I dirigenti della sicurezza aziendale che percepiscono i gruppi informatici sostenuti dagli stati nazionali come una minaccia lontana potrebbero voler rivisitare questo presupposto e in fretta.
Diversi eventi geopolitici recenti in tutto il mondo nell'ultimo anno hanno stimolato un forte aumento dell'attività degli stati-nazione contro obiettivi critici, come autorità portuali, società IT, agenzie governative, testate giornalistiche, società di criptovalute e gruppi religiosi.
Un'analisi Microsoft del panorama delle minacce globali nel corso dell'ultimo anno, rilasciato il 4 novembre ha mostrato che gli attacchi informatici contro le infrastrutture critiche sono raddoppiati, dal 20% di tutti gli attacchi agli stati-nazione al 40% di tutti gli attacchi rilevati dai ricercatori dell'azienda.
Inoltre, le loro tattiche stanno cambiando: in particolare, Microsoft ha registrato un aumento nell'uso degli exploit zero-day.
Molteplici fattori hanno determinato una maggiore attività di minaccia per lo Stato-nazione
Non sorprende che Microsoft abbia attribuito gran parte del picco agli attacchi dei gruppi di minacce sostenuti dalla Russia relativi e a sostegno della guerra del paese in Ucraina. Alcuni degli attacchi erano incentrati sul danneggiamento delle infrastrutture ucraine, mentre altri erano più legati allo spionaggio e includevano obiettivi negli Stati Uniti e in altri paesi membri della NATO. Il novanta per cento degli attacchi informatici sostenuti dalla Russia che Microsoft ha rilevato nell'ultimo anno ha preso di mira i paesi della NATO; Il 48% di questi erano diretti a fornitori di servizi IT in questi paesi.
Mentre la guerra in Ucraina ha guidato la maggior parte dell'attività dei gruppi di minaccia russi, altri fattori hanno alimentato un aumento degli attacchi da parte di gruppi sponsorizzati da Cina, Corea del Nord e Iran. Gli attacchi dei gruppi iraniani, ad esempio, sono aumentati in seguito al cambio di presidenza nel paese.
Microsoft ha affermato di aver osservato gruppi iraniani che lanciavano attacchi distruttivi e di pulizia del disco in Israele, nonché quelle che ha descritto come operazioni hack-and-leak contro obiettivi negli Stati Uniti e nell'UE. Un attacco in Israele ha lanciato segnali di razzi di emergenza nel paese, mentre un altro ha cercato di cancellare i dati dai sistemi di una vittima.
L'aumento degli attacchi dei gruppi nordcoreani ha coinciso con un aumento dei test missilistici nel Paese. Molti degli attacchi erano incentrati sul furto di tecnologia da società e ricercatori aerospaziali.
I gruppi in Cina, nel frattempo, hanno aumentato gli attacchi di spionaggio e furto di dati per supportare gli sforzi del Paese per esercitare una maggiore influenza nella regione, ha affermato Microsoft. Molti dei loro obiettivi includevano organizzazioni che erano a conoscenza di informazioni che la Cina considerava di importanza strategica per raggiungere i suoi obiettivi.
Dalla catena di fornitura del software alla catena di fornitori di servizi IT
Gli attori dello stato-nazione hanno preso di mira le aziende IT più pesantemente di altri settori nel periodo. Le società IT, come i fornitori di servizi cloud e i fornitori di servizi gestiti, rappresentavano il 22% delle organizzazioni a cui questi gruppi si rivolgevano quest'anno. Altri settori fortemente presi di mira includevano il più tradizionale think tank e le vittime delle organizzazioni non governative (17%), l'istruzione (14%) e le agenzie governative (10%).
Nel prendere di mira i fornitori di servizi IT, gli attacchi sono stati progettati per compromettere centinaia di organizzazioni contemporaneamente violando un singolo fornitore affidabile, ha affermato Microsoft. L'attacco dell'anno scorso a Kaseya, che ha provocato il ransomware viene infine distribuito a migliaia di clienti a valle, è stato un primo esempio.
Ce ne sono stati molti altri quest'anno, incluso uno a gennaio in cui un attore sostenuto dall'Iran ha compromesso un fornitore di servizi cloud israeliano per cercare di infiltrarsi nei clienti a valle di quella società. In un altro, un gruppo con sede in Libano chiamato Polonium ha ottenuto l'accesso a diverse organizzazioni legali e di difesa israeliane tramite i loro fornitori di servizi cloud.
I crescenti attacchi alla catena di fornitura dei servizi IT hanno rappresentato un allontanamento dalla consueta attenzione che i gruppi di stati nazionali hanno avuto sulla catena di fornitura del software, ha osservato Microsoft.
Le misure consigliate da Microsoft per mitigare l'esposizione a queste minacce includono la revisione e l'audit delle relazioni dei fornitori di servizi a monte ea valle, la delega della gestione dell'accesso privilegiato responsabile e l'applicazione dell'accesso meno privilegiato, se necessario. L'azienda consiglia inoltre alle aziende di rivedere l'accesso per le relazioni con i partner che non hanno familiarità o non sono state controllate, abilitare la registrazione, rivedere tutte le attività di autenticazione per VPN e infrastruttura di accesso remoto e abilitare l'autenticazione a più fattori per tutti gli account
Un aumento in Zero-Days
Una tendenza notevole osservata da Microsoft è che i gruppi di stati nazionali stanno spendendo risorse significative per eludere le protezioni di sicurezza che le organizzazioni hanno implementato per difendersi da minacce sofisticate.
"Proprio come le organizzazioni aziendali, gli avversari hanno iniziato a utilizzare i progressi nell'automazione, nell'infrastruttura cloud e nelle tecnologie di accesso remoto per estendere i loro attacchi contro una serie più ampia di obiettivi", ha affermato Microsoft.
Gli adeguamenti includevano nuovi modi per sfruttare rapidamente vulnerabilità senza patch, tecniche ampliate per violare le aziende e un maggiore utilizzo di strumenti legittimi e software open source per offuscare attività dannose.
Una delle manifestazioni più preoccupanti della tendenza è l'uso crescente tra gli attori degli stati-nazione di exploit di vulnerabilità zero-day nella loro catena di attacco. La ricerca di Microsoft ha mostrato che solo tra gennaio e giugno di quest'anno sono state rilasciate patch per 41 vulnerabilità zero-day tra luglio 2021 e giugno 2022.
Secondo Microsoft, gli attori delle minacce sostenuti dalla Cina sono stati particolarmente abili nel trovare e scoprire exploit zero-day di recente. La società ha attribuito la tendenza a una nuova regolamentazione cinese entrata in vigore a settembre 2021; richiede alle organizzazioni del paese di segnalare eventuali vulnerabilità scoperte a un'autorità governativa cinese per la revisione prima di divulgare le informazioni a chiunque altro.
Esempi di minacce zero-day che rientrano in questa categoria includono CVE-2021-35211, un difetto di esecuzione di codice remoto nel software SolarWinds Serv-U che è stato ampiamente sfruttato prima di essere aggiornato nel luglio 2021; CVE-2021-40539, a vulnerabilità critica di bypass dell'autenticazione in Zoho ManageEngine ADSelfService Plus, patchato lo scorso settembre; e CVE-2022-26134, una vulnerabilità in Spazi di lavoro Atlassian Confluence che un attore di minacce cinese stava attivamente sfruttando prima che una patch diventasse disponibile a giugno.
"Questo nuovo regolamento potrebbe consentire a elementi del governo cinese di accumulare vulnerabilità segnalate per armarle", ha avvertito Microsoft, aggiungendo che questo dovrebbe essere visto come un passo importante nell'uso degli exploit zero-day come priorità dello stato.
.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
