مدیران امنیتی سازمانی که گروههای سایبری تحت حمایت دولتهای ملی را تهدیدی دور میدانند، ممکن است بخواهند این فرضیه را دوباره و با عجله بررسی کنند.
چندین رویداد ژئوپلیتیک اخیر در سراسر جهان در سال گذشته باعث افزایش شدید فعالیت دولت-ملت علیه اهداف مهمی مانند مقامات بندری، شرکتهای فناوری اطلاعات، آژانسهای دولتی، سازمانهای خبری، شرکتهای ارز دیجیتال و گروههای مذهبی شده است.
تجزیه و تحلیل مایکروسافت از چشم انداز تهدید جهانی در طول سال گذشته، منتشر شده در 4 نوامبر، نشان داد که حملات سایبری که زیرساختهای حیاتی را هدف قرار میدهند دو برابر شده است، از 20 درصد از کل حملات دولتهای ملی تا 40 درصد از کل حملاتی که محققان شرکت شناسایی کردهاند.
علاوه بر این، تاکتیکهای آنها در حال تغییر است – به ویژه اینکه مایکروسافت در استفاده از اکسپلویتهای روز صفر افزایشی را ثبت کرده است.
عوامل متعدد باعث افزایش فعالیت تهدید ملی-دولتی شد
جای تعجب نیست که مایکروسافت بیشتر این افزایش را به حملات گروه های تهدید کننده تحت حمایت روسیه مرتبط با جنگ این کشور در اوکراین و حمایت از آن نسبت داد. برخی از این حملات بر روی آسیب رساندن به زیرساخت های اوکراین متمرکز بودند، در حالی که برخی دیگر بیشتر مربوط به جاسوسی بودند و شامل اهدافی در ایالات متحده و سایر کشورهای عضو ناتو بودند. 48 درصد از حملات سایبری تحت حمایت روسیه که مایکروسافت طی سال گذشته شناسایی کرد، کشورهای ناتو را هدف قرار داده است. XNUMX درصد از آنها به ارائه دهندگان خدمات فناوری اطلاعات در این کشورها هدایت شدند.
در حالی که جنگ در اوکراین بیشتر فعالیتهای گروههای تهدید روسیه را به همراه داشت، عوامل دیگری باعث افزایش حملات توسط گروههای تحت حمایت چین، کره شمالی و ایران شد. به عنوان مثال، حملات گروه های ایرانی پس از تغییر ریاست جمهوری در کشور تشدید شد.
مایکروسافت اعلام کرد که گروههای ایرانی را در حال انجام حملات مخرب و پاککننده دیسک در اسرائیل و همچنین آنچه که به عنوان عملیات هک و نشت علیه اهدافی در ایالات متحده و اتحادیه اروپا توصیف میکند، مشاهده کرده است. یک حمله در اسرائیل سیگنال های موشکی اضطراری را در این کشور منتشر کرد در حالی که حمله دیگری به دنبال پاک کردن داده ها از سیستم های قربانی بود.
افزایش حملات گروه های کره شمالی با افزایش آزمایش موشکی در این کشور همزمان شد. بسیاری از حملات بر روی سرقت فناوری از شرکتهای هوافضا و محققان متمرکز بود.
مایکروسافت گفت، در همین حال، گروههایی در چین حملات جاسوسی و سرقت اطلاعات را برای حمایت از تلاشهای این کشور برای اعمال نفوذ بیشتر در منطقه افزایش دادند. بسیاری از اهداف آنها شامل سازمانهایی بود که اطلاعاتی را در اختیار داشتند که چین آنها را برای دستیابی به اهدافش اهمیت استراتژیک میدانست.
از زنجیره تامین نرم افزار تا زنجیره ارائه دهنده خدمات فناوری اطلاعات
بازیگران دولتی در این دوره شرکت های فناوری اطلاعات را بیشتر از سایر بخش ها هدف قرار دادند. شرکت های فناوری اطلاعات، مانند ارائه دهندگان خدمات ابری و ارائه دهندگان خدمات مدیریت شده، 22 درصد از سازمان هایی را تشکیل می دهند که این گروه ها در سال جاری هدف قرار داده اند. سایر بخشهایی که به شدت مورد هدف قرار گرفتهاند شامل قربانیان اندیشکده سنتی و سازمانهای غیردولتی (17%)، آموزش (14%)، و سازمانهای دولتی (10%) بودند.
مایکروسافت گفت که در هدف قرار دادن ارائه دهندگان خدمات فناوری اطلاعات، این حملات برای به خطر انداختن صدها سازمان به طور همزمان با نقض یک فروشنده مورد اعتماد طراحی شده است. حمله سال گذشته به کاسیا که منجر به آن شد باج افزار در نهایت در حال توزیع است به هزاران مشتری پایین دستی، نمونه اولیه بود.
چندین مورد دیگر در سال جاری وجود داشت، از جمله یکی در ژانویه که در آن یک بازیگر مورد حمایت ایران، یک ارائهدهنده خدمات ابری اسرائیلی را به خطر انداخت تا سعی کند به مشتریان پایین دستی آن شرکت نفوذ کند. در دیگری، یک گروه مستقر در لبنان به نام پولونیوم از طریق ارائه دهندگان خدمات ابری به چندین سازمان دفاعی و حقوقی اسرائیل دسترسی پیدا کرد.
مایکروسافت خاطرنشان کرد که حملات فزاینده به زنجیره تامین خدمات فناوری اطلاعات نشاندهنده دور شدن از تمرکز معمول گروههای دولت-ملت بر زنجیره تامین نرمافزار است.
اقدامات توصیه شده مایکروسافت برای کاهش قرار گرفتن در معرض این تهدیدها شامل بررسی و ممیزی روابط ارائه دهنده خدمات بالادستی و پایین دستی، تفویض مسئولیت مدیریت دسترسی ممتاز و اعمال حداقل دسترسی در صورت نیاز است. این شرکت همچنین توصیه میکند که شرکتها دسترسی را برای روابط شریکی که ناآشنا هستند یا ممیزی نشدهاند بررسی کنند، ورود به سیستم را فعال کنند، تمام فعالیتهای احراز هویت را برای VPN و زیرساخت دسترسی از راه دور بررسی کنند، و MFA را برای همه حسابها فعال کنند.
افزایش در روزهای صفر
یکی از روندهای قابل توجهی که مایکروسافت مشاهده کرد این است که گروه های دولت-ملت منابع قابل توجهی را برای فرار از حفاظت های امنیتی که سازمان ها برای دفاع در برابر تهدیدات پیچیده اجرا کرده اند، خرج می کنند.
مایکروسافت میگوید: «مانند سازمانهای سازمانی، دشمنان شروع به استفاده از پیشرفتها در اتوماسیون، زیرساختهای ابری و فناوریهای دسترسی از راه دور کردند تا حملات خود را علیه مجموعه وسیعتری از اهداف گسترش دهند.
این تنظیمات شامل راههای جدیدی برای بهرهبرداری سریع از آسیبپذیریهای اصلاحنشده، تکنیکهای توسعهیافته برای نفوذ به شرکتها، و افزایش استفاده از ابزارهای قانونی و نرمافزار منبع باز برای مبهم کردن فعالیتهای مخرب بود.
یکی از آزاردهندهترین جلوههای این روند، استفاده روزافزون در میان بازیگران دولت-ملت از سوءاستفادههای آسیبپذیری روز صفر در زنجیره حملهشان است. تحقیقات مایکروسافت نشان داد که فقط بین ژانویه تا ژوئن سال جاری، وصلههایی برای 41 آسیبپذیری روز صفر بین جولای 2021 تا ژوئن 2022 منتشر شد.
به گفته مایکروسافت، بازیگران تهدید تحت حمایت چین اخیراً در یافتن و کشف سوء استفادههای روز صفر ماهر بودهاند. این شرکت این روند را به یک مقررات جدید چین نسبت داد که در سپتامبر 2021 اجرایی شد. این سازمانها را در این کشور ملزم میکند تا قبل از افشای اطلاعات با دیگران، هر گونه آسیبپذیری را که کشف میکنند برای بررسی به یک مقام دولتی چین گزارش دهند.
نمونه هایی از تهدیدات روز صفر که در این دسته قرار می گیرند عبارتند از CVE-2021-35211یک نقص اجرای کد از راه دور در نرم افزار SolarWinds Serv-U که قبل از وصله در جولای 2021 به طور گسترده مورد سوء استفاده قرار گرفت. CVE-2021-40539 ، a آسیب پذیری دور زدن احراز هویت بحرانی در Zoho ManageEngine ADSelfService Plus، در سپتامبر گذشته وصله شد. و CVE-2022-26134 ، یک آسیب پذیری در فضاهای کاری تلاقی Atlassian که یک عامل تهدید چینی قبل از عرضه وصله در ماه ژوئن به طور فعال از آن بهره برداری می کرد.
مایکروسافت هشدار داد: «این مقررات جدید ممکن است به عناصر دولت چین اجازه دهد تا آسیبپذیریهای گزارششده را در جهت تسلیحسازی آنها ذخیره کند.
.