Τα στελέχη της ασφάλειας των επιχειρήσεων που αντιλαμβάνονται τις ομάδες κυβερνοχώρου που υποστηρίζονται από τα έθνη ως μακρινή απειλή μπορεί να θέλουν να επανεξετάσουν αυτήν την υπόθεση και βιαστικά.
Αρκετά πρόσφατα γεωπολιτικά γεγονότα σε όλο τον κόσμο τον περασμένο χρόνο προκάλεσαν μια απότομη αύξηση της δραστηριότητας των εθνικών κρατών εναντίον κρίσιμων στόχων, όπως λιμενικές αρχές, εταιρείες πληροφορικής, κυβερνητικές υπηρεσίες, ειδησεογραφικοί οργανισμοί, εταιρείες κρυπτονομισμάτων και θρησκευτικές ομάδες.
Μια ανάλυση της Microsoft για το τοπίο παγκόσμιας απειλής τον τελευταίο χρόνο, κυκλοφόρησε στις 4 Νοεμβρίου, έδειξε ότι οι επιθέσεις στον κυβερνοχώρο που στοχεύουν κρίσιμες υποδομές διπλασιάστηκαν, από το 20% όλων των επιθέσεων εθνικών κρατών στο 40% όλων των επιθέσεων που εντόπισαν οι ερευνητές της εταιρείας.
Επιπλέον, οι τακτικές τους αλλάζουν – κυρίως, η Microsoft κατέγραψε αύξηση στη χρήση των exploits zero-day.
Πολλαπλοί Παράγοντες οδήγησαν σε αυξημένη δραστηριότητα απειλών έθνους-κράτους
Όπως ήταν αναμενόμενο, η Microsoft απέδωσε μεγάλο μέρος της αύξησης σε επιθέσεις από ομάδες απειλών που υποστηρίζονται από τη Ρωσία που σχετίζονται και υποστηρίζουν τον πόλεμο της χώρας στην Ουκρανία. Ορισμένες από τις επιθέσεις επικεντρώθηκαν στην καταστροφή της ουκρανικής υποδομής, ενώ άλλες σχετίζονταν περισσότερο με την κατασκοπεία και περιλάμβαναν στόχους στις ΗΠΑ και σε άλλες χώρες μέλη του ΝΑΤΟ. Το ενενήντα τοις εκατό των κυβερνοεπιθέσεων που υποστηρίζονται από τη Ρωσία που εντόπισε η Microsoft τον περασμένο χρόνο είχαν ως στόχο χώρες του ΝΑΤΟ. Το 48% από αυτά απευθύνονταν σε παρόχους υπηρεσιών πληροφορικής σε αυτές τις χώρες.
Ενώ ο πόλεμος στην Ουκρανία οδήγησε το μεγαλύτερο μέρος της δραστηριότητας από ρωσικές ομάδες απειλών, άλλοι παράγοντες τροφοδότησαν την αύξηση των επιθέσεων από ομάδες που χρηματοδοτούνται από την Κίνα, τη Βόρεια Κορέα και το Ιράν. Οι επιθέσεις από ιρανικές ομάδες, για παράδειγμα, κλιμακώθηκαν μετά από μια προεδρική αλλαγή στη χώρα.
Η Microsoft είπε ότι παρατήρησε ιρανικές ομάδες να εξαπολύουν καταστροφικές επιθέσεις που σκουπίζουν δίσκους στο Ισραήλ, καθώς και αυτό που περιέγραψε ως επιχειρήσεις hack-and-leak εναντίον στόχων στις ΗΠΑ και την ΕΕ. Μια επίθεση στο Ισραήλ πυροδότησε σήματα πυραύλων έκτακτης ανάγκης στη χώρα ενώ μια άλλη προσπάθησε να διαγράψει δεδομένα από τα συστήματα ενός θύματος.
Η αύξηση των επιθέσεων από βορειοκορεατικές ομάδες συνέπεσε με την αύξηση των δοκιμών πυραύλων στη χώρα. Πολλές από τις επιθέσεις επικεντρώθηκαν στην κλοπή τεχνολογίας από αεροδιαστημικές εταιρείες και ερευνητές.
Ομάδες στην Κίνα, εν τω μεταξύ, αύξησαν τις επιθέσεις κατασκοπείας και κλοπής δεδομένων για να υποστηρίξουν τις προσπάθειες της χώρας να ασκήσει μεγαλύτερη επιρροή στην περιοχή, δήλωσε η Microsoft. Πολλοί από τους στόχους τους περιελάμβαναν οργανισμούς που γνώριζαν πληροφορίες που η Κίνα θεωρούσε στρατηγική σημασία για την επίτευξη των στόχων της.
Από την αλυσίδα εφοδιασμού λογισμικού στην αλυσίδα παρόχων υπηρεσιών πληροφορικής
Οι φορείς των εθνικών κρατών στόχευσαν περισσότερο τις εταιρείες πληροφορικής από άλλους τομείς κατά την περίοδο αυτή. Οι εταιρείες πληροφορικής, όπως οι πάροχοι υπηρεσιών cloud και οι πάροχοι διαχειριζόμενων υπηρεσιών, αντιπροσώπευαν το 22% των οργανισμών στους οποίους στόχευσαν αυτές οι ομάδες φέτος. Άλλοι τομείς που στοχεύτηκαν έντονα περιελάμβαναν τα πιο παραδοσιακά θύματα δεξαμενών σκέψης και μη κυβερνητικών οργανώσεων (17%), την εκπαίδευση (14%) και τις κρατικές υπηρεσίες (10%).
Στοχεύοντας παρόχους υπηρεσιών πληροφορικής, οι επιθέσεις σχεδιάστηκαν για να θέσουν σε κίνδυνο εκατοντάδες οργανισμούς ταυτόχρονα παραβιάζοντας έναν μόνο αξιόπιστο προμηθευτή, είπε η Microsoft. Η επίθεση πέρυσι στην Kaseya, η οποία είχε ως αποτέλεσμα ransomware που τελικά διανέμεται σε χιλιάδες πελάτες κατάντη, ήταν ένα πρώιμο παράδειγμα.
Υπήρξαν αρκετές άλλες φέτος, συμπεριλαμβανομένου ενός τον Ιανουάριο, όπου ένας ηθοποιός που υποστηρίζεται από το Ιράν παραβίασε έναν ισραηλινό πάροχο υπηρεσιών cloud για να προσπαθήσει να διεισδύσει στους κατάντη πελάτες αυτής της εταιρείας. Σε μια άλλη, μια ομάδα με έδρα τον Λίβανο που ονομάζεται Polonium απέκτησε πρόσβαση σε αρκετούς Ισραηλινούς αμυντικούς και νομικούς οργανισμούς μέσω των παρόχων υπηρεσιών cloud τους.
Οι αυξανόμενες επιθέσεις στην αλυσίδα εφοδιασμού υπηρεσιών πληροφορικής αντιπροσώπευαν μια μετατόπιση από τη συνήθη εστίαση που είχαν οι ομάδες εθνικών κρατών στην αλυσίδα εφοδιασμού λογισμικού, σημείωσε η Microsoft.
Τα προτεινόμενα μέτρα της Microsoft για τον μετριασμό της έκθεσης σε αυτές τις απειλές περιλαμβάνουν την επανεξέταση και τον έλεγχο των σχέσεων παρόχων υπηρεσιών ανάντη και μεταγενέστερης ροής, την ανάθεση υπεύθυνης διαχείρισης προνομιακής πρόσβασης και την επιβολή της λιγότερο προνομιακής πρόσβασης, όπως απαιτείται. Η εταιρεία συνιστά επίσης στις εταιρείες να ελέγχουν την πρόσβαση για σχέσεις συνεργατών που δεν είναι εξοικειωμένες ή δεν έχουν ελεγχθεί, να ενεργοποιούν την καταγραφή, να ελέγχουν όλες τις δραστηριότητες ελέγχου ταυτότητας για VPN και την υποδομή απομακρυσμένης πρόσβασης και να ενεργοποιούν το MFA για όλους τους λογαριασμούς
Μια άνοδος σε μέρες μηδέν
Μια αξιοσημείωτη τάση που παρατήρησε η Microsoft είναι ότι οι ομάδες εθνικών κρατών ξοδεύουν σημαντικούς πόρους για να αποφύγουν τις προστασίες ασφαλείας που έχουν εφαρμόσει οι οργανισμοί για να αμυνθούν από περίπλοκες απειλές.
«Όπως και οι επιχειρηματικοί οργανισμοί, οι αντίπαλοι άρχισαν να χρησιμοποιούν προόδους στον αυτοματισμό, την υποδομή cloud και τις τεχνολογίες απομακρυσμένης πρόσβασης για να επεκτείνουν τις επιθέσεις τους εναντίον ενός ευρύτερου συνόλου στόχων», δήλωσε η Microsoft.
Οι προσαρμογές περιελάμβαναν νέους τρόπους για την ταχεία εκμετάλλευση των μη επιδιορθωμένων τρωτών σημείων, διευρυμένες τεχνικές για την παραβίαση εταιρειών και αυξημένη χρήση νόμιμων εργαλείων και λογισμικού ανοιχτού κώδικα για τη συσκότιση της κακόβουλης δραστηριότητας.
Μία από τις πιο ανησυχητικές εκδηλώσεις της τάσης είναι η αυξανόμενη χρήση από τους φορείς των εθνικών κρατών των εκμεταλλεύσεων ευπάθειας zero-day στην αλυσίδα επιθέσεων τους. Η έρευνα της Microsoft έδειξε ότι μόλις μεταξύ Ιανουαρίου και Ιουνίου του τρέχοντος έτους, κυκλοφόρησαν ενημερώσεις κώδικα για 41 ευπάθειες zero-day μεταξύ Ιουλίου 2021 και Ιουνίου 2022.
Σύμφωνα με τη Microsoft, οι φορείς απειλών που υποστηρίζονται από την Κίνα ήταν ιδιαίτερα ικανοί στην εύρεση και ανακάλυψη των exploits zero-day πρόσφατα. Η εταιρεία απέδωσε την τάση σε έναν νέο κανονισμό για την Κίνα που τέθηκε σε ισχύ τον Σεπτέμβριο του 2021. απαιτεί από τους οργανισμούς στη χώρα να αναφέρουν τυχόν ευπάθειες που ανακαλύπτουν σε μια κινεζική κρατική αρχή για έλεγχο πριν αποκαλύψουν τις πληροφορίες σε οποιονδήποτε άλλον.
Παραδείγματα απειλών μηδενικής ημέρας που εμπίπτουν σε αυτήν την κατηγορία περιλαμβάνουν CVE-2021-35211, ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στο λογισμικό SolarWinds Serv-U που αξιοποιήθηκε ευρέως πριν διορθωθεί τον Ιούλιο του 2021. CVE-2021-40539, a ευπάθεια παράκαμψης κρίσιμου ελέγχου ταυτότητας στο Zoho ManageEngine ADSelfService Plus, επιδιορθώθηκε τον περασμένο Σεπτέμβριο. και CVE-2022-26134, μια ευπάθεια σε Χώροι εργασίας Atlassian Confluence που ένας κινέζος παράγοντας απειλών εκμεταλλευόταν ενεργά πριν γίνει διαθέσιμο ένα patch τον Ιούνιο.
«Αυτός ο νέος κανονισμός θα μπορούσε να επιτρέψει σε στοιχεία της κινεζικής κυβέρνησης να αποθηκεύσει αναφερόμενες ευπάθειες για την οπλισμό τους», προειδοποίησε η Microsoft, προσθέτοντας ότι αυτό θα πρέπει να θεωρηθεί ως ένα σημαντικό βήμα στη χρήση των exploits zero-day ως κρατική προτεραιότητα.
.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
