В ноябре президент Украины сообщил, что ИТ-защита страны отразила более 1,300 российских кибератак, включая атаки на инфраструктуру спутниковой связи.
Натиск кибератак подчеркивает один из сдвигов в атаках продвинутых постоянных угроз (APT), наблюдавшихся в прошлом году: в 2022 году обострилась геополитическая напряженность, и вместе с ней кибероперации стали основной стратегией для национальных правительств. В то время как Россия и другие страны использовали кибератаки для поддержки военных действий в прошлом, текущая война представляет собой самую устойчивую кибероперацию на сегодняшний день, и она, несомненно, будет продолжаться в следующем году, считают эксперты.
Военный конфликт присоединится к киберпреступности в качестве движущей силы групп APT в наступающем году, заявил Джон Ламберт, корпоративный вице-президент и выдающийся инженер Microsoft Threat Intelligence Center, в отчете компании Digital Defense за 2022 год, опубликованном в прошлом месяце.
«Конфликт в Украине стал слишком ярким примером того, как кибератаки развиваются, чтобы повлиять на мир параллельно с военным конфликтом на земле», — сказал он. «Энергосистемы, телекоммуникационные системы, средства массовой информации и другая важная инфраструктура стали объектами как физических атак, так и кибератак».
Хотя наиболее заметным изменением, произошедшим за последний год, является более широкое использование APT-атак со стороны России, APT-атаки развиваются. Все больше компаний переходят на критически важную инфраструктуру, внедряя инструменты двойного назначения и методы «живения за пределами земли», а также точно определяя цепочку поставок программного обеспечения, чтобы получить доступ к целевым компаниям.
Киберпреступники используют все более изощренные инструменты, но методы APT, как правило, приписываются операциям национального государства, а это означает, что компаниям необходимо лучше знать методы, используемые продвинутыми субъектами, и то, как они могут быть мотивированы геополитическими проблемами, говорит Адам Мейерс, старший вице-президент. президент разведывательной службы кибербезопасности CrowdStrike.
«У вас нет единой угрозы — она меняется в зависимости от вертикали бизнеса и географического местоположения, — говорит он. «У вас — и это было нашей мантрой на протяжении многих лет — у вас нет проблемы с вредоносным ПО, у вас есть проблема с злоумышленником, и если вы подумаете о том, кто эти злоумышленники, что им нужно и как они действуют, то вы быть в гораздо лучшем положении, чтобы защититься от них».
Критически важная инфраструктура, спутники становятся все более уязвимыми
В 2021 году атака на дистрибьютора нефти и газа Colonial Pipeline показала, какое влияние слабость кибербезопасности может оказать на экономику США. Точно так же в этом году атака на систему спутниковой связи Viasat — вероятно, со стороны России — показало, что субъекты APT-угроз по-прежнему сосредоточены на нарушении работы критически важной инфраструктуры с помощью кибератак. Эта тенденция набрала обороты за последний год, когда Microsoft предупредила, что количество национальных уведомлений (NSN), которые компания выпустила в качестве предупреждений для клиентов, более чем в два раза, при этом 40% атак нацелены на критически важную инфраструктуру по сравнению с 20% в предыдущем году.
Критически важная инфраструктура является целью не только акторов национального государства. Киберпреступники, сосредоточенные на программах-вымогателях, также нацелены на компании критической инфраструктуры, а также реализуют стратегию взлома и утечки, Kaspersky говорится в его недавно опубликованных прогнозах APT.
«Мы считаем, что в 2023 году мы увидим рекордное количество подрывных и разрушительных кибератак, затрагивающих правительство, промышленность и критически важную гражданскую инфраструктуру — например, энергосистемы или общественное вещание», — говорит Дэвид Эмм, главный исследователь «Лаборатории Касперского» в области безопасности. «В этом году стало ясно, насколько уязвимой может быть физическая инфраструктура, поэтому вполне возможно, что мы можем увидеть подводные кабели и оптоволоконные распределительные узлы».
Не только кобальтовый удар
Cobalt Strike стал популярным инструментом среди APT-групп, потому что он предоставляет злоумышленникам — а при использовании в своих законных целях красным командам и тестерам на проникновение — возможности после эксплуатации, скрытые каналы связи и возможность совместной работы. Инструмент «красной команды» «появлялся во множестве кампаний, от спонсируемых государством APT до политически мотивированных групп угроз», — говорит Леандро Веласко, исследователь безопасности из фирмы по кибербезопасности Trellix.
Тем не менее, поскольку защитники все больше внимания уделяют обнаружению как Cobalt Strike, так и популярного Metasploit Framework, злоумышленники перешли к альтернативам, включая коммерческий инструмент моделирования атак Brute Ratel C4 и инструмент с открытым исходным кодом Sliver.
«Brute Ratel C4… особенно опасен, поскольку он был разработан таким образом, чтобы избежать обнаружения антивирусом и защитой EDR», — говорит Эмм из «Лаборатории Касперского». Другие многообещающие инструменты включают Manjusaka, у которого есть импланты, написанные на Rust как для Windows, так и для Linux, и Ninja, пакет удаленной эксплуатации и контроля для пост-эксплуатации, говорит он.
Личность под атакой
После пандемии коронавируса значение удаленной работы и облачных сервисов для поддержки такой работы возросло, что привело к тому, что злоумышленники стали нацеливаться на эти сервисы с помощью атак на идентичность. Microsoft, например, каждую секунду сталкивалась с 921 атакой, что на 74% больше по сравнению с прошлым годом. компания заявила в своем отчете.
Фактически, идентификация стала критически важным компонентом для защиты инфраструктуры и предприятия, и в то же время стала главной целью APT-групп. По словам Мейерса из CrowdStrike, каждое взлом и взлом, расследуемые CrowdStrike в прошлом году, включали компонент идентификации.
«Раньше мы говорили: доверяй, но проверяй, но новая мантра проверьте, а затем доверяйте," он говорит. «Эти злоумышленники начали нацеливаться на эту мягкую изнанку личности… которая является сложной частью системы».
Цепочки поставок ИТ под атакой
Атака на SolarWinds и широко используемая уязвимость в Log4J2 продемонстрировали возможности, которые уязвимости в поставке программного обеспечения открывают для злоумышленников, и компании должны ожидать, что APT-группы создадут свои собственные уязвимости посредством атак на цепочку поставок программного обеспечения.
Хотя крупных событий еще не было, злоумышленники нацелились на экосистемы Python с помощью атак с путаницей зависимостей против репозиториев с открытым исходным кодом и фишинговые атаки, нацеленные на разработчиков Python. В целом количество атак на разработчиков и компании увеличилось на более 650% за последний год.
Кроме того, участники APT находят слабые места в отношениях между поставщиками и поставщиками и используют их. Например, в январе группа DEV-0198, связанная с Ираном, скомпрометировала израильского облачного провайдера, используя скомпрометированные учетные данные от сторонней логистической компании, согласно отчету Microsoft.
«Прошлый год деятельности демонстрирует, что субъекты угроз… лучше узнают ландшафт доверительных отношений организации, чем сами организации», — говорится в отчете. «Эта возросшая угроза подчеркивает необходимость того, чтобы организации понимали и укрепляли границы и точки входа в свои цифровые владения».
По словам Веласко из Trellix, чтобы укрепить свою защиту от APT-групп и сложных атак, компаниям следует регулярно проверять свою гигиену кибербезопасности, разрабатывать и внедрять стратегии реагирования на инциденты, а также интегрировать в свои процессы действенные данные об угрозах. По его словам, чтобы затруднить атаки на личные данные, многофакторная аутентификация должна быть рутинной.
«В 2023 году простого планирования безопасности недостаточно для сдерживания или предотвращения злоумышленников, — говорит Веласко. «Системные защитники должны применять более активный защитный подход».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/advanced-cyberattackers-disruptive-hits-new-technologies
