Yritysten turvallisuusjohtajat, jotka pitävät kansallisvaltioiden tukemia kyberryhmiä kaukaisena uhkana, saattavat haluta palata tähän oletukseen ja kiirehtiä.
Useat viimeaikaiset geopoliittiset tapahtumat ympäri maailmaa kuluneen vuoden aikana ovat lisänneet kansallisvaltioiden toimintaa kriittisiä kohteita vastaan, kuten satamaviranomaisia, IT-yrityksiä, valtion virastoja, uutisjärjestöjä, kryptovaluuttayhtiöitä ja uskonnollisia ryhmiä vastaan.
Microsoftin analyysi globaali uhkamaisema viimeisen vuoden aikana, julkaistu 4. marraskuuta osoitti, että kriittiseen infrastruktuuriin kohdistuvat kyberhyökkäykset kaksinkertaistuivat, 20 prosentista kaikista kansallisvaltioiden hyökkäyksistä 40 prosenttiin kaikista yrityksen tutkijoiden havaitsemista hyökkäyksistä.
Lisäksi heidän taktiikkansa ovat muuttumassa – varsinkin Microsoft havaitsi nousun nollapäivän hyväksikäyttöjen käytössä.
Useat tekijät lisäsivät kansallisvaltioiden uhkaa
Ei ole yllättävää, että Microsoft piti suuren osan piikkien syynä Venäjän tukemien uhkaryhmien hyökkäyksistä, jotka liittyivät maan Ukrainan sotaan ja tukivat sitä. Osa hyökkäyksistä kohdistui Ukrainan infrastruktuurin vahingoittamiseen, kun taas toiset liittyivät enemmän vakoiluun, ja niihin sisältyi kohteita Yhdysvalloissa ja muissa Naton jäsenmaissa. 48 prosenttia Venäjän tukemista kyberhyökkäyksistä, jotka Microsoft havaitsi kuluneen vuoden aikana, kohdistui NATO-maihin; Niistä XNUMX % oli suunnattu näiden maiden IT-palveluntarjoajille.
Vaikka Ukrainan sota johti suurimman osan Venäjän uhkaryhmien toiminnasta, muut tekijät lisäsivät Kiinan, Pohjois-Korean ja Iranin sponsoroimien ryhmien hyökkäyksiä. Esimerkiksi iranilaisten ryhmien hyökkäykset eskaloituivat maan presidentinvaihdoksen seurauksena.
Microsoft kertoi havainneensa iranilaisten ryhmien käynnistävän tuhoisia, levyjä pyyhkiviä hyökkäyksiä Israelissa sekä hakkerointi- ja vuotooperaatioita Yhdysvalloissa ja EU:ssa olevia kohteita vastaan. Yksi Israelissa tapahtuva hyökkäys laukaisi hätärakettisignaaleja maassa, kun taas toinen yritti poistaa tietoja uhrin järjestelmistä.
Pohjois-Korean ryhmien hyökkäysten lisääntyminen osui samaan aikaan ohjuskokeiden lisääntymisen kanssa maassa. Monet hyökkäyksistä keskittyivät teknologian varastamiseen ilmailualan yrityksiltä ja tutkijoilta.
Samaan aikaan Kiinan ryhmät lisäsivät vakoilua ja tietojen varastamista tukeakseen maan pyrkimyksiä käyttää enemmän vaikutusvaltaa alueella, Microsoft sanoi. Monet heidän kohteistaan sisälsivät organisaatioita, jotka saivat tietoa, jota Kiina piti strategisesti tärkeinä tavoitteidensa saavuttamisen kannalta.
Ohjelmiston toimitusketjusta IT-palveluntarjoajaketjuun
Valtiolliset toimijat kohdistuivat katsauskaudella IT-yrityksiin muita toimialoja voimakkaammin. IT-yritysten, kuten pilvipalvelujen tarjoajien ja hallinnoitujen palvelujen tarjoajien osuus oli tänä vuonna 22 prosenttia näiden ryhmien kohteena olevista organisaatioista. Muita voimakkaasti kohdennettuja sektoreita olivat perinteisemmät ajatushautomot ja kansalaisjärjestöjen uhrit (17 %), koulutus (14 %) ja valtion virastot (10 %).
IT-palveluntarjoajiin kohdistettujen hyökkäysten tarkoituksena oli vaarantaa satoja organisaatioita kerralla rikkomalla yksi luotettava toimittaja, Microsoft sanoi. Kaseyaan viime vuonna tehty hyökkäys, joka johti lunnasohjelmia lopulta jaetaan tuhansille loppupään asiakkaille, oli varhainen esimerkki.
Tänä vuonna oli useita muita, mukaan lukien yksi tammikuussa, jossa Iranin tukema toimija vaaransi israelilaisen pilvipalvelujen tarjoajan yrittääkseen soluttautua kyseisen yrityksen loppupään asiakkaisiin. Toisessa Libanonilainen ryhmä nimeltä Polonium sai pääsyn useisiin Israelin puolustus- ja lakiorganisaatioihin pilvipalvelujen tarjoajiensa kautta.
Kasvavat hyökkäykset IT-palveluiden toimitusketjua vastaan merkitsivät siirtymistä pois kansallisvaltioiden ryhmien tavanomaisesta keskittymisestä ohjelmistojen toimitusketjuun, Microsoft huomautti.
Microsoft suosittelee näille uhille altistumisen vähentämiseen tähtääviä toimenpiteitä, joihin kuuluu alku- ja loppupään palveluntarjoajien suhteiden tarkastaminen ja auditointi, vastuullisten käyttöoikeuksien hallinnan delegoiminen ja vähiten etuoikeutettujen käyttöoikeuksien pakottaminen tarpeen mukaan. Yhtiö suosittelee myös, että yritykset tarkastelevat käyttöoikeudet tuntemattomien tai auditoimattomien kumppanisuhteiden varalta, ottavat käyttöön kirjauksen, tarkistavat kaikki VPN-verkkojen ja etäkäyttöinfrastruktuurin todennustoiminnot ja ottavat käyttöön MFA:n kaikille tileille.
Nollapäivien nousu
Eräs Microsoftin havaitsema huomionarvoinen trendi on, että kansallisvaltioiden ryhmät käyttävät merkittäviä resursseja välttääkseen turvatoimia, joita organisaatiot ovat ottaneet käyttöön puolustaakseen kehittyneitä uhkia vastaan.
"Yritysorganisaatioiden tapaan viholliset alkoivat käyttää automaation, pilviinfrastruktuurin ja etäkäyttötekniikoiden edistysaskeleita laajentaakseen hyökkäyksiään laajempia kohteita vastaan", Microsoft sanoi.
Muutokset sisälsivät uusia tapoja hyödyntää nopeasti korjaamattomia haavoittuvuuksia, laajennettuja tekniikoita yritysten murtamiseen sekä laillisten työkalujen ja avoimen lähdekoodin ohjelmistojen käytön lisäämistä haitallisen toiminnan hämärtämiseen.
Yksi trendin huolestuttavimmista ilmenemismuodoista on nollapäivän haavoittuvuushyödykkeiden lisääntyvä käyttö kansallisvaltioiden toimijoiden keskuudessa hyökkäysketjussaan. Microsoftin tutkimus osoitti, että juuri tämän vuoden tammi-kesäkuussa julkaistiin korjaustiedostoja 41 nollapäivän haavoittuvuudelle heinäkuun 2021 ja kesäkuun 2022 välisenä aikana.
Microsoftin mukaan Kiinan tukemat uhkatoimijat ovat viime aikoina olleet erityisen taitavia nollapäivän hyväksikäyttöjen löytämisessä ja löytämisessä. Yhtiö selitti trendin syyskuussa 2021 voimaan tulleen uuden Kiinan-asetuksen; se edellyttää, että maan organisaatiot ilmoittavat havaitsemistaan haavoittuvuuksista Kiinan viranomaiselle tarkastettavaksi ennen tietojen paljastamista kenellekään muulle.
Esimerkkejä tähän luokkaan kuuluvista nollapäivän uhista ovat mm CVE-2021-35211, koodin etäsuoritusvirhe SolarWinds Serv-U -ohjelmistossa, jota hyödynnettiin laajalti ennen kuin se korjattiin heinäkuussa 2021; CVE-2021-40539, a kriittinen todennuksen ohitushaavoittuvuus Zoho ManageEngine ADSelfService Plus, korjattu viime syyskuussa; ja CVE-2022-26134, haavoittuvuus sisällä Atlassian Confluence -työtilat jota kiinalainen uhkatoimija käytti aktiivisesti hyväkseen ennen kuin korjaustiedosto tuli saataville kesäkuussa.
"Tämä uusi asetus saattaa antaa Kiinan hallituksen elementeille mahdollisuuden varastoida ilmoitettuja haavoittuvuuksia niiden aseistamista varten", Microsoft varoitti ja lisäsi, että tätä tulisi nähdä suurena askeleena nollapäivän hyväksikäytön käytössä valtion prioriteettina.
.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
