Ettevõtete turvalisuse juhid, kes tajuvad rahvusriikide toetatud küberrühmitusi kauge ohuna, võiksid soovida seda oletust uuesti läbi vaadata ja kiirustada.
Mitmed hiljutised geopoliitilised sündmused üle maailma viimase aasta jooksul on ajendanud järsult suurendama rahvusriikide tegevust kriitiliste sihtmärkide vastu, nagu sadamavõimud, IT-ettevõtted, valitsusasutused, uudisteorganisatsioonid, krüptovaluutafirmad ja usurühmitused.
Microsofti analüüs globaalne ohumaastik viimase aasta jooksul, vabastati 4. nov. näitas, et kriitilisele infrastruktuurile suunatud küberrünnakud kahekordistusid, moodustades 20% kõigist rahvusriikide rünnakutest kuni 40% kõigist ettevõtte teadlaste tuvastatud rünnakutest.
Lisaks on nende taktika muutumas – kõige olulisem on see, et Microsoft registreeris nullpäevade ärakasutamise tõusu.
Mitmed tegurid suurendasid rahvusriikide ohtude aktiivsust
Pole üllatav, et Microsoft omistas suure osa tõusudest Venemaa toetatud ohurühmade rünnakutele, mis olid seotud riigi Ukraina sõjaga ja seda toetavad. Mõned rünnakud olid suunatud Ukraina infrastruktuuri kahjustamisele, teised aga olid rohkem seotud spionaažiga ning hõlmasid sihtmärke USA-s ja teistes NATO liikmesriikides. 48 protsenti Venemaa toetatud küberrünnakutest, mille Microsoft viimase aasta jooksul tuvastas, olid suunatud NATO riikidele; Neist XNUMX% olid suunatud nende riikide IT-teenuste pakkujatele.
Kui Ukraina sõda põhjustas suurema osa Venemaa ohurühmade tegevusest, siis Hiina, Põhja-Korea ja Iraani rahastatud rühmituste rünnakute suurenemist soodustasid muud tegurid. Näiteks Iraani rühmituste rünnakud eskaleerusid pärast presidendivahetust riigis.
Microsoft teatas, et on täheldanud Iraani rühmitusi, kes korraldasid Iisraelis hävitavaid kettaid pühitavaid rünnakuid, aga ka häkkimis- ja lekkeoperatsioone sihtmärkide vastu USA-s ja EL-is. Üks rünnak Iisraelis andis riigis välja hädaolukorra raketisignaalid, samas kui teine üritas ohvri süsteemidest andmeid kustutada.
Põhja-Korea rühmituste rünnakute sagenemine langes kokku raketikatsetuste hoogustumisega riigis. Paljud rünnakud olid suunatud lennundusettevõtetelt ja teadlastelt tehnoloogia varastamisele.
Hiina rühmitused suurendasid samal ajal spionaaži ja andmete varastamise rünnakuid, et toetada riigi jõupingutusi piirkonnas suuremat mõju avaldada, teatas Microsoft. Paljude nende sihtmärkide hulka kuulusid organisatsioonid, kes said teavet, mida Hiina pidas oma eesmärkide saavutamiseks strateegiliselt oluliseks.
Tarkvara tarneahelast IT-teenusepakkujate ahelani
Riikide osapooled olid sel perioodil rohkem suunatud IT-ettevõtetele kui muudele sektoritele. IT-ettevõtted, nagu pilveteenuste pakkujad ja hallatavate teenuste pakkujad, moodustasid sel aastal 22% organisatsioonidest, mida need rühmad sihtisid. Muud tugevalt sihitud sektorid olid traditsioonilisemad mõttekojad ja valitsusväliste organisatsioonide ohvrid (17%), haridus (14%) ja valitsusasutused (10%).
Microsoft ütles, et IT-teenuste pakkujatele suunatud rünnakute eesmärk oli ohustada sadu organisatsioone korraga, rikkudes ühte usaldusväärset tarnijat. Eelmise aasta rünnak Kaseya vastu, mille tulemuseks oli lõpuks levitatakse lunavara tuhandetele alljärgnevatele klientidele, oli varajane näide.
Sel aastal oli veel mitu, sealhulgas üks jaanuaris, kus Iraani toetatud näitleja kompromiteeris Iisraeli pilveteenuste pakkujat, et proovida tungida selle ettevõtte allavoolu klientide hulka. Teises sai Liibanonis asuv rühmitus nimega Polonium juurdepääsu mitmele Iisraeli kaitse- ja juriidilisele organisatsioonile oma pilveteenuste pakkujate kaudu.
Kasvavad rünnakud IT-teenuste tarneahela vastu kujutasid endast nihet eemale tavapärasest fookusest, mida rahvusriikide rühmad on tarkvara tarneahelale suunanud, märkis Microsoft.
Microsofti soovitatud meetmed nende ohtudega kokkupuutumise vähendamiseks hõlmavad eelnevate ja järgnevate teenusepakkujate suhete ülevaatamist ja auditeerimist, vastutustundliku juurdepääsu haldamise delegeerimist ja vähima privilegeeritud juurdepääsu jõustamist vastavalt vajadusele. Samuti soovitab ettevõte ettevõtetel tutvuda tundmatute või auditeerimata partnersuhete juurdepääsuga, lubada logimine, vaadata üle kõik VPN-ide ja kaugjuurdepääsu infrastruktuuri autentimistoimingud ning lubada MFA kõigi kontode jaoks.
Nullpäevade tõus
Üks märkimisväärne suund, mida Microsoft täheldas, on see, et rahvusriikide rühmad kulutavad märkimisväärseid ressursse, et vältida turbekaitset, mida organisatsioonid on rakendanud keerukate ohtude eest kaitsmiseks.
"Sarnaselt ettevõtete organisatsioonidega hakkasid vastased kasutama automatiseerimise, pilveinfrastruktuuri ja kaugjuurdepääsu tehnoloogiate edusamme, et laiendada oma rünnakuid laiema sihtmärkide vastu," ütles Microsoft.
Kohandused hõlmasid uusi viise parandamata turvaaukude kiireks ärakasutamiseks, laiendatud tehnikaid korporatsioonide sissemurdmiseks ning legitiimsete tööriistade ja avatud lähtekoodiga tarkvara suuremat kasutamist pahatahtliku tegevuse hägustamiseks.
Suundumuse üks murettekitavamaid ilminguid on rahvusriikides tegutsejate seas järjest suurem nullpäeva haavatavuse ärakasutamine nende ründeahelas. Microsofti uuringud näitasid, et selle aasta jaanuarist juunini avaldati paigad 41 nullpäeva haavatavusele ajavahemikus juulist 2021 kuni juunini 2022.
Microsofti sõnul on Hiina toetatud ohus osalejad viimasel ajal eriti osanud nullpäeva rünnakute leidmisel ja avastamisel. Ettevõte põhjendas suundumust uue Hiina määrusega, mis jõustus 2021. aasta septembris; see nõuab, et riigi organisatsioonid teavitaksid avastatud nõrkadest Hiina valitsusasutustest enne teabe avaldamist kellelegi teisele.
Sellesse kategooriasse kuuluvate nullpäevaohtude näited on järgmised CVE-2021-35211, SolarWinds Serv-U tarkvara kaugkäitamise viga, mida kasutati laialdaselt enne 2021. aasta juulis parandamist; CVE-2021-40539, a kriitilise autentimise möödaviigu haavatavus eelmise aasta septembris paigatud Zoho ManageEngine ADSelfService Plus'is; ja CVE-2022-26134, haavatavus sisse Atlassian Confluence'i tööruumid mida Hiina ohustaja aktiivselt ära kasutas enne, kui juunis plaaster kättesaadavaks sai.
"See uus määrus võib võimaldada Hiina valitsuse elementidel varuda teatatud haavatavused nende relvastamiseks," hoiatas Microsoft, lisades, et seda tuleks vaadelda kui suurt sammu nullpäevade ärakasutamise kui riigi prioriteedina.
.
