Directorii de securitate ale întreprinderilor care percep grupurile cibernetice susținute de statul național ca pe o amenințare îndepărtată ar putea dori să revizuiască această presupunere și în grabă.
Câteva evenimente geopolitice recente din întreaga lume în ultimul an au stimulat o creștere bruscă a activității statelor naționale împotriva unor ținte critice, cum ar fi autoritățile portuare, companiile IT, agențiile guvernamentale, organizațiile de știri, firmele de criptomonede și grupurile religioase.
O analiză Microsoft a peisajul amenințărilor globale pe parcursul anului trecut, lansat pe 4 noiembrie showed that cyberattacks targeting critical infrastructure doubled, from accounting for 20% of all nation-state attacks to 40% of all attacks that the company’s researchers detected.
În plus, tacticile lor se schimbă - mai ales, Microsoft a înregistrat o creștere a utilizării exploit-urilor zero-day.
Factori multipli au condus la creșterea activității de amenințare a statului național
Unsurprisingly, Microsoft attributed much of the spike to attacks by Russia-backed threat groups related to and in support of the country’s war in Ukraine. Some of the attacks were focused on damaging Ukrainian infrastructure, while others were more espionage-related and included targets in the US and other NATO member countries. Ninety percent of Russia-backed cyberattacks that Microsoft detected over the past year targeted NATO countries; 48% of them were directed at IT service providers in these countries.
În timp ce războiul din Ucraina a condus cea mai mare parte a activității grupurilor ruse de amenințare, alți factori au alimentat o creștere a atacurilor din partea grupurilor sponsorizate de China, Coreea de Nord și Iran. De exemplu, atacurile grupurilor iraniene au escaladat în urma unei schimbări prezidențiale în țară.
Microsoft said it observed Iranian groups launching destructive, disk-wiping attacks in Israel as well as what it described as hack-and-leak operations against targets in the US and EU. One attack in Israel set off emergency rocket signals in the country while another sought to erase data from a victim’s systems.
Creșterea atacurilor grupurilor nord-coreene a coincis cu o creștere a testelor de rachete în țară. Multe dintre atacuri s-au concentrat pe furtul de tehnologie de la companiile aerospațiale și cercetători.
Groups in China, meanwhile, increased espionage and data-stealing attacks to support the country’s efforts to exert more influence in the region, Microsoft said. Many of their targets included organizations that were privy to information that China considered to be of strategic importance to achieving its goals.
De la lanțul de aprovizionare software la lanțul de furnizori de servicii IT
Actorii naționali au vizat companiile IT mai mult decât alte sectoare în perioada respectivă. Companiile IT, cum ar fi furnizorii de servicii cloud și furnizorii de servicii gestionate, au reprezentat 22% din organizațiile pe care aceste grupuri le-au vizat în acest an. Alte sectoare puternic vizate au inclus think tank-ul mai tradițional și victimele organizațiilor neguvernamentale (17%), educația (14%) și agențiile guvernamentale (10%).
„În țintirea furnizorilor de servicii IT, atacurile au fost concepute pentru a compromite sute de organizații simultan, prin încălcarea unui singur furnizor de încredere”, a spus Microsoft. Atacul de anul trecut asupra Kaseya, care a avut ca rezultat ransomware-ul fiind distribuit în cele din urmă pentru mii de clienți din aval, a fost un exemplu timpuriu.
Au fost câteva altele anul acesta, inclusiv una în ianuarie, în care un actor susținut de Iran a compromis un furnizor israelian de servicii cloud pentru a încerca să se infiltreze în clienții din aval ai acelei companii. În altul, un grup din Liban numit Polonium a obținut acces la mai multe organizații juridice și de apărare israeliene prin intermediul furnizorilor lor de servicii cloud.
Atacurile tot mai mari asupra lanțului de aprovizionare a serviciilor IT au reprezentat o schimbare de la concentrarea obișnuită pe care grupurile de state naționale l-au avut asupra lanțului de aprovizionare cu software, a menționat Microsoft.
Microsoft’s recommended measures for mitigating exposure to these threats include reviewing and auditing upstream and downstream service provider relationships, delegating privileged access management responsible, and enforcing least privileged access as needed. The company also recommends that companies review access for partner relationships that are unfamiliar or have not been audited, enable logging, review all authentication activity for VPNs and remote access infrastructure, and enable MFA for all accounts
O creștere în Zero-Zile
O tendință notabilă pe care Microsoft a observat-o este că grupurile naționale cheltuiesc resurse semnificative pentru a evita protecțiile de securitate pe care organizațiile le-au implementat pentru a se apăra împotriva amenințărilor sofisticate.
“Much like enterprise organizations, adversaries began using advancements in automation, cloud infrastructure, and remote access technologies to extend their attacks against a wider set of targets,” Microsoft said.
Ajustările au inclus noi modalități de exploatare rapidă a vulnerabilităților nepatificate, tehnici extinse pentru corporațiile care încalcă încălcarea și utilizarea sporită a instrumentelor legitime și a software-ului open source pentru a obscura activitatea rău intenționată.
One of the most troubling manifestations of the trend is the increasing use among nation-state actors of zero-day vulnerability exploits in their attack chain. Microsoft’s research showed that just between January and June of this year, patches were released for 41 zero-day vulnerabilities between July 2021 and June 2022.
Potrivit Microsoft, actorii amenințărilor susținuți de China au fost deosebit de pricepuți în găsirea și descoperirea exploatărilor zero-day recent. Compania a atribuit tendința unui nou regulament din China care a intrat în vigoare în septembrie 2021; impune organizațiilor din țară să raporteze orice vulnerabilități pe care le descoperă unei autorități guvernamentale chineze pentru examinare înainte de a dezvălui informațiile cu altcineva.
Exemple de amenințări zero-day care se încadrează în această categorie includ CVE-2021-35211, o defecțiune de execuție a codului de la distanță în software-ul SolarWinds Serv-U care a fost exploatat pe scară largă înainte de a fi corectat în iulie 2021; CVE-2021-40539, a vulnerabilitatea de ocolire a autentificării critice în Zoho ManageEngine ADSelfService Plus, corectat în septembrie anul trecut; și CVE-2022-26134, o vulnerabilitate în Spații de lucru Atlassian Confluence pe care un actor chinez de amenințări îl exploata în mod activ înainte ca un patch să devină disponibil în iunie.
“This new regulation might enable elements in the Chinese government to stockpile reported vulnerabilities toward weaponizing them,” Microsoft warned, adding that this should be viewed as a major step in the use of zero-day exploits as a state priority.
.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
