen, die von China, Nordkorea und dem Iran gesponsert wurden. Angriffe iranischer Gruppen beispielsweise eskalierten nach einem Präsidentenwechsel im Land.
Microsoft sagte, es habe iranische Gruppen beobachtet, die zerstörerische Angriffe zum Löschen von Festplatten in Israel sowie sogenannte Hack-and-Leak-Operationen gegen Ziele in den USA und der EU durchgeführt hätten. Ein Angriff in Israel löste Notfallraketensignale im Land aus, während ein anderer versuchte, Daten aus den Systemen eines Opfers zu löschen.
Die Zunahme der Angriffe nordkoreanischer Gruppen fiel mit einer Zunahme von Raketentests im Land zusammen. Viele der Angriffe konzentrierten sich darauf, Technologie von Luft- und Raumfahrtunternehmen und Forschern zu stehlen.
Gruppen in China verstärkten unterdessen Spionage- und Datendiebstahlangriffe, um die Bemühungen des Landes zu unterstützen, mehr Einfluss in der Region auszuüben, sagte Microsoft. Viele ihrer Ziele umfassten Organisationen, die in Informationen eingeweiht waren, die China als strategisch wichtig für das Erreichen seiner Ziele ansah.
Von der Software-Supply-Chain zur IT-Service-Provider-Kette
Nationalstaatliche Akteure zielten in diesem Zeitraum stärker auf IT-Unternehmen als auf andere Sektoren. IT-Unternehmen wie Anbieter von Cloud-Diensten und Anbieter verwalteter Dienste machten 22 % der Organisationen aus, die diese Gruppen in diesem Jahr anvisierten. Andere stark ins Visier genommene Sektoren waren die traditionelleren Denkfabriken und Opfer von Nichtregierungsorganisationen (17 %), das Bildungswesen (14 %) und Regierungsbehörden (10 %).
Die Angriffe zielten auf IT-Dienstleister ab und zielten darauf ab, Hunderte von Organisationen gleichzeitig zu gefährden, indem sie einen einzigen vertrauenswürdigen Anbieter verletzten, sagte Microsoft. Der Angriff auf Kaseya im letzten Jahr, der dazu führte Ransomware schließlich verbreitet wird an Tausende von nachgelagerten Kunden, war ein frühes Beispiel.
In diesem Jahr gab es mehrere weitere, darunter einen im Januar, bei dem ein vom Iran unterstützter Akteur einen israelischen Anbieter von Cloud-Diensten kompromittiert hat, um zu versuchen, die nachgelagerten Kunden dieses Unternehmens zu infiltrieren. In einem anderen Fall erhielt eine im Libanon ansässige Gruppe namens Polonium über ihre Cloud-Dienstanbieter Zugang zu mehreren israelischen Verteidigungs- und Rechtsorganisationen.
Die zunehmenden Angriffe auf die Lieferkette von IT-Diensten stellten eine Abkehr von dem üblichen Fokus dar, den nationalstaatliche Gruppen auf die Softwarelieferkette hatten, stellte Microsoft fest.
Zu den von Microsoft empfohlenen Maßnahmen zur Verringerung der Gefährdung durch diese Bedrohungen gehören die Überprüfung und Prüfung der Beziehungen zu vor- und nachgelagerten Dienstanbietern, die Übertragung der Verantwortung für die privilegierte Zugriffsverwaltung und die Durchsetzung des Zugriffs mit geringsten Rechten nach Bedarf. Das Unternehmen empfiehlt Unternehmen außerdem, den Zugriff auf unbekannte oder nicht geprüfte Partnerbeziehungen zu überprüfen, die Protokollierung zu aktivieren, alle Authentifizierungsaktivitäten für VPNs und die Fernzugriffsinfrastruktur zu überprüfen und MFA für alle Konten zu aktivieren
Ein Aufwärtstrend in Zero-Days
Ein bemerkenswerter Trend, den Microsoft beobachtet hat, ist, dass nationalstaatliche Gruppen erhebliche Ressourcen ausgeben, um die Sicherheitsvorkehrungen zu umgehen, die Unternehmen zum Schutz vor ausgeklügelten Bedrohungen implementiert haben.
„Ähnlich wie Unternehmensorganisationen begannen Angreifer, Fortschritte in der Automatisierung, Cloud-Infrastruktur und Fernzugriffstechnologien zu nutzen, um ihre Angriffe auf eine breitere Palette von Zielen auszudehnen“, sagte Microsoft.
Zu den Anpassungen gehörten neue Möglichkeiten zur schnellen Ausnutzung ungepatchter Schwachstellen, erweiterte Techniken zum Eindringen in Unternehmen und der verstärkte Einsatz legitimer Tools und Open-Source-Software zur Verschleierung böswilliger Aktivitäten.
Eine der beunruhigendsten Manifestationen dieses Trends ist die zunehmende Nutzung von Zero-Day-Schwachstellen-Exploits durch nationalstaatliche Akteure in ihrer Angriffskette. Die Recherchen von Microsoft zeigten, dass allein zwischen Januar und Juni dieses Jahres Patches für 41 Zero-Day-Schwachstellen zwischen Juli 2021 und Juni 2022 veröffentlicht wurden.
Laut Microsoft waren von China unterstützte Bedrohungsakteure in letzter Zeit besonders gut darin, Zero-Day-Exploits zu finden und zu entdecken. Das Unternehmen führte den Trend auf eine neue China-Verordnung zurück, die im September 2021 in Kraft trat; Es verlangt von Organisationen im Land, dass sie alle Schwachstellen, die sie entdecken, einer chinesischen Regierungsbehörde zur Überprüfung melden, bevor sie die Informationen an Dritte weitergeben.
Beispiele für Zero-Day-Bedrohungen, die in diese Kategorie fallen, sind: CVE-2021-35211, ein Fehler bei der Ausführung von Remote-Code in der SolarWinds Serv-U-Software, der weit verbreitet war, bevor er im Juli 2021 gepatcht wurde; CVE-2021-40539, a kritische Authentifizierungs-Bypass-Schwachstelle in Zoho ManageEngine ADSelfService Plus, gepatcht im letzten September; und CVE-2022-26134, eine Schwachstelle in Atlassian Confluence-Arbeitsbereiche die ein chinesischer Bedrohungsakteur aktiv ausnutzte, bevor im Juni ein Patch verfügbar wurde.
„Diese neue Verordnung könnte Elemente in der chinesischen Regierung in die Lage versetzen, gemeldete Schwachstellen zu horten, um sie zu Waffen zu machen“, warnte Microsoft und fügte hinzu, dass dies als ein wichtiger Schritt bei der Nutzung von Zero-Day-Exploits als staatliche Priorität angesehen werden sollte.
.
