Руководители служб безопасности предприятий, которые воспринимают кибергруппировки, поддерживаемые национальными государствами, как отдаленную угрозу, возможно, захотят пересмотреть это предположение, причем в спешке.
Несколько недавних геополитических событий по всему миру за последний год спровоцировали резкий рост активности национальных государств против критически важных целей, таких как портовые власти, ИТ-компании, правительственные учреждения, новостные организации, криптовалютные компании и религиозные группы.
Анализ Microsoft глобальный ландшафт угроз за последний год, выпущен 4 ноября, показало, что количество кибератак, нацеленных на критически важную инфраструктуру, увеличилось вдвое: с 20% всех атак на уровне национальных государств до 40% всех атак, обнаруженных исследователями компании.
Более того, их тактика меняется — в частности, Microsoft зафиксировала рост использования эксплойтов нулевого дня.
Множественные факторы привели к увеличению активности угроз со стороны национальных государств
Неудивительно, что Microsoft объяснила большую часть этого всплеска атаками поддерживаемых Россией группировок, связанных с войной страны на Украине и поддерживающих ее. Некоторые из атак были направлены на повреждение украинской инфраструктуры, тогда как другие были больше связаны со шпионажем и охватывали цели в США и других странах-членах НАТО. Девяносто процентов поддерживаемых Россией кибератак, обнаруженных Microsoft за последний год, были направлены на страны НАТО; 48% из них были направлены поставщикам ИТ-услуг в этих странах.
В то время как война в Украине способствовала большей активности российских группировок угроз, другие факторы способствовали увеличению атак со стороны групп, спонсируемых Китаем, Северной Кореей и Ираном. Например, нападения иранских группировок усилились после смены президента в стране.
Microsoft заявила, что наблюдала, как иранские группы проводили разрушительные атаки с уничтожением дисков в Израиле, а также то, что она назвала операциями по взлому и утечке данных против целей в США и ЕС. Одна атака в Израиле привела к запуску ракетных сигналов экстренной помощи в стране, а другая была направлена на стирание данных из систем жертвы.
Увеличение числа нападений со стороны северокорейских группировок совпало с увеличением количества испытаний ракет в стране. Многие атаки были направлены на кражу технологий у аэрокосмических компаний и исследователей.
Тем временем группы в Китае увеличили масштабы шпионажа и атак с целью кражи данных, чтобы поддержать усилия страны по оказанию большего влияния в регионе, сообщила Microsoft. Многие из их целей включали организации, которые были посвящены в информацию, которую Китай считал имеющей стратегическое значение для достижения своих целей.
От цепочки поставок программного обеспечения к цепочке поставщиков ИТ-услуг
В тот период национальные государственные субъекты атаковали ИТ-компании сильнее, чем другие отрасли. ИТ-компании, такие как поставщики облачных и управляемых услуг, составили 22% организаций, на которые эти группы нацелились в этом году. Другие секторы, подвергшиеся нападению, включали более традиционные аналитические центры и жертвы неправительственных организаций (17%), образование (14%) и правительственные учреждения (10%).
По словам Microsoft, атаки были нацелены на поставщиков ИТ-услуг и направлены на одновременное нарушение сотен организаций путем взлома одного доверенного поставщика. Нападение на Касею в прошлом году, в результате которого программы-вымогатели в конечном итоге распространяются тысячам последующих клиентов, был ранним примером.
В этом году было еще несколько подобных атак, в том числе в январе, когда поддерживаемый Ираном субъект скомпрометировал израильского поставщика облачных услуг, чтобы попытаться проникнуть в последующих клиентов этой компании. В другом случае базирующаяся в Ливане группа под названием Polonium получила доступ к нескольким израильским оборонным и юридическим организациям через их поставщиков облачных услуг.
Рост атак на цепочку поставок ИТ-услуг представляет собой отход от обычного внимания, которое группы национальных государств уделяли цепочке поставок программного обеспечения, отметили в Microsoft.
Рекомендуемые Microsoft меры по снижению воздействия этих угроз включают проверку и аудит отношений с вышестоящими и нижестоящими поставщиками услуг, делегирование ответственности за управление привилегированным доступом и при необходимости обеспечение соблюдения наименее привилегированного доступа. Компания также рекомендует компаниям проверить доступ для партнерских отношений, которые незнакомы или не прошли аудит, включить ведение журналов, просмотреть все действия по аутентификации для VPN и инфраструктуры удаленного доступа, а также включить MFA для всех учетных записей.
Рост в нулевых днях
Одна примечательная тенденция, которую заметила Microsoft, заключается в том, что группы национальных государств тратят значительные ресурсы, чтобы обойти меры безопасности, которые организации внедрили для защиты от изощренных угроз.
«Как и в случае с корпоративными организациями, злоумышленники начали использовать достижения в области автоматизации, облачной инфраструктуры и технологий удаленного доступа, чтобы расширить свои атаки на более широкий круг целей», — заявили в Microsoft.
Изменения включали новые способы быстрого использования неисправленных уязвимостей, расширенные методы взлома корпораций и более широкое использование законных инструментов и программного обеспечения с открытым исходным кодом для сокрытия вредоносной деятельности.
Одним из наиболее тревожных проявлений этой тенденции является растущее использование государственными субъектами эксплойтов уязвимостей нулевого дня в своих цепочках атак. Исследование Microsoft показало, что только с января по июнь этого года в период с июля 41 года по июнь 2021 года были выпущены исправления для 2022 уязвимости нулевого дня.
По данным Microsoft, в последнее время поддерживаемые Китаем злоумышленники особенно хорошо умеют находить и обнаруживать эксплойты нулевого дня. Компания объяснила эту тенденцию новым постановлением Китая, которое вступило в силу в сентябре 2021 года; он требует, чтобы организации в стране сообщали о любых обнаруженных ими уязвимостях китайскому правительственному органу для проверки, прежде чем раскрывать информацию кому-либо еще.
Примеры угроз нулевого дня, попадающих в эту категорию, включают: CVE-2021-35211, уязвимость удаленного выполнения кода в программном обеспечении SolarWinds Serv-U, которая широко использовалась до того, как была исправлена в июле 2021 года; CVE-2021-40539, a критическая уязвимость обхода аутентификации в Zoho ManageEngine ADSelfService Plus, исправленном в сентябре прошлого года; и CVE-2022-26134, уязвимость в Рабочие пространства Atlassian Confluence которую китайский злоумышленник активно использовал до того, как в июне стало доступно обновление.
«Это новое постановление может позволить элементам китайского правительства накапливать обнаруженные уязвимости и использовать их в качестве оружия», — предупредила Microsoft, добавив, что это следует рассматривать как важный шаг в использовании эксплойтов нулевого дня в качестве государственного приоритета.
.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
