Bedriftssikkerhetsledere som oppfatter nasjonalstatsstøttede cybergrupper som en fjern trussel, vil kanskje revidere denne antakelsen, og det haster.
Flere nylige geopolitiske hendelser rundt om i verden det siste året har ansporet til en kraftig økning i nasjonalstatsaktivitet mot kritiske mål, som havnemyndigheter, IT-selskaper, offentlige etater, nyhetsorganisasjoner, kryptovalutafirmaer og religiøse grupper.
En Microsoft-analyse av globalt trussellandskap det siste året, utgitt 4. november, viste at cyberangrep rettet mot kritisk infrastruktur doblet seg, fra å stå for 20 % av alle nasjonalstatsangrep til 40 % av alle angrep som selskapets forskere oppdaget.
Videre endrer taktikken deres - spesielt registrerte Microsoft en økning i bruken av nulldagers utnyttelser.
Flere faktorer førte til økt nasjonalstats trusselaktivitet
Ikke overraskende tilskrev Microsoft mye av toppen til angrep fra Russland-støttede trusselgrupper relatert til og til støtte for landets krig i Ukraina. Noen av angrepene var fokusert på å skade ukrainsk infrastruktur, mens andre var mer spionasjerelaterte og inkluderte mål i USA og andre NATO-medlemsland. Nitti prosent av Russland-støttede nettangrep som Microsoft oppdaget det siste året, var rettet mot NATO-land; 48 % av dem var rettet mot IT-tjenesteleverandører i disse landene.
Mens krigen i Ukraina drev mesteparten av aktiviteten til russiske trusselgrupper, førte andre faktorer til en økning i angrep fra grupper sponset av Kina, Nord-Korea og Iran. Angrep fra iranske grupper, for eksempel, eskalerte etter et presidentskifte i landet.
Microsoft sa at de observerte iranske grupper som lanserte destruktive, disk-tørkende angrep i Israel, så vel som det de beskrev som hack-and-leak-operasjoner mot mål i USA og EU. Ett angrep i Israel utløste nødrakettsignaler i landet, mens et annet forsøkte å slette data fra et offers systemer.
Økningen i angrep fra nordkoreanske grupper falt sammen med en økning i missiltesting i landet. Mange av angrepene var fokusert på å stjele teknologi fra luftfartsselskaper og forskere.
Grupper i Kina økte i mellomtiden spionasje- og datatyveriangrep for å støtte landets innsats for å øve mer innflytelse i regionen, sa Microsoft. Mange av målene deres inkluderte organisasjoner som var kjent med informasjon som Kina anså for å være av strategisk betydning for å nå sine mål.
Fra programvareforsyningskjede til IT-tjenesteleverandørkjede
Nasjonalstatlige aktører siktet IT-selskaper hardere enn andre sektorer i perioden. IT-selskaper, slik som leverandører av skytjenester og leverandører av administrerte tjenester, utgjorde 22 % av organisasjonene som disse gruppene rettet seg mot i år. Andre sterkt målrettede sektorer inkluderte de mer tradisjonelle tenketanken og ofrene for ikke-statlige organisasjoner (17 %), utdanning (14 %) og offentlige etater (10 %).
Når det gjelder IT-tjenesteleverandører, ble angrepene designet for å kompromittere hundrevis av organisasjoner samtidig ved å bryte en enkelt pålitelig leverandør, sa Microsoft. Angrepet i fjor på Kaseya, som resulterte i løsepengevare blir til slutt distribuert til tusenvis av nedstrømskunder, var et tidlig eksempel.
Det var flere andre i år, inkludert en i januar der en Iran-støttet aktør kompromitterte en israelsk skytjenesteleverandør for å prøve å infiltrere selskapets nedstrømskunder. I en annen fikk en Libanon-basert gruppe kalt Polonium tilgang til flere israelske forsvars- og juridiske organisasjoner via deres skytjenesteleverandører.
De økende angrepene på forsyningskjeden for IT-tjenester representerte et skifte bort fra det vanlige fokuset som nasjonalstatsgrupper har hatt på programvareforsyningskjeden, bemerket Microsoft.
Microsofts anbefalte tiltak for å redusere eksponeringen for disse truslene inkluderer gjennomgang og revisjon av oppstrøms og nedstrøms tjenesteleverandørrelasjoner, delegering av ansvarlig for privilegert tilgangsadministrasjon og håndheving av minst privilegert tilgang etter behov. Selskapet anbefaler også at selskaper gjennomgår tilgang for partnerforhold som er ukjente eller ikke har blitt revidert, aktiverer logging, gjennomgår all autentiseringsaktivitet for VPN-er og ekstern tilgangsinfrastruktur, og aktiverer MFA for alle kontoer
En opptur på null dager
En bemerkelsesverdig trend som Microsoft observerte, er at nasjonalstatsgrupper bruker betydelige ressurser på å unndra seg sikkerhetsbeskyttelsen som organisasjoner har implementert for å forsvare seg mot sofistikerte trusler.
"I likhet med bedriftsorganisasjoner begynte motstandere å bruke fremskritt innen automatisering, skyinfrastruktur og fjerntilgangsteknologier for å utvide angrepene sine mot et bredere sett med mål," sa Microsoft.
Justeringene inkluderte nye måter å raskt utnytte uopprettede sårbarheter på, utvidede teknikker for brudd på selskaper og økt bruk av legitime verktøy og åpen kildekode-programvare for å tilsløre ondsinnet aktivitet.
En av de mest urovekkende manifestasjonene av trenden er den økende bruken blant nasjonalstatlige aktører av nulldagers sårbarhetsutnyttelse i deres angrepskjede. Microsofts undersøkelser viste at bare mellom januar og juni i år ble det utgitt oppdateringer for 41 nulldagers sårbarheter mellom juli 2021 og juni 2022.
Ifølge Microsoft har Kina-støttede trusselaktører vært spesielt dyktige til å finne og oppdage nulldagers utnyttelser nylig. Selskapet tilskrev trenden til en ny Kina-forskrift som trådte i kraft i september 2021; det krever at organisasjoner i landet rapporterer eventuelle sårbarheter de oppdager til en kinesisk myndighet for gjennomgang før de avslører informasjonen til noen andre.
Eksempler på nulldagstrusler som faller inn under denne kategorien inkluderer CVE-2021-35211, en ekstern kodeutførelsesfeil i SolarWinds Serv-U-programvaren som ble mye utnyttet før den ble rettet i juli 2021; CVE-2021-40539, a kritisk autentisering omgå sårbarhet i Zoho ManageEngine ADSelfService Plus, oppdatert i september i fjor; og CVE-2022-26134, en sårbarhet i Atlassian Confluence Workspaces som en kinesisk trusselaktør aktivt utnyttet før en oppdatering ble tilgjengelig i juni.
"Denne nye reguleringen kan gjøre det mulig for elementer i den kinesiske regjeringen å lagre rapporterte sårbarheter for å våpengjøre dem," advarte Microsoft, og la til at dette bør sees på som et stort skritt i bruken av nulldagers utnyttelser som en statlig prioritet.
.
