国家が支援するサイバー グループを遠く離れた脅威と認識している企業のセキュリティ担当幹部は、急いでその仮定を再検討したいと思うかもしれません。
過去 XNUMX 年間に世界中で起こったいくつかの最近の地政学的イベントは、港湾当局、IT 企業、政府機関、報道機関、暗号通貨会社、宗教団体などの重要な標的に対する国家活動の急激な増加に拍車をかけました。
マイクロソフトの分析 グローバルな脅威の状況 昨年、 4月XNUMX日発売 重要なインフラストラクチャを標的としたサイバー攻撃は、同社の研究者が検出したすべての国家攻撃の 20% から 40% へと倍増したことが示されました。
さらに、彼らの戦術は変化しています。最も顕著なのは、Microsoft がゼロデイ エクスプロイトの使用の増加を記録したことです。
複数の要因により、国家による脅威活動が増加
当然のことながら、Microsoft は、急増の多くは、ロシアが支援する脅威グループによる、ウクライナでの同国の戦争に関連し、それを支援する攻撃によるものであると考えています。 攻撃の中には、ウクライナのインフラストラクチャへの損害に焦点を当てたものもあれば、よりスパイ活動に関連したものもあり、米国やその他の NATO 加盟国を標的にしたものもありました。 マイクロソフトが過去 48 年間に検出したロシアが支援するサイバー攻撃の XNUMX% は、NATO 諸国を標的としていました。 それらの XNUMX% は、これらの国の IT サービス プロバイダーに向けられていました。
ウクライナでの戦争は、ロシアの脅威グループによる活動のほとんどを後押ししましたが、他の要因が、中国、北朝鮮、およびイランが支援するグループによる攻撃の増加に拍車をかけました。 たとえば、イランのグループによる攻撃は、同国の大統領交代後にエスカレートしました。
マイクロソフトは、イランのグループがイスラエルで破壊的なディスク消去攻撃を開始しているのを観察したと述べ、米国と EU の標的に対するハック アンド リーク作戦と表現したものを観察したと述べた。 イスラエルでの XNUMX 回の攻撃では、国内で緊急ロケット信号が発信され、別の攻撃では被害者のシステムからデータを消去しようとしました。
北朝鮮のグループによる攻撃の増加は、同国でのミサイル実験の急増と一致した. 攻撃の多くは、航空宇宙企業や研究者から技術を盗むことに焦点を当てていました。
一方、中国のグループは、この地域でより大きな影響力を行使しようとする中国の取り組みを支援するために、スパイ活動とデータ窃盗攻撃を増加させている、と Microsoft は述べた。 彼らの標的の多くには、中国がその目標を達成するために戦略的に重要であると考えている情報に関与している組織が含まれていました。
ソフトウェア サプライ チェーンから IT サービス プロバイダー チェーンへ
国家の攻撃者は、この期間、IT 企業を他のセクターよりも強く標的にしました。 クラウド サービス プロバイダーやマネージド サービス プロバイダーなどの IT 企業は、これらのグループが今年標的にした組織の 22% を占めました。 その他の重点的に標的にされたセクターには、より伝統的なシンクタンクや非政府組織の被害者 (17%)、教育 (14%)、政府機関 (10%) が含まれます。
Microsoft によると、IT サービス プロバイダーを標的とするこの攻撃は、単一の信頼できるベンダーに侵入することで、一度に数百の組織を侵害するように設計されていました。 昨年の Kaseya への攻撃により、 最終的に配布されるランサムウェア 何千もの下流の顧客にとって、これは初期の例でした。
今年は他にもいくつかの攻撃がありました。その中には、XNUMX 月にイランが支援する攻撃者がイスラエルのクラウド サービス プロバイダーに侵入し、その会社の下流の顧客に侵入しようとしたものも含まれていました。 別のケースでは、Polonium と呼ばれるレバノンを拠点とするグループが、クラウド サービス プロバイダーを介してイスラエルの防衛および法務組織にアクセスできるようになりました。
IT サービス サプライ チェーンに対する攻撃の増加は、国家グループがソフトウェア サプライ チェーンに向けていた通常の焦点からの転換を表している、と Microsoft は述べています。
これらの脅威への露出を軽減するために Microsoft が推奨する対策には、上流および下流のサービス プロバイダーとの関係の見直しと監査、特権アクセス管理の責任者の委任、および必要に応じて最小特権アクセスの実施が含まれます。 同社はまた、企業がなじみのない、または監査されていないパートナー関係のアクセスを確認し、ログを有効にし、VPN とリモート アクセス インフラストラクチャのすべての認証アクティビティを確認し、すべてのアカウントで MFA を有効にすることを推奨しています。
ゼロデイの増加
Microsoft が観察した注目すべき傾向の XNUMX つは、組織が高度な脅威から防御するために実装したセキュリティ保護を回避するために、国家グループが多大なリソースを費やしていることです。
「企業組織と同じように、攻撃者は自動化、クラウド インフラストラクチャ、およびリモート アクセス テクノロジの進歩を利用して、より幅広い標的に対して攻撃を拡大し始めました」と Microsoft は述べています。
調整には、パッチが適用されていない脆弱性を迅速に悪用する新しい方法、企業に侵入するための手法の拡張、悪意のある活動を難読化するための正当なツールとオープン ソース ソフトウェアの使用の増加が含まれます。
この傾向の最も厄介な兆候の 41 つは、攻撃チェーンにおけるゼロデイ脆弱性エクスプロイトの使用が国家アクターの間で増加していることです。 マイクロソフトの調査によると、今年の 2021 月から 2022 月の間に、XNUMX 年 XNUMX 月から XNUMX 年 XNUMX 月の間に XNUMX 件のゼロデイ脆弱性に対するパッチがリリースされました。
マイクロソフトによると、中国が支援する攻撃者は、最近、特にゼロデイ エクスプロイトの検出と発見に長けています。 同社は、2021 年 XNUMX 月に施行された新しい中国の規制がこの傾向にあると考えています。 国内の組織は、発見した脆弱性を中国政府当局に報告して審査を受けてから、情報を他の人に開示する必要があります。
このカテゴリに分類されるゼロデイ脅威の例には、次のものがあります。 CVE-2021-35211、SolarWinds Serv-Uソフトウェアのリモートコード実行の欠陥で、2021年XNUMX月にパッチが適用される前に広く悪用されました; CVE-2021-40539、 a 重要な認証バイパスの脆弱性 Zoho ManageEngine ADSelfService Plus では、昨年 XNUMX 月にパッチが適用されました。 と CVE-2022-26134、 の脆弱性 Atlassian Confluence ワークスペース XNUMX 月にパッチが利用可能になる前に、中国の脅威アクターが積極的に悪用していたことを確認しました。
マイクロソフトは、「この新しい規制により、中国政府内の要素が報告された脆弱性を兵器化するために備蓄できるようになる可能性があります」と警告し、これは国家の優先事項としてゼロデイ エクスプロイトを使用するための主要なステップと見なされるべきであると付け加えました。
.
