Executivos de segurança corporativa que percebem grupos cibernéticos apoiados por estados-nação como uma ameaça distante podem querer revisitar essa suposição e com pressa.
Vários eventos geopolíticos recentes em todo o mundo no ano passado estimularam um aumento acentuado na atividade dos estados-nação contra alvos críticos, como autoridades portuárias, empresas de TI, agências governamentais, organizações de notícias, empresas de criptomoedas e grupos religiosos.
Uma análise da Microsoft cenário global de ameaças Ao longo do último ano, lançado em 4 de novembro de mostrou que os ataques cibernéticos direcionados à infraestrutura crítica dobraram, passando de 20% de todos os ataques de estado-nação para 40% de todos os ataques que os pesquisadores da empresa detectaram.
Além disso, suas táticas estão mudando – mais notavelmente, a Microsoft registrou um aumento no uso de explorações de dia zero.
Vários fatores levaram ao aumento da atividade de ameaça do estado-nação
Sem surpresa, a Microsoft atribuiu grande parte do aumento a ataques de grupos de ameaças apoiados pela Rússia relacionados e em apoio à guerra do país na Ucrânia. Alguns dos ataques foram focados em danificar a infraestrutura ucraniana, enquanto outros estavam mais relacionados à espionagem e incluíam alvos nos EUA e em outros países membros da OTAN. Noventa por cento dos ataques cibernéticos apoiados pela Rússia que a Microsoft detectou no ano passado tiveram como alvo os países da OTAN; 48% deles foram direcionados a provedores de serviços de TI nesses países.
Embora a guerra na Ucrânia tenha impulsionado a maior parte da atividade dos grupos de ameaças russos, outros fatores alimentaram um aumento nos ataques de grupos patrocinados pela China, Coreia do Norte e Irã. Os ataques de grupos iranianos, por exemplo, aumentaram após uma mudança presidencial no país.
A Microsoft disse que observou grupos iranianos lançando ataques destrutivos de limpeza de disco em Israel, bem como o que descreveu como operações de hack-and-leak contra alvos nos EUA e na UE. Um ataque em Israel disparou sinais de foguete de emergência no país, enquanto outro tentou apagar dados dos sistemas de uma vítima.
O aumento de ataques de grupos norte-coreanos coincidiu com um aumento nos testes de mísseis no país. Muitos dos ataques foram focados em roubar tecnologia de empresas aeroespaciais e pesquisadores.
Enquanto isso, grupos na China aumentaram os ataques de espionagem e roubo de dados para apoiar os esforços do país para exercer mais influência na região, disse a Microsoft. Muitos de seus alvos incluíam organizações que tinham acesso a informações que a China considerava de importância estratégica para atingir seus objetivos.
Da cadeia de suprimentos de software à cadeia de provedores de serviços de TI
Os atores do estado-nação visaram as empresas de TI mais fortemente do que outros setores no período. As empresas de TI, como provedores de serviços em nuvem e provedores de serviços gerenciados, responderam por 22% das organizações que esses grupos visaram este ano. Outros setores fortemente visados incluíam o think tank mais tradicional e as vítimas de organizações não governamentais (17%), educação (14%) e agências governamentais (10%).
Ao atingir provedores de serviços de TI, os ataques foram projetados para comprometer centenas de organizações ao mesmo tempo, violando um único fornecedor confiável, disse a Microsoft. O ataque no ano passado à Kaseya, que resultou em ransomware finalmente sendo distribuído para milhares de clientes downstream, foi um dos primeiros exemplos.
Houve vários outros este ano, incluindo um em janeiro em que um ator apoiado pelo Irã comprometeu um provedor de serviços em nuvem israelense para tentar se infiltrar nos clientes downstream dessa empresa. Em outro, um grupo com sede no Líbano chamado Polonium obteve acesso a várias organizações jurídicas e de defesa israelenses por meio de seus provedores de serviços em nuvem.
Os crescentes ataques à cadeia de fornecimento de serviços de TI representaram uma mudança do foco usual que grupos de estados-nação têm na cadeia de fornecimento de software, observou a Microsoft.
As medidas recomendadas pela Microsoft para mitigar a exposição a essas ameaças incluem revisar e auditar relacionamentos de provedores de serviços upstream e downstream, delegar o gerenciamento de acesso privilegiado responsável e impor o acesso menos privilegiado conforme necessário. A empresa também recomenda que as empresas revisem o acesso para relacionamentos com parceiros que não são familiares ou não foram auditados, habilite o registro, revise todas as atividades de autenticação para VPNs e infraestrutura de acesso remoto e habilite o MFA para todas as contas
Um aumento em zero-days
Uma tendência notável que a Microsoft observou é que grupos de estados-nação estão gastando recursos significativos para evitar as proteções de segurança que as organizações implementaram para se defender contra ameaças sofisticadas.
“Assim como as organizações empresariais, os adversários começaram a usar avanços em automação, infraestrutura em nuvem e tecnologias de acesso remoto para estender seus ataques contra um conjunto mais amplo de alvos”, disse a Microsoft.
Os ajustes incluíram novas maneiras de explorar rapidamente vulnerabilidades não corrigidas, técnicas expandidas para violar corporações e maior uso de ferramentas legítimas e software de código aberto para ofuscar atividades maliciosas.
Uma das manifestações mais preocupantes da tendência é o uso crescente entre os atores do estado-nação de explorações de vulnerabilidade de dia zero em sua cadeia de ataque. A pesquisa da Microsoft mostrou que apenas entre janeiro e junho deste ano, foram lançados patches para 41 vulnerabilidades de dia zero entre julho de 2021 e junho de 2022.
De acordo com a Microsoft, os agentes de ameaças apoiados pela China têm sido especialmente proficientes em encontrar e descobrir explorações de dia zero recentemente. A empresa atribuiu a tendência a um novo regulamento da China que entrou em vigor em setembro de 2021; exige que as organizações no país relatem quaisquer vulnerabilidades que descobrirem a uma autoridade do governo chinês para análise antes de divulgar as informações a qualquer outra pessoa.
Exemplos de ameaças de dia zero que se enquadram nessa categoria incluem CVE-2021-35211, uma falha de execução remota de código no software SolarWinds Serv-U que foi amplamente explorada antes de ser corrigida em julho de 2021; CVE-2021-40539, a vulnerabilidade crítica de desvio de autenticação no Zoho ManageEngine ADSelfService Plus, corrigido em setembro passado; e CVE-2022-26134, uma vulnerabilidade em Espaços de trabalho do Atlassian Confluence que um agente de ameaças chinês estava explorando ativamente antes que um patch fosse disponibilizado em junho.
“Esse novo regulamento pode permitir que elementos do governo chinês armazenem vulnerabilidades relatadas para transformá-los em armas”, alertou a Microsoft, acrescentando que isso deve ser visto como um passo importante no uso de explorações de dia zero como prioridade do estado.
.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
