Beveiligingsmanagers van ondernemingen die door de staat gesteunde cybergroepen als een verre bedreiging beschouwen, willen misschien die veronderstelling herzien, en wel met spoed.
Verschillende recente geopolitieke gebeurtenissen over de hele wereld in het afgelopen jaar hebben geleid tot een sterke toename van de activiteiten van nationale staten tegen kritieke doelen, zoals havenautoriteiten, IT-bedrijven, overheidsinstanties, nieuwsorganisaties, cryptocurrency-bedrijven en religieuze groeperingen.
Een Microsoft-analyse van de wereldwijd dreigingslandschap over het laatste jaar, uitgebracht op 4 november toonde aan dat cyberaanvallen gericht op kritieke infrastructuur verdubbelden, van 20% van alle nationale aanvallen tot 40% van alle aanvallen die de onderzoekers van het bedrijf ontdekten.
Bovendien verschuiven hun tactieken - met name Microsoft registreerde een toename in het gebruik van zero-day exploits.
Meerdere factoren zorgden voor verhoogde dreigingsactiviteit in de natiestaat
Het is niet verwonderlijk dat Microsoft een groot deel van de piek toeschreef aan aanvallen door door Rusland gesteunde dreigingsgroepen die verband hielden met en ter ondersteuning van de oorlog van het land in Oekraรฏne. Sommige aanvallen waren gericht op het beschadigen van de Oekraรฏense infrastructuur, terwijl andere meer spionagegerelateerd waren en doelen in de VS en andere NAVO-lidstaten omvatten. Negentig procent van de door Rusland gesteunde cyberaanvallen die Microsoft het afgelopen jaar ontdekte, was gericht op NAVO-landen; 48% daarvan was gericht op IT-dienstverleners in deze landen.
Terwijl de oorlog in Oekraรฏne het grootste deel van de activiteit van Russische dreigingsgroepen veroorzaakte, zorgden andere factoren voor een toename van aanvallen door groepen die worden gesponsord door China, Noord-Korea en Iran. Aanvallen door Iraanse groeperingen escaleerden bijvoorbeeld na een presidentiรซle wisseling in het land.
Microsoft zei dat het Iraanse groepen observeerde die destructieve, schijfwissende aanvallen in Israรซl uitvoerden, evenals wat het beschreef als hack-and-leak-operaties tegen doelen in de VS en de EU. Een aanval in Israรซl veroorzaakte noodraketsignalen in het land, terwijl een andere probeerde gegevens uit de systemen van een slachtoffer te wissen.
De toename van aanvallen door Noord-Koreaanse groepen viel samen met een toename van rakettests in het land. Veel van de aanvallen waren gericht op het stelen van technologie van ruimtevaartbedrijven en onderzoekers.
Groepen in China voerden ondertussen meer spionage- en datastelende aanvallen uit om de inspanningen van het land om meer invloed uit te oefenen in de regio te ondersteunen, aldus Microsoft. Veel van hun doelen waren organisaties die bekend waren met informatie die China van strategisch belang achtte voor het bereiken van zijn doelen.
Van Software Supply Chain tot IT Service Provider Chain
Nationale actoren richtten zich in de periode meer op IT-bedrijven dan op andere sectoren. IT-bedrijven, zoals cloudserviceproviders en managed services providers, waren dit jaar goed voor 22% van de organisaties waarop deze groepen zich richtten. Andere zwaar aangevallen sectoren waren onder meer de meer traditionele denktank en slachtoffers van niet-gouvernementele organisaties (17%), onderwijs (14%) en overheidsinstanties (10%).
De aanvallen waren gericht op IT-serviceproviders en waren bedoeld om honderden organisaties tegelijk te compromitteren door een enkele vertrouwde leverancier te schenden, aldus Microsoft. De aanval vorig jaar op Kaseya, die resulteerde in ransomware die uiteindelijk wordt verspreid aan duizenden downstreamklanten, was een vroeg voorbeeld.
Er waren er dit jaar meerdere, waaronder een in januari waarin een door Iran gesteunde acteur een Israรซlische cloudserviceprovider compromitterde om te proberen de downstreamklanten van dat bedrijf te infiltreren. In een andere groep kreeg een in Libanon gevestigde groep genaamd Polonium toegang tot verschillende Israรซlische defensie- en juridische organisaties via hun cloudserviceproviders.
De toenemende aanvallen op de toeleveringsketen van IT-diensten betekenden een verschuiving van de gebruikelijke focus die nationale groepen op de toeleveringsketen van software hadden, merkte Microsoft op.
De aanbevolen maatregelen van Microsoft om de blootstelling aan deze bedreigingen te verminderen, zijn onder meer het beoordelen en controleren van relaties met upstream- en downstream-serviceproviders, het delegeren van verantwoordelijk toegangsbeheer en het afdwingen van de minst geprivilegieerde toegang indien nodig. Het bedrijf raadt bedrijven ook aan de toegang te controleren voor partnerrelaties die niet bekend zijn of niet zijn gecontroleerd, logboekregistratie in te schakelen, alle authenticatie-activiteiten voor VPN's en externe toegangsinfrastructuur te controleren en MFA in te schakelen voor alle accounts
Een stijging in nul dagen
Een opvallende trend die Microsoft opmerkte, is dat nationale groepen aanzienlijke middelen besteden om de beveiligingsmaatregelen te omzeilen die organisaties hebben geรฏmplementeerd om zich te verdedigen tegen geavanceerde bedreigingen.
"Net als bedrijfsorganisaties begonnen tegenstanders verbeteringen in automatisering, cloudinfrastructuur en technologieรซn voor externe toegang te gebruiken om hun aanvallen op een breder scala aan doelen uit te breiden", aldus Microsoft.
De aanpassingen omvatten nieuwe manieren om snel niet-gepatchte kwetsbaarheden te misbruiken, uitgebreide technieken om bedrijven te hacken en een toenemend gebruik van legitieme tools en open source-software om kwaadaardige activiteiten te verdoezelen.
Een van de meest verontrustende uitingen van de trend is het toenemende gebruik door nationale actoren van exploits van zero-day kwetsbaarheden in hun aanvalsketen. Uit het onderzoek van Microsoft bleek dat tussen juli 41 en juni 2021 pas tussen januari en juni van dit jaar patches werden uitgebracht voor 2022 zero-day-kwetsbaarheden.
Volgens Microsoft zijn door China gesteunde dreigingsactoren de laatste tijd bijzonder bedreven in het vinden en ontdekken van zero-day exploits. Het bedrijf schreef de trend toe aan een nieuwe Chinese regelgeving die in september 2021 van kracht werd; het vereist dat organisaties in het land eventuele kwetsbaarheden die ze ontdekken ter beoordeling melden aan een Chinese overheidsinstantie voordat ze de informatie aan iemand anders bekendmaken.
Voorbeelden van zero-day-bedreigingen die in deze categorie vallen, zijn onder meer: CVE-2021-35211, een fout bij het uitvoeren van externe code in SolarWinds Serv-U-software die op grote schaal werd misbruikt voordat deze in juli 2021 werd gepatcht; CVE-2021-40539, a kritieke authenticatie omzeilt kwetsbaarheid in Zoho ManageEngine ADSelfService Plus, afgelopen september gepatcht; en CVE-2022-26134, een kwetsbaarheid in Atlassian Confluence-werkruimten dat een Chinese dreigingsactor actief misbruik maakte voordat een patch in juni beschikbaar kwam.
"Deze nieuwe regelgeving kan elementen in de Chinese regering in staat stellen om gerapporteerde kwetsbaarheden op te slaan om ze te bewapenen", waarschuwde Microsoft, eraan toevoegend dat dit moet worden gezien als een belangrijke stap in het gebruik van zero-day exploits als een prioriteit van de staat.
.
