Dyrektorzy ds. bezpieczeństwa w przedsiębiorstwach, którzy postrzegają grupy cybernetyczne wspierane przez państwa narodowe jako odległe zagrożenie, mogą chcieć zrewidować to założenie i to w pośpiechu.
Kilka ostatnich wydarzeń geopolitycznych na całym świecie w ciągu ostatniego roku spowodowało gwałtowny wzrost aktywności państw narodowych przeciwko krytycznym celom, takim jak władze portowe, firmy IT, agencje rządowe, organizacje informacyjne, firmy zajmujące się kryptowalutami i grupy religijne.
Analiza firmy Microsoft krajobraz globalnych zagrożeń w ciągu ostatniego roku, wydany 4 listopada pokazał, że cyberataki na infrastrukturę krytyczną podwoiły się, od 20% wszystkich ataków państw narodowych do 40% wszystkich ataków wykrytych przez badaczy firmy.
Co więcej, ich taktyka się zmienia — przede wszystkim Microsoft odnotował wzrost wykorzystania exploitów zero-day.
Wiele czynników przyczyniło się do zwiększonej aktywności zagrożeń w państwie narodowym
Nic dziwnego, że Microsoft przypisał dużą część tego wzrostu atakom wspieranych przez Rosję grup zagrożeń związanych z wojną tego kraju na Ukrainie i wspierających ją. Niektóre z ataków koncentrowały się na niszczeniu ukraińskiej infrastruktury, podczas gdy inne miały charakter bardziej szpiegowski i obejmowały cele w USA i innych państwach członkowskich NATO. Dziewięćdziesiąt procent wspieranych przez Rosję cyberataków, które Microsoft wykrył w ciągu ostatniego roku, było wymierzonych w kraje NATO; 48% z nich było skierowanych do dostawców usług IT w tych krajach.
Podczas gdy wojna na Ukrainie napędzała większość działań rosyjskich grup zagrożenia, inne czynniki napędzały wzrost ataków ze strony grup sponsorowanych przez Chiny, Koreę Północną i Iran. Na przykład ataki grup irańskich nasiliły się po zmianie prezydenta w tym kraju.
Microsoft powiedział, że zaobserwował irańskie grupy przeprowadzające destrukcyjne ataki mające na celu wymazywanie dysku w Izraelu, a także operacje, które określił jako hack-and-leak przeciwko celom w USA i UE. Jeden atak w Izraelu uruchomił awaryjne sygnały rakietowe w tym kraju, podczas gdy inny próbował usunąć dane z systemów ofiary.
Wzrost ataków ze strony północnokoreańskich grup zbiegł się w czasie ze wzrostem testów rakietowych w tym kraju. Wiele ataków koncentrowało się na kradzieży technologii firmom lotniczym i naukowcom.
Tymczasem grupy w Chinach nasiliły ataki szpiegowskie i kradzieże danych, aby wesprzeć wysiłki tego kraju na rzecz wywierania większego wpływu w regionie, powiedział Microsoft. Wiele z ich celów obejmowało organizacje, które miały dostęp do informacji, które Chiny uznały za strategiczne dla osiągnięcia swoich celów.
Od łańcucha dostaw oprogramowania do łańcucha dostawców usług IT
Podmioty państwowe atakowały w tym okresie firmy IT w większym stopniu niż inne sektory. Firmy IT, takie jak dostawcy usług w chmurze i dostawcy usług zarządzanych, stanowiły 22% organizacji, do których te grupy skierowały w tym roku. Inne silnie ukierunkowane sektory obejmowały bardziej tradycyjne ofiary think tanków i organizacji pozarządowych (17%), edukację (14%) oraz agencje rządowe (10%).
W przypadku dostawców usług IT ataki miały na celu narażenie na szwank setek organizacji jednocześnie poprzez włamanie do jednego zaufanego dostawcy, powiedział Microsoft. Atak w zeszłym roku na Kaseya, w wyniku którego oprogramowanie ransomware ostatecznie dystrybuowane tysiącom klientów niższego szczebla, był wczesnym przykładem.
W tym roku było kilka innych, w tym jeden w styczniu, w którym wspierany przez Iran aktor skompromitował izraelskiego dostawcę usług w chmurze, aby spróbować infiltrować klientów niższego szczebla tej firmy. W innym, grupa Polonium z siedzibą w Libanie uzyskała dostęp do kilku izraelskich organizacji obronnych i prawnych za pośrednictwem swoich dostawców usług w chmurze.
Microsoft zauważył, że rosnące ataki na łańcuch dostaw usług IT oznaczały odejście od zwykłego skupienia się grup państw narodowych na łańcuchu dostaw oprogramowania.
Zalecane przez firmę Microsoft środki łagodzenia narażenia na te zagrożenia obejmują przeglądanie i inspekcję relacji z dostawcami usług wyższego i niższego szczebla, delegowanie odpowiedzialnego zarządzania dostępem uprzywilejowanym oraz wymuszanie dostępu o najniższym stopniu uprzywilejowania w razie potrzeby. Firma zaleca również, aby firmy sprawdzały dostęp w przypadku relacji partnerskich, które są nieznane lub nie zostały poddane inspekcji, włączają rejestrowanie, przeglądają wszystkie działania związane z uwierzytelnianiem dla sieci VPN i infrastruktury dostępu zdalnego oraz włączają usługę MFA dla wszystkich kont
Wzrost w zero-dni
Jedną z godnych uwagi tendencji, którą zaobserwował Microsoft, jest to, że grupy państw narodowych przeznaczają znaczne środki na obejście zabezpieczeń, które organizacje wdrożyły w celu ochrony przed zaawansowanymi zagrożeniami.
„Podobnie jak organizacje korporacyjne, przeciwnicy zaczęli wykorzystywać postępy w automatyzacji, infrastrukturze chmury i technologiach zdalnego dostępu, aby rozszerzyć swoje ataki na szerszy zestaw celów” — powiedział Microsoft.
Korekty obejmowały nowe sposoby szybkiego wykorzystania niezałatanych luk w zabezpieczeniach, rozszerzone techniki włamań do korporacji oraz zwiększone wykorzystanie legalnych narzędzi i oprogramowania open source do maskowania złośliwej aktywności.
Jednym z najbardziej niepokojących przejawów tego trendu jest coraz częstsze wykorzystywanie luk typu zero-day w łańcuchu ataków wśród aktorów państw narodowych. Badania Microsoftu wykazały, że tylko między styczniem a czerwcem tego roku w okresie od lipca 41 do czerwca 2021 wydano łatki dla 2022 luk zero-day.
Według Microsoftu, wspierani przez Chiny cyberprzestępcy byli ostatnio szczególnie biegli w znajdowaniu i odkrywaniu exploitów zero-day. Firma przypisała ten trend nowej chińskiej regulacji, która weszła w życie we wrześniu 2021 r.; wymaga od organizacji w kraju zgłaszania wszelkich wykrytych luk w zabezpieczeniach chińskiemu organowi rządowemu w celu sprawdzenia przed ujawnieniem informacji komukolwiek innemu.
Przykłady zagrożeń dnia zerowego, które należą do tej kategorii, obejmują: CVE-2021-35211, luka w zdalnym wykonaniu kodu w oprogramowaniu SolarWinds Serv-U, która była szeroko wykorzystywana przed załataniem w lipcu 2021 r.; CVE-2021-40539, a krytyczna podatność na obejście uwierzytelniania w Zoho ManageEngine ADSelfService Plus, załatanym we wrześniu ubiegłego roku; oraz CVE-2022-26134, luka w Obszary robocze Atlassian Confluence które chiński podmiot zajmujący się zagrożeniami aktywnie wykorzystywał, zanim łatka została udostępniona w czerwcu.
„Nowe rozporządzenie może umożliwić elementom chińskiego rządu gromadzenie zgłoszonych luk w zabezpieczeniach w celu ich uzbrojenia” – ostrzegł Microsoft, dodając, że należy to postrzegać jako ważny krok w wykorzystywaniu exploitów zero-day jako priorytetu państwowego.
.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
