Azok a vállalati biztonsági vezetők, akik a nemzetállamok által támogatott kibercsoportokat távoli fenyegetésnek tekintik, érdemes lehet újragondolni ezt a feltételezést, és sietniük kell.
Az elmúlt év során a világ számos közelmúltbeli geopolitikai eseménye a nemzetállamok tevékenységének meredek növekedését ösztönözte olyan kritikus célpontokkal szemben, mint a kikötői hatóságok, IT-cégek, kormányzati szervek, hírszervezetek, kriptovaluta cégek és vallási csoportok.
A Microsoft elemzése a globális fenyegetettség az elmúlt évben, november 4-én jelent meg, kimutatta, hogy a kritikus infrastruktúrát célzó kibertámadások megduplázódtak, a nemzetállami támadások 20%-áról a vállalat kutatói által észlelt összes támadás 40%-ára.
Ezen túlmenően a taktikájuk is változóban van – a legfigyelemreméltóbb, hogy a Microsoft a nulladik napi exploit-ok használatának növekedését regisztrálta.
Több tényező ösztönözte a nemzetállami fenyegetések megnövekedett tevékenységét
Nem meglepő módon a Microsoft a kiugrás nagy részét az Oroszország által támogatott fenyegetőcsoportok támadásainak tulajdonította, amelyek az ország ukrajnai háborújához kapcsolódnak és támogatják azt. A támadások egy része az ukrán infrastruktúra megrongálására irányult, míg mások inkább kémkedéssel kapcsolatosak voltak, és az Egyesült Államokban és más NATO-tagállamokban is voltak célpontok. A Microsoft által az elmúlt évben észlelt, Oroszország által támogatott kibertámadások 48 százaléka NATO-országokat célzott; Ezek XNUMX%-a ezen országok informatikai szolgáltatóihoz irányult.
Míg az ukrajnai háború vezérelte az orosz fenyegető csoportok tevékenységének nagy részét, más tényezők is elősegítették a Kína, Észak-Korea és Irán által támogatott csoportok támadásainak növekedését. Az iráni csoportok támadásai például az elnökváltást követően fokozódtak.
A Microsoft azt közölte, hogy megfigyelte, hogy iráni csoportok pusztító, lemeztörlő támadásokat indítottak Izraelben, valamint hack-and-leak műveleteket az Egyesült Államokban és az EU-ban lévő célpontok ellen. Az egyik izraeli támadás vészhelyzeti rakétajeleket indított el az országban, egy másik pedig az áldozatok rendszeréből próbált adatokat törölni.
Az észak-koreai csoportok támadásainak növekedése egybeesett a rakétakísérletek megugrásával az országban. A támadások többsége a repülőgép-ipari cégektől és kutatóktól származó technológia ellopására irányult.
A Microsoft szerint a kínai csoportok eközben fokozták a kémkedést és az adatlopási támadásokat, hogy támogassák az ország azon törekvéseit, hogy nagyobb befolyást gyakoroljanak a térségben. Sok célpontjuk között szerepeltek olyan szervezetek, amelyek olyan információk birtokában voltak, amelyeket Kína stratégiai fontosságúnak tartott céljai elérése szempontjából.
A szoftverellátási lánctól az informatikai szolgáltatói láncig
A nemzetállami szereplők ebben az időszakban erősebben vették célba az IT-cégeket, mint más ágazatokat. Az IT-cégek, például a felhőszolgáltatók és a menedzselt szolgáltatók 22%-át tették ki az idén ezen csoportok által megcélzott szervezeteknek. Az egyéb erősen megcélzott ágazatok közé tartoztak a hagyományosabb agytrösztök és a nem kormányzati szervezetek áldozatai (17%), az oktatás (14%) és a kormányzati szervek (10%).
Az IT-szolgáltatókat célzó támadások célja egyszerre több száz szervezet kompromittálása volt egyetlen megbízható szállító megsértésével – mondta a Microsoft. A Kaseya elleni tavalyi támadás, aminek eredményeként zsarolóprogramot végül terjesztenek korai példa volt.
Idén többen is történtek, köztük egy januárban, amikor egy Irán által támogatott szereplő kompromittált egy izraeli felhőszolgáltatót, hogy megpróbáljon beszivárogni a vállalat downstream ügyfelei közé. Egy másikban a Polonium nevű, libanoni székhelyű csoport több izraeli védelmi és jogi szervezethez is hozzáférést szerzett felhőszolgáltatóikon keresztül.
A Microsoft megjegyezte, hogy az IT-szolgáltatások ellátási lánca elleni növekvő támadások elmozdulást jelentettek a nemzetállami csoportok szokásos fókuszától a szoftverellátási láncon.
A Microsoft által e fenyegetéseknek való kitettség mérséklésére javasolt intézkedései közé tartozik az upstream és a downstream szolgáltatói kapcsolatok felülvizsgálata és auditálása, a privilegizált hozzáférés-kezelés felelősének delegálása, valamint a legkevésbé kiváltságos hozzáférések szükség szerinti érvényesítése. A vállalat azt is javasolja a vállalatoknak, hogy vizsgálják felül az ismeretlen vagy nem auditált partnerkapcsolatok hozzáférését, engedélyezzék a naplózást, tekintsék át a VPN-ek és a távoli hozzáférési infrastruktúra összes hitelesítési tevékenységét, és engedélyezzék az MFA-t az összes fiók számára.
Emelkedés nulla nap alatt
A Microsoft által megfigyelt egyik figyelemre méltó tendencia az, hogy a nemzetállami csoportok jelentős erőforrásokat költenek a szervezetek által a kifinomult fenyegetésekkel szembeni védekezés érdekében alkalmazott biztonsági védelem elkerülésére.
„A vállalati szervezetekhez hasonlóan az ellenfelek is elkezdték használni az automatizálás, a felhő-infrastruktúra és a távoli hozzáférési technológiák fejlesztéseit, hogy szélesebb célpontok elleni támadásaikat kiterjesszék” – mondta a Microsoft.
A kiigazítások magukban foglalták a kijavítatlan sebezhetőségek gyors kihasználásának új módjait, a vállalatok feltörését célzó kibővített technikákat, valamint a legális eszközök és nyílt forráskódú szoftverek fokozottabb használatát a rosszindulatú tevékenységek elhallgatására.
A tendencia egyik legaggasztóbb megnyilvánulása az, hogy a nemzetállami szereplők egyre nagyobb mértékben alkalmazzák a nulladik napi sebezhetőségi kizsákmányolásokat támadási láncukban. A Microsoft kutatása kimutatta, hogy ez év januárja és júniusa között 41 júliusa és 2021 júniusa között 2022 nulladik napi sebezhetőséghez adtak ki javításokat.
A Microsoft szerint a Kína által támogatott fenyegetés szereplői az utóbbi időben különösen jártasak voltak a nulladik napi kizsákmányolások felkutatásában és felfedezésében. A vállalat a tendenciát egy új kínai szabályozásnak tulajdonította, amely 2021 szeptemberében lépett életbe; előírja, hogy az ország szervezetei minden felfedezett sebezhetőséget jelentsenek egy kínai kormányzati hatóságnak felülvizsgálat céljából, mielőtt bárki mással nyilvánosságra hozzák az információkat.
Példák az ebbe a kategóriába tartozó nulladik napi fenyegetésekre: CVE-2021 35211-, a SolarWinds Serv-U szoftver távoli kódvégrehajtási hibája, amelyet széles körben kihasználtak, mielőtt 2021 júliusában kijavították volna; CVE-2021-40539, a kritikus hitelesítési megkerülési sebezhetőség a tavaly szeptemberben javított Zoho ManageEngine ADSelfService Plus-ban; és CVE-2022-26134, sebezhetőség benne Atlassian Confluence munkaterületek amelyet egy kínai fenyegetettség szereplője aktívan kihasznált, mielőtt egy javítás júniusban elérhető lett volna.
"Ez az új szabályozás lehetővé teheti a kínai kormány elemei számára, hogy felhalmozzák a bejelentett sebezhetőségeket a fegyverek felfegyverzésére" - figyelmeztetett a Microsoft, hozzátéve, hogy ezt a nulladik napi kizsákmányolások állami prioritásként való alkalmazásának jelentős lépésének kell tekinteni.
.
