Керівники корпоративної безпеки, які сприймають підтримувані державою кібергрупи як віддалену загрозу, можливо, захочуть переглянути це припущення, і поспішно.
Кілька нещодавніх геополітичних подій у світі за останній рік спровокували різке зростання активності національних держав проти критично важливих цілей, таких як портова влада, ІТ-компанії, державні установи, інформаційні організації, криптовалютні фірми та релігійні групи.
Аналіз Microsoft ландшафт глобальних загроз за останній рік, випущений 4 листопада, показали, що кількість кібератак, націлених на критичну інфраструктуру, подвоїлася: з 20% усіх атак на національну державу до 40% усіх атак, які виявили дослідники компанії.
Крім того, їхня тактика змінюється — зокрема, Microsoft зафіксувала зростання використання експлойтів нульового дня.
Численні чинники спричинили посилення загрози національній державі
Не дивно, що Microsoft пояснює сплеск значною мірою атаками підтримуваних Росією груп загроз, пов’язаних із війною країни в Україні та на підтримку цієї війни. Деякі з атак були зосереджені на завданні шкоди українській інфраструктурі, тоді як інші були більше пов’язані зі шпигунством і включали цілі в США та інших країнах-членах НАТО. Дев’яносто відсотків підтримуваних Росією кібератак, які Microsoft виявила за останній рік, були спрямовані на країни НАТО; 48% з них були спрямовані на постачальників ІТ-послуг у цих країнах.
Хоча війна в Україні була основною причиною активності російських угруповань загрози, інші фактори сприяли збільшенню кількості атак угруповань, спонсорованих Китаєм, Північною Кореєю та Іраном. Атаки іранських угруповань, наприклад, посилилися після зміни президента в країні.
Microsoft заявила, що спостерігала, як іранські групи запускали деструктивні атаки зі знищенням диска в Ізраїлі, а також те, що вона назвала операціями зі злому та витоку інформації проти цілей у США та ЄС. Одна атака в Ізраїлі викликала сигнали екстреної ракети в країні, а інша намагалася стерти дані з систем жертви.
Збільшення атак північнокорейських угруповань збіглося зі сплеском ракетних випробувань у країні. Багато атак були спрямовані на крадіжку технологій у аерокосмічних компаній і дослідників.
Тим часом групи в Китаї посилили шпигунство та викрадення даних, щоб підтримати зусилля країни посилити вплив у регіоні, заявила Microsoft. Багато з їхніх цілей включали організації, які мали інформацію, яку Китай вважав стратегічно важливою для досягнення своїх цілей.
Від ланцюга постачання програмного забезпечення до ланцюга постачальників ІТ-послуг
У той період суб’єкти національних держав націлилися на ІТ-компанії сильніше, ніж на інші сектори. ІТ-компанії, такі як постачальники хмарних послуг і постачальники керованих послуг, склали 22% організацій, на які ці групи орієнтувалися цього року. Інші сектори, які сильно підпали під удар, включали жертви більш традиційних аналітичних центрів та неурядових організацій (17%), освіту (14%) та державні установи (10%).
За словами Microsoft, ці атаки були спрямовані на постачальників ІТ-послуг, щоб скомпрометувати сотні організацій одночасно, зламавши одного надійного постачальника. Напад минулого року на Kaseya, який призвів до зрештою розповсюджується програма-вимагач тисячам споживачів, які перебувають на нижній ланці, був першим прикладом.
Цього року було ще кілька інших, у тому числі в січні, коли підтримуваний Іраном актор скомпрометував ізраїльського постачальника хмарних послуг, щоб спробувати проникнути до клієнтів цієї компанії. В іншому випадку ліванська група під назвою Polonium отримала доступ до кількох ізраїльських захисних і правових організацій через їхніх постачальників хмарних послуг.
Зростаючі атаки на ланцюжок постачання ІТ-послуг означають відхід від звичайного фокусу, який групи національних держав приділяли ланцюжку постачання програмного забезпечення, зазначає Microsoft.
Рекомендовані корпорацією Майкрософт заходи для пом’якшення впливу цих загроз включають перегляд і аудит зв’язків між постачальниками послуг на першому та нинішньому рівнях, делегування відповідальних за керування привілейованим доступом і забезпечення найменш привілейованого доступу за потреби. Компанія також рекомендує компаніям переглядати доступ для зв’язків партнерів, які незнайомі або не перевірені, увімкнути журналювання, переглянути всі дії автентифікації для VPN та інфраструктури віддаленого доступу, а також увімкнути MFA для всіх облікових записів.
Зростання в Zero-Days
Одна помітна тенденція, яку спостерігає Microsoft, полягає в тому, що групи національних держав витрачають значні ресурси, щоб уникнути засобів захисту, які організації запровадили для захисту від складних загроз.
«Як і корпоративні організації, зловмисники почали використовувати досягнення в автоматизації, хмарній інфраструктурі та технологіях віддаленого доступу, щоб поширити свої атаки на більш широкий набір цілей», — заявили в Microsoft.
Коригування включали нові способи швидкого використання невиправлених уразливостей, розширені методи зламу корпорацій і збільшення використання законних інструментів і програмного забезпечення з відкритим кодом для приховування зловмисної діяльності.
Одним із найбільш тривожних проявів цієї тенденції є все більш широке використання суб’єктами національних держав експлойтів уразливості нульового дня в ланцюжку атак. Дослідження Microsoft показали, що лише з січня по червень цього року було випущено патчі для 41 уразливості нульового дня з липня 2021 року по червень 2022 року.
За даними Microsoft, останнім часом зловмисники, які підтримуються Китаєм, були особливо вправними у пошуку та виявленні експлойтів нульового дня. Компанія пояснює цю тенденцію новою постановою Китаю, яка набула чинності у вересні 2021 року; він вимагає від організацій у країні повідомляти про будь-які виявлені ними вразливості державним органам Китаю для перевірки, перш ніж розголошувати інформацію комусь іншому.
Приклади загроз нульового дня, які підпадають під цю категорію, включають: CVE-2021-35211, недолік віддаленого виконання коду в програмному забезпеченні SolarWinds Serv-U, який широко використовувався до виправлення в липні 2021 року; CVE-2021-40539, a критична вразливість обходу автентифікації у Zoho ManageEngine ADSelfService Plus, виправлено у вересні минулого року; і CVE-2022-26134, вразливість в Робочі простори Atlassian Confluence яку китайський загрозливий актор активно використовував до того, як у червні з’явився патч.
«Це нове регулювання може дозволити елементам китайського уряду накопичувати зареєстровані вразливості для створення зброї», — попередила Microsoft, додавши, що це слід розглядати як важливий крок у використанні експлойтів нульового дня як пріоритет держави.
.
