Företagssäkerhetschefer som uppfattar nationalstatsstödda cybergrupper som ett avlägset hot kanske vill återvända till det antagandet, och det har bråttom.
Flera senaste geopolitiska händelser runt om i världen under det senaste året har stimulerat till en kraftig ökning av nationalstaternas aktivitet mot kritiska mål, såsom hamnmyndigheter, IT-företag, statliga myndigheter, nyhetsorganisationer, kryptovalutaföretag och religiösa grupper.
En Microsoft-analys av globala hotbilden under det senaste året, släpptes 4 november, visade att cyberattacker riktade mot kritisk infrastruktur fördubblades, från att stå för 20 % av alla nationalstatsattacker till 40 % av alla attacker som företagets forskare upptäckte.
Dessutom förändras deras taktik - framför allt noterade Microsoft en uppgång i användningen av nolldagars utnyttjande.
Flera faktorer drev på en ökad nationalstats hotaktivitet
Föga överraskande tillskrev Microsoft mycket av ökningen till attacker från Ryssland-stödda hotgrupper relaterade till och till stöd för landets krig i Ukraina. Vissa av attackerna var fokuserade på att skada ukrainsk infrastruktur, medan andra var mer spionagerelaterade och inkluderade mål i USA och andra NATO-medlemsländer. Nittio procent av Ryssland-stödda cyberattacker som Microsoft upptäckte under det senaste året riktade sig mot Nato-länder; 48 % av dem var riktade till IT-tjänsteleverantörer i dessa länder.
Medan kriget i Ukraina drev det mesta av aktiviteten från ryska hotgrupper, underblåste andra faktorer en ökning av attacker från grupper sponsrade av Kina, Nordkorea och Iran. Attacker från iranska grupper eskalerade till exempel efter ett presidentbyte i landet.
Microsoft sa att de observerade iranska grupper som inledde destruktiva, disktorpande attacker i Israel, såväl som vad de beskrev som hack-and-leak-operationer mot mål i USA och EU. En attack i Israel utlöste nödraketsignaler i landet medan en annan försökte radera data från ett offers system.
Ökningen av attacker från nordkoreanska grupper sammanföll med en ökning av missiltestning i landet. Många av attackerna var fokuserade på att stjäla teknik från flygbolag och forskare.
Grupper i Kina ökade under tiden spionage och datastöldattacker för att stödja landets ansträngningar att utöva mer inflytande i regionen, sa Microsoft. Många av deras mål inkluderade organisationer som var insatta i information som Kina ansåg vara av strategisk betydelse för att uppnå sina mål.
Från Software Supply Chain till IT Service Provider Chain
Nationella aktörer riktade sig hårdare mot IT-företag än andra sektorer under perioden. IT-företag, såsom leverantörer av molntjänster och leverantörer av hanterade tjänster, stod för 22 % av de organisationer som dessa grupper riktade sig till i år. Andra hårt riktade sektorer var de mer traditionella tankesmedjorna och offren för icke-statliga organisationer (17 %), utbildning (14 %) och statliga myndigheter (10 %).
När det gäller IT-tjänsteleverantörer var attackerna utformade för att äventyra hundratals organisationer samtidigt genom att bryta mot en enda pålitlig leverantör, sa Microsoft. Attacken förra året på Kaseya, som resulterade i ransomware som slutligen distribueras till tusentals nedströmskunder, var ett tidigt exempel.
Det fanns flera andra i år, inklusive en i januari där en Iran-stödd aktör komprometterade en israelisk molntjänstleverantör för att försöka infiltrera företagets nedströmskunder. I en annan fick en libanonbaserad grupp vid namn Polonium tillgång till flera israeliska försvars- och juridiska organisationer via sina molntjänster.
De växande attackerna på IT-tjänsternas leveranskedja representerade en förskjutning bort från det vanliga fokus som nationalstatsgrupper har haft på mjukvaruförsörjningskedjan, noterade Microsoft.
Microsofts rekommenderade åtgärder för att minska exponeringen för dessa hot inkluderar granskning och granskning av uppströms och nedströms tjänsteleverantörsrelationer, delegering av ansvariga för förvaltning av privilegierad åtkomst och upprätthållande av minst privilegierad åtkomst vid behov. Företaget rekommenderar också att företag granskar åtkomst för partnerrelationer som är okända eller inte har granskats, aktiverar loggning, granskar all autentiseringsaktivitet för VPN och fjärråtkomstinfrastruktur och aktiverar MFA för alla konton
En uppgång på noll dagar
En anmärkningsvärd trend som Microsoft observerat är att nationalstatsgrupper spenderar betydande resurser för att kringgå säkerhetsskydden som organisationer har implementerat för att försvara sig mot sofistikerade hot.
"Mycket som företagsorganisationer började motståndare använda framsteg inom automation, molninfrastruktur och teknik för fjärråtkomst för att utöka sina attacker mot en bredare uppsättning mål," sa Microsoft.
Justeringarna inkluderade nya sätt att snabbt utnyttja oupprättade sårbarheter, utökade tekniker för intrång i företag och ökad användning av legitima verktyg och programvara med öppen källkod för att fördunkla skadlig aktivitet.
En av de mest oroande manifestationerna av trenden är den ökande användningen bland nationalstatsaktörer av nolldagars sårbarhet i deras attackkedja. Microsofts forskning visade att bara mellan januari och juni i år släpptes patchar för 41 nolldagars sårbarheter mellan juli 2021 och juni 2022.
Enligt Microsoft har Kina-stödda hotaktörer varit särskilt skickliga på att hitta och upptäcka zero-day exploits nyligen. Företaget tillskrev trenden till en ny Kina-förordning som trädde i kraft i september 2021; det kräver att organisationer i landet rapporterar eventuella sårbarheter de upptäcker till en kinesisk myndighet för granskning innan de avslöjar informationen med någon annan.
Exempel på nolldagshot som faller inom denna kategori inkluderar CVE-2021-35211, ett fel vid exekvering av fjärrkod i SolarWinds Serv-U-programvara som utnyttjades flitigt innan den korrigerades i juli 2021; CVE-2021-40539, a kritisk autentisering kringgå sårbarhet i Zoho ManageEngine ADSelfService Plus, patchad i september förra året; och CVE-2022-26134, en sårbarhet i Atlassian Confluence Workspaces som en kinesisk hotaktör aktivt utnyttjade innan en patch blev tillgänglig i juni.
"Denna nya förordning kan göra det möjligt för element i den kinesiska regeringen att lagra rapporterade sårbarheter för att beväpna dem," varnade Microsoft och tillade att detta bör ses som ett stort steg i användningen av zero-day exploits som en statlig prioritet.
.
