מיקרוסופט מזהירה על זינוק של יום אפס כאשר קבוצות לאום-מדינתיות מחליפות טקטיקות PlatoBlockchain מודיעין נתונים. חיפוש אנכי. איי.

מיקרוסופט מזהירה מפני ספייק של אפס יום כאשר טקטיקות של קבוצות לאום-מדינתיות משתנות

חותמת זמן: 4 בנובמבר, 2022 5:30

מנהלי אבטחה ארגוניים שתופסים קבוצות סייבר הנתמכות על ידי מדינת לאום כאיום רחוק עשויים לרצות לחזור על ההנחה הזו, וממהר.

מספר אירועים גיאופוליטיים אחרונים ברחבי העולם בשנה האחרונה הובילו לעלייה חדה בפעילות מדינת הלאום נגד יעדים קריטיים, כגון רשויות נמל, חברות IT, סוכנויות ממשלתיות, ארגוני חדשות, חברות מטבעות קריפטוגרפיים וקבוצות דתיות.

ניתוח של מיקרוסופט של נוף האיומים העולמי במהלך השנה האחרונה, שוחרר ב-4 בנובמבר, הראה כי התקפות סייבר המכוונות לתשתיות קריטיות הוכפלו, מהיווה 20% מכלל התקפות מדינת הלאום ל-40% מכלל ההתקפות שחקרי החברה זיהו.

יתר על כן, הטקטיקות שלהם משתנות - במיוחד, מיקרוסופט רשמה עלייה בשימוש בניצול של יום אפס.

גורמים מרובים הובילו לפעילות מוגברת של איומים במדינה

באופן לא מפתיע, מיקרוסופט ייחסה חלק ניכר מהעלייה להתקפות של קבוצות איומים הנתמכות על ידי רוסיה הקשורות ותומכות במלחמה של המדינה באוקראינה. חלק מהתקיפות התמקדו בפגיעה בתשתית אוקראינית, בעוד שאחרות היו קשורות יותר לריגול וכללו מטרות בארה"ב ובמדינות אחרות החברות בנאט"ו. תשעים אחוז ממתקפות הסייבר בגיבוי רוסיה שמיקרוסופט זיהתה בשנה האחרונה כוונו למדינות נאט"ו; 48% מהם הופנו לספקי שירותי IT במדינות אלו.

בעוד המלחמה באוקראינה הניעה את רוב הפעילות של קבוצות איום רוסיות, גורמים אחרים הזינו את העלייה בהתקפות של קבוצות בחסות סין, צפון קוריאה ואיראן. התקפות של קבוצות איראניות, למשל, הסלימו בעקבות שינוי נשיאותי במדינה. 

מיקרוסופט אמרה כי היא צפתה בקבוצות איראניות מבצעות התקפות הרסניות ומחיקות דיסק בישראל וכן במה שהיא תיארה כפעולות פריצה והדלפה נגד מטרות בארה"ב ובאיחוד האירופי. תקיפה אחת בישראל הפעילה אותות רקטות חירום במדינה ואילו תקיפה אחרת ביקשה למחוק נתונים ממערכותיו של הקורבן.

העלייה במתקפות של קבוצות צפון קוריאניות חלה במקביל לעלייה בניסויי טילים במדינה. רבות מהתקיפות התמקדו בגניבת טכנולוגיה מחברות תעופה וחלל וחוקרים.

קבוצות בסין, בינתיים, הגבירו את התקפות הריגול וגניבת הנתונים כדי לתמוך במאמצי המדינה להפעיל יותר השפעה באזור, אמרה מיקרוסופט. רבים מהמטרות שלהם כללו ארגונים שהיו בקיאים במידע שסין ראתה כבעל חשיבות אסטרטגית להשגת יעדיה.

משרשרת אספקת תוכנה לשרשרת ספקי שירותי IT

שחקנים ממדינות לאום התמקדו בחברות IT בצורה כבדה יותר מאשר במגזרים אחרים בתקופה. חברות IT, כמו ספקי שירותי ענן וספקי שירותים מנוהלים, היוו 22% מהארגונים שקבוצות אלו פנו אליהם השנה. מגזרים אחרים שהתמקדו בכבדות כללו את צוות החשיבה המסורתיים יותר ונפגעי ארגונים לא ממשלתיים (17%), חינוך (14%) וסוכנויות ממשלתיות (10%).

במיקוד לספקי שירותי IT, ההתקפות נועדו לסכן מאות ארגונים בו-זמנית על ידי הפרת ספק מהימן יחיד, אמרה מיקרוסופט. המתקפה בשנה שעברה על קאסיה, שהביאה ל תוכנות כופר מופצות בסופו של דבר לאלפי לקוחות במורד הזרם, הייתה דוגמה מוקדמת. 

היו כמה אחרים השנה, כולל אחד בינואר שבו שחקן הנתמך על ידי איראן התפשר על ספק שירותי ענן ישראלי כדי לנסות לחדור ללקוחות במורד הזרם של החברה הזו. בקבוצה אחרת, קבוצה בלבנון בשם Polonium השיגה גישה למספר ארגונים ביטחוניים ומשפטיים ישראלים באמצעות ספקי שירותי הענן שלהם. 

ההתקפות ההולכות וגוברות על שרשרת אספקת שירותי ה-IT ייצגו שינוי הרחק מההתמקדות הרגילה של קבוצות מדינות לאום על שרשרת אספקת התוכנה, ציינה מיקרוסופט.

האמצעים המומלצים של מיקרוסופט להפחתת החשיפה לאיומים אלה כוללים סקירה וביקורת של קשרים עם ספקי שירות במעלה הזרם ובהמשך, האצלת האחריות לניהול גישה מועדפת ואכיפת גישה מועדפת לפי הצורך. כמו כן, החברה ממליצה לחברות לבדוק גישה ליחסי שותפים שאינם מוכרים או שלא עברו ביקורת, לאפשר רישום, לסקור את כל פעילות האימות עבור VPNs ותשתית גישה מרחוק, ולאפשר MFA עבור כל החשבונות

עלייה באפס ימים

מגמה בולטת אחת ש-Microsoft צפתה היא שקבוצות של מדינות לאום מוציאות משאבים משמעותיים כדי להתחמק מהגנות האבטחה שארגונים יישמו כדי להגן מפני איומים מתוחכמים. 

"בדומה לארגונים ארגוניים, יריבים החלו להשתמש בהתקדמות באוטומציה, תשתית ענן וטכנולוגיות גישה מרחוק כדי להרחיב את ההתקפות שלהם נגד מערך רחב יותר של מטרות", אמרה מיקרוסופט.

ההתאמות כללו דרכים חדשות לניצול מהיר של נקודות תורפה ללא תיקונים, טכניקות מורחבות לפריצות תאגידים, ושימוש מוגבר בכלים לגיטימיים ותוכנות קוד פתוח כדי לטשטש פעילות זדונית. 

אחד הביטויים המטרידים ביותר של המגמה הוא השימוש ההולך וגובר בקרב שחקני מדינות לאום בניצול פגיעות של יום אפס בשרשרת התקיפות שלהם. המחקר של מיקרוסופט הראה שרק בין ינואר ליוני השנה שוחררו תיקונים עבור 41 נקודות תורפה של יום אפס בין יולי 2021 ליוני 2022.

לפי מיקרוסופט, גורמי איומים הנתמכים על ידי סין היו מיומנים במיוחד באיתור וגילוי ניצול של יום אפס לאחרונה. החברה ייחסה את המגמה לרגולציה חדשה בסין שנכנסה לתוקף בספטמבר 2021; זה מחייב ארגונים במדינה לדווח על כל פגיעות שהם מגלים לרשות ממשלתית סינית לבדיקה לפני גילוי המידע עם מישהו אחר.

דוגמאות לאיומים של יום אפס שנכללים בקטגוריה זו כוללות CVE-2021-35211, פגם בביצוע קוד מרחוק בתוכנת SolarWinds Serv-U שנוצל באופן נרחב לפני שתוקן ביולי 2021; CVE-2021-40539, a אימות קריטי לעקוף פגיעות ב-Zoho ManageEngine ADSelfService Plus, תוקן בספטמבר האחרון; ו CVE-2022-26134, פגיעות ב סביבות עבודה של Atlassian Confluence ששחקן איום סיני ניצל באופן פעיל לפני שתיקון הפך זמין ביוני.

"הרגולציה החדשה הזו עשויה לאפשר לגורמים בממשלת סין לאגור נקודות תורפה מדווחות לקראת הפעלתם בנשק", הזהירה מיקרוסופט, והוסיפה כי יש לראות בכך צעד מרכזי בשימוש בניצול של יום אפס בראש סדר העדיפויות של המדינה.

.

בול זמן:

עוד מ קריאה אפלה