Các giám đốc điều hành an ninh doanh nghiệp nhận thấy các nhóm không gian mạng do quốc gia hậu thuẫn là một mối đe dọa xa có thể muốn xem xét lại giả định đó và vội vàng.
Một số sự kiện địa chính trị gần đây trên khắp thế giới trong năm qua đã thúc đẩy sự gia tăng mạnh mẽ hoạt động quốc gia-nhà nước chống lại các mục tiêu quan trọng, chẳng hạn như chính quyền cảng, công ty CNTT, cơ quan chính phủ, tổ chức tin tức, công ty tiền điện tử và các nhóm tôn giáo.
Một phân tích của Microsoft về bối cảnh mối đe dọa toàn cầu so với năm ngoái, phát hành ngày 4 tháng XNUMX, cho thấy các cuộc tấn công mạng nhắm vào cơ sở hạ tầng quan trọng đã tăng gấp đôi, từ chiếm 20% tổng số cuộc tấn công cấp quốc gia lên 40% tổng số cuộc tấn công mà các nhà nghiên cứu của công ty đã phát hiện.
Hơn nữa, chiến thuật của họ đang thay đổi - đáng chú ý nhất là Microsoft đã ghi nhận mức tăng trong việc sử dụng khai thác zero-day.
Nhiều yếu tố làm gia tăng hoạt động đe dọa giữa các quốc gia-quốc gia
Không có gì đáng ngạc nhiên, Microsoft cho rằng phần lớn sự gia tăng đột biến là do các cuộc tấn công của các nhóm đe dọa được Nga hậu thuẫn có liên quan đến và hỗ trợ cuộc chiến của nước này ở Ukraine. Một số cuộc tấn công tập trung vào việc phá hủy cơ sở hạ tầng của Ukraine, trong khi những cuộc tấn công khác liên quan đến gián điệp hơn và bao gồm các mục tiêu ở Mỹ và các nước thành viên NATO khác. 48% các cuộc tấn công mạng do Nga hậu thuẫn mà Microsoft phát hiện trong năm qua nhắm vào các nước NATO; XNUMX% trong số đó hướng tới các nhà cung cấp dịch vụ CNTT ở các quốc gia này.
Trong khi cuộc chiến ở Ukraine thúc đẩy phần lớn hoạt động của các nhóm đe dọa của Nga, các yếu tố khác đã thúc đẩy sự gia tăng các cuộc tấn công của các nhóm do Trung Quốc, Triều Tiên và Iran bảo trợ. Ví dụ, các cuộc tấn công của các nhóm Iran đã leo thang sau sự thay đổi của tổng thống trong nước.
Microsoft cho biết họ đã quan sát thấy các nhóm Iran tiến hành các cuộc tấn công phá hoại, xóa sạch ổ đĩa ở Israel cũng như những gì họ mô tả là các hoạt động hack và rò rỉ nhằm vào các mục tiêu ở Mỹ và EU. Một cuộc tấn công ở Israel đã kích hoạt tín hiệu tên lửa khẩn cấp ở nước này trong khi một cuộc tấn công khác tìm cách xóa dữ liệu khỏi hệ thống của nạn nhân.
Sự gia tăng các cuộc tấn công của các nhóm Triều Tiên diễn ra đồng thời với việc nước này tăng cường thử nghiệm tên lửa. Nhiều cuộc tấn công tập trung vào việc đánh cắp công nghệ từ các công ty hàng không vũ trụ và các nhà nghiên cứu.
Trong khi đó, các nhóm ở Trung Quốc đã gia tăng các cuộc tấn công gián điệp và đánh cắp dữ liệu để hỗ trợ nỗ lực của nước này nhằm gây thêm ảnh hưởng trong khu vực, Microsoft cho biết. Nhiều mục tiêu của họ bao gồm các tổ chức được giữ bí mật thông tin mà Trung Quốc coi là có tầm quan trọng chiến lược để đạt được mục tiêu của mình.
Từ Chuỗi cung ứng phần mềm đến Chuỗi nhà cung cấp dịch vụ CNTT
Các tổ chức quốc doanh nhắm mục tiêu nhiều hơn vào các công ty CNTT so với các lĩnh vực khác trong giai đoạn này. Các công ty CNTT, chẳng hạn như các nhà cung cấp dịch vụ đám mây và các nhà cung cấp dịch vụ được quản lý, chiếm 22% trong số các tổ chức mà các nhóm này nhắm mục tiêu trong năm nay. Các lĩnh vực được nhắm mục tiêu nhiều khác bao gồm nhóm nghiên cứu truyền thống hơn và nạn nhân của tổ chức phi chính phủ (17%), giáo dục (14%) và các cơ quan chính phủ (10%).
Khi nhắm mục tiêu vào các nhà cung cấp dịch vụ CNTT, các cuộc tấn công được thiết kế để xâm phạm hàng trăm tổ chức cùng một lúc bằng cách xâm phạm một nhà cung cấp đáng tin cậy, Microsoft cho biết. Cuộc tấn công năm ngoái vào Kaseya, dẫn đến ransomware cuối cùng đã được phân phối cho hàng nghìn khách hàng hạ lưu, là một ví dụ ban đầu.
Có một số vụ khác trong năm nay, bao gồm một vụ vào tháng Giêng, trong đó một diễn viên được Iran hậu thuẫn đã xâm nhập vào một nhà cung cấp dịch vụ đám mây của Israel để cố gắng xâm nhập vào các khách hàng hạ nguồn của công ty đó. Trong một nhóm khác, một nhóm có trụ sở tại Lebanon có tên là Polonium đã giành được quyền truy cập vào một số tổ chức quốc phòng và pháp lý của Israel thông qua các nhà cung cấp dịch vụ đám mây của họ.
Microsoft lưu ý rằng các cuộc tấn công ngày càng tăng vào chuỗi cung ứng dịch vụ CNTT thể hiện sự chuyển hướng khỏi trọng tâm thông thường mà các nhóm quốc gia - nhà nước có vào chuỗi cung ứng phần mềm.
Các biện pháp được khuyến nghị của Microsoft nhằm giảm thiểu khả năng tiếp xúc với các mối đe dọa này bao gồm xem xét và kiểm tra các mối quan hệ của nhà cung cấp dịch vụ ngược dòng và hạ nguồn, ủy quyền chịu trách nhiệm quản lý quyền truy cập đặc quyền và thực thi quyền truy cập có đặc quyền tối thiểu nếu cần. Công ty cũng khuyến nghị các công ty nên xem xét quyền truy cập đối với các mối quan hệ đối tác không quen thuộc hoặc chưa được kiểm tra, bật ghi nhật ký, xem xét tất cả hoạt động xác thực cho VPN và cơ sở hạ tầng truy cập từ xa, đồng thời bật MFA cho tất cả các tài khoản.
Một sự gia tăng trong Zero-Days
Một xu hướng đáng chú ý mà Microsoft quan sát được là các nhóm quốc gia-nhà nước đang chi tiêu nguồn lực đáng kể để trốn tránh các biện pháp bảo vệ an ninh mà các tổ chức đã thực hiện để chống lại các mối đe dọa tinh vi.
Microsoft cho biết: “Giống như các tổ chức doanh nghiệp, kẻ thù bắt đầu sử dụng những tiến bộ trong tự động hóa, cơ sở hạ tầng đám mây và công nghệ truy cập từ xa để mở rộng các cuộc tấn công của chúng nhằm vào nhiều mục tiêu hơn”.
Các điều chỉnh bao gồm các cách thức mới để nhanh chóng khai thác các lỗ hổng chưa được vá, mở rộng các kỹ thuật để xâm phạm các tập đoàn và tăng cường sử dụng các công cụ hợp pháp và phần mềm nguồn mở để ngăn chặn hoạt động độc hại.
Một trong những biểu hiện đáng lo ngại nhất của xu hướng này là việc các chủ thể quốc gia ngày càng sử dụng nhiều cách khai thác lỗ hổng zero-day trong chuỗi tấn công của họ. Nghiên cứu của Microsoft cho thấy chỉ từ tháng 41 đến tháng 2021 năm nay, các bản vá cho 2022 lỗ hổng zero-day đã được phát hành trong khoảng thời gian từ tháng XNUMX năm XNUMX đến tháng XNUMX năm XNUMX.
Theo Microsoft, các tác nhân đe dọa do Trung Quốc hậu thuẫn gần đây đặc biệt thành thạo trong việc tìm kiếm và phát hiện các hành vi khai thác zero-day gần đây. Công ty cho rằng xu hướng này là do một quy định mới của Trung Quốc có hiệu lực vào tháng 2021 năm XNUMX; nó yêu cầu các tổ chức trong nước báo cáo bất kỳ lỗ hổng nào mà họ phát hiện ra cho cơ quan chính phủ Trung Quốc để xem xét trước khi tiết lộ thông tin với bất kỳ ai khác.
Ví dụ về các mối đe dọa zero-day thuộc loại này bao gồm CVE-2021-35211, một lỗ hổng thực thi mã từ xa trong phần mềm SolarWinds Serv-U đã bị khai thác rộng rãi trước khi được vá vào tháng 2021 năm XNUMX; CVE-2021-40539, a lỗ hổng xác thực quan trọng bỏ qua trong Zoho ManageEngine ADSelfService Plus, được vá vào tháng XNUMX năm ngoái; và CVE-2022-26134, một lỗ hổng trong Không gian làm việc hợp lưu Atlassian mà một kẻ đe dọa Trung Quốc đang tích cực khai thác trước khi có bản vá lỗi vào tháng Sáu.
Microsoft cảnh báo: “Quy định mới này có thể cho phép các thành phần trong chính phủ Trung Quốc dự trữ các lỗ hổng được báo cáo nhằm vũ khí hóa chúng”, đồng thời cho biết thêm rằng đây nên được coi là một bước quan trọng trong việc sử dụng các hoạt động khai thác zero-day như một ưu tiên của nhà nước.
.
