Microsoft เตือนเรื่อง Zero-Day Spike ในฐานะกลุ่ม Nation-State Shift Tactics

ผู้บริหารความปลอดภัยระดับองค์กรที่มองว่ากลุ่มไซเบอร์ที่ได้รับการสนับสนุนจากรัฐเป็นภัยคุกคามที่อยู่ห่างไกลอาจต้องการทบทวนสมมติฐานนั้นและรีบร้อน

เหตุการณ์ทางภูมิรัฐศาสตร์ล่าสุดทั่วโลกในช่วงปีที่ผ่านมาได้กระตุ้นให้เกิดกิจกรรมระดับชาติเพิ่มขึ้นอย่างรวดเร็วเมื่อเทียบกับเป้าหมายที่สำคัญ เช่น เจ้าหน้าที่ท่าเรือ บริษัทไอที หน่วยงานรัฐบาล องค์กรข่าว บริษัทสกุลเงินดิจิทัล และกลุ่มศาสนา

การวิเคราะห์ของ Microsoft เกี่ยวกับ ภูมิทัศน์ภัยคุกคามทั่วโลก ในปีที่ผ่านมา วางจำหน่าย 4 พ.ย. แสดงให้เห็นว่าการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญเพิ่มขึ้นเป็นสองเท่า จากการโจมตี 20% ของการโจมตีระดับประเทศทั้งหมดเป็น 40% ของการโจมตีทั้งหมดที่นักวิจัยของบริษัทตรวจพบ

นอกจากนี้ กลวิธีของพวกเขากำลังเปลี่ยนไป โดยเฉพาะอย่างยิ่ง Microsoft ได้บันทึกการเพิ่มขึ้นของการใช้ช่องโหว่ซีโร่เดย์

ปัจจัยหลายประการผลักดันกิจกรรมภัยคุกคามระดับประเทศที่เพิ่มขึ้น

ไม่น่าแปลกใจเลยที่ Microsoft อ้างว่าการโจมตีโดยกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัสเซียซึ่งเกี่ยวข้องและสนับสนุนสงครามของประเทศในยูเครน การโจมตีบางส่วนมุ่งเน้นไปที่การสร้างความเสียหายให้กับโครงสร้างพื้นฐานของยูเครน ในขณะที่การโจมตีอื่นๆ เกี่ยวข้องกับการจารกรรมและรวมถึงเป้าหมายในสหรัฐอเมริกาและประเทศสมาชิก NATO อื่นๆ ร้อยละเก้าสิบของการโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัสเซียซึ่ง Microsoft ตรวจพบในปีที่ผ่านมามุ่งเป้าไปที่ประเทศในกลุ่ม NATO 48% มุ่งเป้าไปที่ผู้ให้บริการไอทีในประเทศเหล่านี้

ในขณะที่สงครามในยูเครนขับเคลื่อนกิจกรรมส่วนใหญ่โดยกลุ่มภัยคุกคามของรัสเซีย ปัจจัยอื่นๆ ได้กระตุ้นให้เกิดการโจมตีเพิ่มขึ้นโดยกลุ่มที่สนับสนุนโดยจีน เกาหลีเหนือ และอิหร่าน ตัวอย่างเช่น การโจมตีโดยกลุ่มอิหร่านเพิ่มขึ้นหลังจากการเปลี่ยนแปลงประธานาธิบดีในประเทศ 

ไมโครซอฟต์กล่าวว่า สังเกตกลุ่มอิหร่านเริ่มการโจมตีแบบทำลายล้างและล้างข้อมูลบนดิสก์ในอิสราเอล เช่นเดียวกับสิ่งที่เรียกว่าปฏิบัติการแฮ็กและรั่วไหลกับเป้าหมายในสหรัฐฯ และสหภาพยุโรป การโจมตีหนึ่งครั้งในอิสราเอลทำให้เกิดสัญญาณจรวดฉุกเฉินในประเทศ ในขณะที่อีกการโจมตีหนึ่งพยายามลบข้อมูลออกจากระบบของเหยื่อ

การเพิ่มขึ้นของการโจมตีโดยกลุ่มเกาหลีเหนือใกล้เคียงกับการทดสอบขีปนาวุธในประเทศ การโจมตีหลายครั้งมุ่งเน้นไปที่การขโมยเทคโนโลยีจากบริษัทการบินและอวกาศและนักวิจัย

ในขณะเดียวกัน กลุ่มต่างๆ ในจีนได้เพิ่มการโจมตีจารกรรมและการขโมยข้อมูล เพื่อสนับสนุนความพยายามของประเทศในการใช้อิทธิพลในภูมิภาคนี้มากขึ้น ไมโครซอฟต์กล่าว เป้าหมายหลายอย่างของพวกเขารวมถึงองค์กรที่เข้าถึงข้อมูลที่จีนเห็นว่ามีความสำคัญเชิงกลยุทธ์ในการบรรลุเป้าหมาย

จากซัพพลายเชนซอฟต์แวร์สู่ห่วงโซ่ผู้ให้บริการไอที

นักแสดงระดับประเทศพุ่งเป้าไปที่บริษัทไอทีมากกว่าภาคส่วนอื่นๆ ในช่วงเวลาดังกล่าว บริษัทไอที เช่น ผู้ให้บริการคลาวด์และผู้ให้บริการที่มีการจัดการ คิดเป็น 22% ขององค์กรที่กลุ่มเหล่านี้ตั้งเป้าหมายไว้ในปีนี้ ภาคส่วนที่กำหนดเป้าหมายอย่างหนักอื่นๆ ได้แก่ กลุ่มนักคิดแบบดั้งเดิมและเหยื่อองค์กรพัฒนาเอกชน (17%) การศึกษา (14%) และหน่วยงานภาครัฐ (10%)

ในการกำหนดเป้าหมายผู้ให้บริการด้านไอที การโจมตีได้รับการออกแบบมาเพื่อประนีประนอมองค์กรหลายร้อยแห่งพร้อมกันโดยละเมิดผู้จำหน่ายที่เชื่อถือได้รายเดียว Microsoft กล่าว การโจมตีเมื่อปีที่แล้วที่ Kaseya ซึ่งส่งผลให้ ในที่สุดแรนซัมแวร์ก็ถูกแจกจ่าย ให้กับลูกค้าปลายน้ำหลายพันราย เป็นตัวอย่างแรกๆ 

มีอีกหลายแห่งในปีนี้ รวมถึงหนึ่งในเดือนมกราคมที่นักแสดงที่ได้รับการสนับสนุนจากอิหร่านได้ประนีประนอมกับผู้ให้บริการคลาวด์ของอิสราเอลเพื่อพยายามแทรกซึมลูกค้าปลายทางของบริษัทนั้น ในอีกกลุ่มหนึ่ง กลุ่มหนึ่งซึ่งมีฐานอยู่ในเลบานอนชื่อ Polonium ได้เข้าถึงองค์กรด้านกฎหมายและการป้องกันประเทศของอิสราเอลหลายแห่งผ่านผู้ให้บริการระบบคลาวด์ของตน 

การโจมตีที่เพิ่มขึ้นในห่วงโซ่อุปทานของบริการด้านไอทีแสดงถึงการเปลี่ยนแปลงจากการมุ่งเน้นตามปกติที่กลุ่มรัฐชาติมีต่อห่วงโซ่อุปทานซอฟต์แวร์ Microsoft ตั้งข้อสังเกต

มาตรการที่แนะนำของ Microsoft สำหรับการลดความเสี่ยงต่อภัยคุกคามเหล่านี้ ได้แก่ การตรวจสอบและตรวจสอบความสัมพันธ์ของผู้ให้บริการต้นน้ำและปลายน้ำ การมอบหมายการจัดการการเข้าถึงที่มีสิทธิพิเศษอย่างรับผิดชอบ และบังคับใช้การเข้าถึงที่มีสิทธิพิเศษน้อยที่สุดตามความจำเป็น นอกจากนี้ บริษัทยังแนะนำให้บริษัทตรวจสอบการเข้าถึงสำหรับความสัมพันธ์กับคู่ค้าที่ไม่คุ้นเคยหรือยังไม่ได้รับการตรวจสอบ เปิดใช้งานการบันทึก ตรวจสอบกิจกรรมการรับรองความถูกต้องทั้งหมดสำหรับ VPN และโครงสร้างพื้นฐานการเข้าถึงระยะไกล และเปิดใช้งาน MFA สำหรับบัญชีทั้งหมด

Uptick ใน Zero-Days

แนวโน้มที่น่าสังเกตอย่างหนึ่งที่ Microsoft สังเกตเห็นคือกลุ่มประเทศต่างๆ กำลังใช้ทรัพยากรจำนวนมากเพื่อหลบเลี่ยงการรักษาความปลอดภัยที่องค์กรได้ดำเนินการเพื่อป้องกันภัยคุกคามที่ซับซ้อน 

“เช่นเดียวกับองค์กรระดับองค์กร ฝ่ายตรงข้ามเริ่มใช้ความก้าวหน้าในระบบอัตโนมัติ โครงสร้างพื้นฐานระบบคลาวด์ และเทคโนโลยีการเข้าถึงระยะไกลเพื่อขยายการโจมตีไปยังกลุ่มเป้าหมายที่กว้างขึ้น” ไมโครซอฟท์กล่าว

การปรับเปลี่ยนดังกล่าวรวมถึงวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแพตช์อย่างรวดเร็ว เทคนิคเพิ่มเติมสำหรับการละเมิดบริษัท และการใช้เครื่องมือที่ถูกต้องตามกฎหมายและซอฟต์แวร์โอเพ่นซอร์สที่เพิ่มขึ้นเพื่อทำให้กิจกรรมที่เป็นอันตรายสับสน 

หนึ่งในอาการที่เป็นปัญหามากที่สุดของแนวโน้มคือการใช้งานที่เพิ่มขึ้นในหมู่ผู้ดำเนินการรัฐชาติของการหาประโยชน์จากช่องโหว่ซีโร่เดย์ในห่วงโซ่การโจมตีของพวกเขา การวิจัยของ Microsoft พบว่าระหว่างเดือนมกราคมถึงมิถุนายนของปีนี้ แพตช์ได้รับการเผยแพร่สำหรับช่องโหว่ซีโร่เดย์ 41 รายการระหว่างเดือนกรกฎาคม 2021 ถึงมิถุนายน 2022

จากข้อมูลของ Microsoft ผู้คุกคามที่ได้รับการสนับสนุนจากจีนมีความเชี่ยวชาญเป็นพิเศษในการค้นหาและค้นพบช่องโหว่ซีโร่เดย์เมื่อเร็วๆ นี้ บริษัทระบุว่าแนวโน้มดังกล่าวมาจากกฎระเบียบใหม่ของประเทศจีนซึ่งมีผลบังคับใช้ในเดือนกันยายน พ.ศ. 2021 กำหนดให้องค์กรในประเทศต้องรายงานช่องโหว่ใดๆ ที่พวกเขาพบไปยังหน่วยงานรัฐบาลจีนเพื่อตรวจสอบก่อนที่จะเปิดเผยข้อมูลกับบุคคลอื่น

ตัวอย่างของภัยคุกคามซีโร่เดย์ที่อยู่ในหมวดหมู่นี้ ได้แก่ CVE-2021-35211ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์ SolarWinds Serv-U ที่ถูกใช้อย่างแพร่หลายก่อนที่จะถูกแก้ไขในเดือนกรกฎาคม พ.ศ. 2021 CVE-2021-40539, a ช่องโหว่ข้ามการตรวจสอบที่สำคัญ ใน Zoho ManageEngine ADSelfService Plus ที่แก้ไขเมื่อเดือนกันยายนที่แล้ว และ CVE-2022-26134, ช่องโหว่ใน พื้นที่ทำงาน Atlassian Confluence ว่าผู้คุกคามชาวจีนกำลังหาประโยชน์อย่างแข็งขันก่อนที่จะมีโปรแกรมแก้ไขในเดือนมิถุนายน

“กฎระเบียบใหม่นี้อาจทำให้องค์ประกอบต่างๆ ในรัฐบาลจีนสามารถกักตุนรายงานช่องโหว่ที่นำไปสู่การสร้างอาวุธได้” Microsoft เตือน พร้อมเสริมว่าสิ่งนี้ควรถูกมองว่าเป็นขั้นตอนสำคัญในการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์เป็นลำดับความสำคัญของรัฐ

.