Izvršni delavci na področju varnosti v podjetjih, ki kibernetske skupine, ki jih podpira nacionalna država, dojemajo kot oddaljeno grožnjo, bodo morda želeli ponovno razmisliti o tej domnevi, in to v naglici.
Več nedavnih geopolitičnih dogodkov po svetu v zadnjem letu je spodbudilo močno povečanje dejavnosti nacionalnih držav proti kritičnim tarčam, kot so pristaniške oblasti, IT podjetja, vladne agencije, tiskovne organizacije, podjetja za kriptovalute in verske skupine.
Microsoftova analiza svetovna grožnja v zadnjem letu, izdano 4. nov. je pokazalo, da so se kibernetski napadi, usmerjeni na kritično infrastrukturo, podvojili, z 20 % vseh napadov na državo na 40 % vseh napadov, ki so jih odkrili raziskovalci podjetja.
Poleg tega se njihove taktike spreminjajo - predvsem je Microsoft zabeležil porast v uporabi zero-day podvigov.
Več dejavnikov je povzročilo povečano dejavnost grožnje nacionalni državi
Ni presenetljivo, da je Microsoft večji del porasta pripisal napadom groženjskih skupin, ki jih podpira Rusija, povezanih z in v podporo vojni države v Ukrajini. Nekateri napadi so bili osredotočeni na poškodovanje ukrajinske infrastrukture, drugi pa so bili bolj povezani z vohunjenjem in so vključevali tarče v ZDA in drugih državah članicah Nata. Devetdeset odstotkov kibernetskih napadov s podporo Rusije, ki jih je Microsoft zaznal v zadnjem letu, je bilo usmerjenih v države Nata; 48 % jih je bilo usmerjenih k ponudnikom IT storitev v teh državah.
Medtem ko je vojna v Ukrajini povzročila večino dejavnosti ruskih groženjskih skupin, so drugi dejavniki spodbudili povečanje napadov skupin, ki jih sponzorirajo Kitajska, Severna Koreja in Iran. Napadi iranskih skupin so se na primer stopnjevali po predsedniški spremembi v državi.
Microsoft je dejal, da je opazil iranske skupine, ki izvajajo uničujoče napade z brisanjem diskov v Izraelu, kot tudi operacije vdora in uhajanja informacij proti tarčam v ZDA in EU. En napad v Izraelu je sprožil raketne signale za nujne primere v državi, drugi pa je poskušal izbrisati podatke iz sistemov žrtve.
Porast napadov severnokorejskih skupin je sovpadal s porastom testiranja raket v državi. Številni napadi so bili osredotočeni na krajo tehnologije vesoljskih podjetij in raziskovalcev.
Skupine na Kitajskem so medtem povečale napade vohunjenja in kraje podatkov, da bi podprle prizadevanja države za večji vpliv v regiji, je dejal Microsoft. Številne njihove tarče so vključevale organizacije, ki so bile seznanjene z informacijami, za katere je Kitajska menila, da so strateškega pomena za doseganje njenih ciljev.
Od dobavne verige programske opreme do verige ponudnikov IT storitev
Nacionalni državni akterji so v tem obdobju bolj ciljali na IT podjetja kot na druge sektorje. Podjetja IT, kot so ponudniki storitev v oblaku in ponudniki upravljanih storitev, predstavljajo 22 % organizacij, na katere so se te skupine letos osredotočile. Drugi močno ciljni sektorji so vključevali bolj tradicionalne žrtve možganskih trustov in nevladnih organizacij (17 %), izobraževanje (14 %) in vladne agencije (10 %).
Pri ciljanju na ponudnike storitev IT so bili napadi zasnovani tako, da so ogrozili na stotine organizacij hkrati s kršitvijo enega samega zaupanja vrednega prodajalca, je dejal Microsoft. Lanski napad na Kaseyo, ki je povzročil izsiljevalska programska oprema, ki se končno distribuira na tisoče strank na nižji stopnji, je bil zgodnji primer.
Letos je bilo še nekaj drugih, vključno z enim januarja, ko je igralec, ki ga podpira Iran, ogrozil izraelskega ponudnika storitev v oblaku, da bi se poskušal infiltrirati v stranke tega podjetja na nižji stopnji. V drugem primeru je skupina Polonium s sedežem v Libanonu pridobila dostop do več izraelskih obrambnih in pravnih organizacij prek njihovih ponudnikov storitev v oblaku.
Naraščajoči napadi na dobavno verigo storitev IT so predstavljali odmik od običajne osredotočenosti, ki so jo skupine nacionalnih držav imele na dobavno verigo programske opreme, je opozoril Microsoft.
Microsoftovi priporočeni ukrepi za ublažitev izpostavljenosti tem grožnjam vključujejo pregled in revizijo odnosov med ponudniki storitev navzgor in navzdol, prenos odgovornih za upravljanje privilegiranega dostopa in po potrebi uveljavljanje najmanj privilegiranega dostopa. Podjetje tudi priporoča, da podjetja pregledajo dostop za partnerska razmerja, ki so neznana ali niso bila revidirana, omogočijo beleženje, pregledajo vse dejavnosti preverjanja pristnosti za VPN in infrastrukturo oddaljenega dostopa ter omogočijo MFA za vse račune
Uptick v Zero-Days
Eden opaznih trendov, ki jih je opazil Microsoft, je, da skupine nacionalnih držav porabijo znatna sredstva za izogibanje varnostnim zaščitam, ki so jih organizacije uvedle za obrambo pred sofisticiranimi grožnjami.
"Podobno kot poslovne organizacije so tudi nasprotniki začeli uporabljati napredek v avtomatizaciji, infrastrukturi v oblaku in tehnologijah oddaljenega dostopa, da bi razširili svoje napade na širši nabor tarč," je dejal Microsoft.
Prilagoditve so vključevale nove načine za hitro izkoriščanje nezakrpanih ranljivosti, razširjene tehnike za vdor v korporacije in večjo uporabo zakonitih orodij in odprtokodne programske opreme za prikritje zlonamerne dejavnosti.
Ena najbolj zaskrbljujočih manifestacij tega trenda je vse večja uporaba izkoriščanja ranljivosti zero-day v njihovi verigi napadov med akterji nacionalnih držav. Microsoftova raziskava je pokazala, da so bili samo med januarjem in junijem letos izdani popravki za 41 ranljivosti ničelnega dne med julijem 2021 in junijem 2022.
Po mnenju Microsofta so akterji groženj, ki jih podpira Kitajska, v zadnjem času še posebej spretni pri iskanju in odkrivanju izkoriščanja ničelnega dne. Podjetje je trend pripisalo novi kitajski uredbi, ki je začela veljati septembra 2021; od organizacij v državi zahteva, da poročajo o kakršni koli ranljivosti, ki jo odkrijejo, kitajskemu vladnemu organu v pregled, preden informacije razkrijejo komu drugemu.
Primeri groženj ničelnega dne, ki spadajo v to kategorijo, vključujejo CVE-2021-35211, napaka pri izvajanju kode na daljavo v programski opremi SolarWinds Serv-U, ki je bila na veliko izkoriščena, preden so jo julija 2021 popravili; CVE-2021-40539, a kritična ranljivost obvoda avtentikacije v Zoho ManageEngine ADSelfService Plus, popravljen septembra lani; in CVE-2022-26134, ranljivost v Delovni prostori Atlassian Confluence ki ga je kitajski akter grožnje aktivno izkoriščal, preden je bil junija na voljo popravek.
"Ta nova uredba bi lahko elementom v kitajski vladi omogočila kopičenje prijavljenih ranljivosti za njihovo uporabo kot orožje," je opozoril Microsoft in dodal, da je to treba obravnavati kot velik korak pri uporabi izkoriščanja ničelnega dne kot prednostne naloge države.
.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
