Za większością przypadków wykorzystania typu zero-day stoją cyberszpiedzy, a nie cyberprzestępcy


Z analizy opracowanej wspólnie przez podmioty odpowiedzialne za zagrożenia działające na polecenie zwolenników rządów znacznie częściej stoją za wykorzystaniem nowo ujawnionych luk typu zero-day niż cyberprzestępcy motywowani finansowo. Grupa ds. analizy zagrożeń Google (TAG) i Mandiant Google Cloud.

TAG i Mandiant zaobserwowały 97 dni zerowych eksploatowanych na wolności w 2023 r., co oznacza wzrost z 62 w 2022 r., ale mniej niż 106 zaobserwowanych w 2021 r.

Analitycy stwierdzili, że z 58 dni zerowych, dla których mogli przypisać motywacje ugrupowania zagrażającego, 48 można przypisać wspieranym przez rząd grupom zaawansowanego trwałego zagrożenia (APT) prowadzącym działalność szpiegowską, a tylko 10 można przypisać cyberprzestępcom motywowanym finansowo , zazwyczaj gangi ransomware.

Wśród czterech głównych państwowych operacji hakerskich postrzeganych jako wrogie Wielkiej Brytanii, USA i innym krajom zachodnim – Chinom, Iranowi, Korei Północnej i Rosji – prym wiodą chińscy operatorzy, wykorzystując w zeszłym roku prawie dwukrotnie większą liczbę dni zerowych niż zrobili to w 2022 r. i odpowiadają za nieco ponad 40% całego wyzysku, jaki można przypisać.

Ostrzeżenie Google dotyczące chińskiej aktywności cybernetycznej pojawia się zaledwie kilka dni po wydaniu przez rządy Wielkiej Brytanii i Ameryki nałożyło sankcje na wiele podmiotów i wydał nowe ostrzeżenia w związku z atakami na polityków i przedsiębiorstwa przez chińskich hakerów zamierzających ukraść tajemnice państwowe i własność intelektualną.

Z jego ustaleń wynika, że ​​przy ustalaniu priorytetów reakcji na ujawnienie podatności szczególną uwagę powinny zwrócić organizacje uznane za bardziej narażone na ryzyko złośliwej ingerencji państwa, takie jak organy rządowe, uniwersytety i instytucje badawcze oraz operatorzy krajowej infrastruktury krytycznej (CNI).

Reklama

„Podobnie jak w poprzednich dwóch latach, przypisaliśmy ChRL większą liczbę wspieranych przez rząd przypadków wykorzystania luk dnia zerowego [People’s Republic of China] wspieranych przez rząd napastników niż jakiekolwiek inne państwo” – napisali autorzy raportu, Maddie Stone, Jared Semrau i James Sadowski.

„Firma Mandiant obszernie informowała o kilku szeroko zakrojonych kampaniach wykorzystujących luki, w tym o wykorzystaniu przez UNC4841 dwóch luk w zabezpieczeniach bramy poczty elektronicznej Barracuda – CVE-2023-2868 I CVE-2023-7102.

„Aktor wykazał szczególne zainteresowanie informacjami mającymi znaczenie polityczne lub strategiczne dla rządu ChRL, skierowanymi do rządów i organizacji na całym świecie z branż o wysokim priorytecie” – stwierdzili. „Ponadto zaobserwowaliśmy szczególne zainteresowanie domenami e-mail i użytkownikami z Ministerstw Spraw Zagranicznych krajów członkowskich ASEAN, a także osobami z zagranicznych biur handlowych i akademickich organizacji badawczych na Tajwanie i w Hongkongu”.

Uwzględniono inne dni zerowe, które w ostatnich miesiącach wzbudziły szczególne zainteresowanie chińskich cyberszpiegów CVE-2022-41328 w Fortinet FortiOS, który został powiązany z luką umożliwiającą obejście uwierzytelnienia VMware, CVE-2023-20867, przez grupę śledzoną przez Mandiant jako UNC3886. UNC3886 również intensywnie wykorzystywał inny problem VMware, CVE-2023-34048jako wstęp do wykorzystania luki w obejściu uwierzytelniania.

Stone, Semrau i Sadowski zauważyli, że w obu przypadkach wykorzystanie tych dwóch łańcuchów luk miało miejsce znacznie wcześniej niż 12 miesięcy – a w drugim przypadku do 2021 r. – co pokazuje, jak chińscy ugrupowania cyberprzestępcze są bardzo biegli zarówno w odkrywaniu, jak i wykorzystywaniu nowych dni zerowych. i skutecznie utrzymując je w tajemnicy przez znaczny okres czasu.

Skupienie się na Chinach nie powinno odwracać uwagi od działań rosyjskiego i północnokoreańskiego cyberszpiegostwa – co nie było bez znaczenia – a rok 2023 obfitował także w pojawienie się białoruskiej grupy APT, znany jako Zimowa Vivern. Po raz pierwszy zaobserwowano białoruskiego aktora korzystającego z dni zerowych, choć biorąc pod uwagę, że Białoruś jest w zasadzie państwem wasalnym Rosji, trudno określić, w jakim stopniu Winter Vivern działa niezależnie.

Jeśli chodzi o cyberprzestępczość motywowaną finansowo, która odpowiadała za 17% wykorzystania typu zero-day – mniej niż w 2022 r. – jedna grupa, FIN11, odpowiadała za prawie jedną trzecią przypadków wykorzystania o charakterze finansowym odnotowanego w zeszłym roku, po tym jak w ciągu ponad kilka lat.

FIN11 jest powiązany z wieloma płodnymi operacjami oprogramowania ransomware, zwłaszcza Clop/Cl0p i pokrewni, poprzednicy operatorzy, ale inne gangi, w tym Akira, LockBit i Nokoyawa, również są – lub były – mocno zaangażowane w eksploatację typu zero-day.

„Biorąc pod uwagę ogromne zasoby zainwestowane w identyfikację i wykorzystywanie luk typu zero-day, ugrupowania cyberprzestępcze motywowane finansowo najprawdopodobniej priorytetowo traktują wykorzystanie luk zapewniających skuteczny dostęp do docelowych organizacji” – napisali Stone, Semrau i Sadowski.

„FIN11 skupił się głównie na aplikacjach do przesyłania plików, które zapewniają wydajny i skuteczny dostęp do wrażliwych danych ofiar bez konieczności bocznego przemieszczania sieci, co usprawnia etapy eksfiltracji i monetyzacji” – stwierdzili. „W rezultacie duże przychody generowane z masowych wymuszeń lub kampanii związanych z oprogramowaniem ransomware prawdopodobnie napędzają dodatkowe inwestycje tych grup w nowe luki w zabezpieczeniach”.

Komercyjne operacje spyware

Jedną z największych historii cybernetycznych ostatnich trzech lat było ujawnienie działalności komercyjnych dostawców oprogramowania szpiegującego (CSV), legalne firmy, które opracowują i sprzedają rządom narzędzia do nadzoru cybernetycznego.

Najbardziej godnym uwagi CSV, który pojawił się w latach 20. XX wieku, jest zhańbiona obecnie Izraelska Grupa NSOktórego celem są urządzenia Apple z systemem operacyjnym iOS i którego oprogramowanie było powiązane z morderstwem saudyjskiego dziennikarza Jamala Khashoggi, a także wieloma innymi niesmacznymi działaniami różnych rządów, w tym zachodnich.

Jako zwolennik konkurencyjnego mobilnego systemu operacyjnego Android firma Google jest szczególnie zainteresowana przeciwstawieniem się CSV, a dane TAG/Mandiant wykazały, że podobnie jak wspierane przez państwo APT, CSV ostatecznie odpowiadały za ponad 40% działań związanych z eksploatacją typu zero-day w 2023, a ponad 75% wszystkich działań jest ukierunkowanych na jej produkty i urządzenia z ekosystemem Android, a 55% na iOS i Safari.

„Branża komercyjnego nadzoru pojawiła się, aby wypełnić lukratywną niszę rynkową: sprzedawać najnowocześniejsze technologie rządom na całym świecie, które wykorzystują luki w zabezpieczeniach urządzeń i aplikacji konsumenckich w celu potajemnego instalowania oprogramowania szpiegującego na urządzeniach indywidualnych” – napisali autorzy raportu. „W ten sposób CSV umożliwiają rozprzestrzenianie się niebezpiecznych narzędzi hakerskich.

„CSV działają w oparciu o głęboką wiedzę techniczną, aby oferować narzędzia „pay-to-play”, które łączą łańcuch exploitów zaprojektowany w celu ominięcia zabezpieczeń wybranego urządzenia, oprogramowania szpiegującego i niezbędnej infrastruktury, a wszystko po to, aby zebrać pożądane dane z urządzenia danej osoby ,” oni powiedzieli.

„Klienci rządowi, którzy kupują te narzędzia, chcą gromadzić różnego rodzaju dane na temat swoich celów o największej wartości, w tym hasła, wiadomości SMS, e-maile, lokalizację, rozmowy telefoniczne, a nawet nagrywać dźwięk i wideo. Aby zebrać te dane, CSV często tworzą oprogramowanie szpiegowskie atakujące urządzenia mobilne. Warto zauważyć, że nie mogliśmy przypisać żadnych dni zerowych systemu Windows do plików CSV”.

Zero dni w 2024 roku

Patrząc na nadchodzące miesiące, zespół TAG/Mandiant ocenia, że ​​tempo odkrywania i wykorzystywania w dniu zerowym pozostanie podwyższone w porównaniu z poziomem sprzed epidemii Covid, ale niezależnie od tego, ilu się pojawi, jasne jest, że branża bezpieczeństwa zbiorowo wywiera na to wpływ, m.in. dostawcy platform użytkowników – wśród nich Apple, Google i Microsoft – poczynili znaczące inwestycje, które wydają się mieć wpływ na rodzaje i liczbę dni zerowych „dostępnych” do wykorzystania.

Zauważyli jednak, że może to ostatecznie po prostu doprowadzić do tego, że ugrupowania zagrażające zarzucą większą sieć i będą skupiać na sobie więcej produktów i usług, aby zwrócić na siebie uwagę – w szczególności tych wytwarzanych przez firmy zajmujące się bezpieczeństwem cybernetycznym. Najnowsze trendy, w tym ataki zorganizowane przy użyciu luk w zabezpieczeniach firm Barracuda, Cisco, Ivanti i Trend Micro, zdają się pokazywać, że tak się już dzieje. Naukowcy zaobserwowali także wzrost wykorzystania dni zerowych w komponentach pobranych z bibliotek stron trzecich: kolejny dowód na to coraz szersze zainteresowanie.

„Przewidujemy, że wzrost, jaki obserwowaliśmy w ciągu ostatnich kilku lat, prawdopodobnie będzie się utrzymywał, ponieważ dostawcy w dalszym ciągu utrudniają dostęp do innych możliwości kompromisu, a podmioty zagrażające skupiają coraz większe zasoby na exploitach typu zero-day” – stwierdzili. „Szersze rozprzestrzenianie się technologii zwiększyło również prawdopodobieństwo wykorzystania typu zero-day: mówiąc prościej, więcej technologii oferuje większe możliwości wykorzystania.

„Chociaż istnieją powody do optymizmu, obowiązkiem całej branży jest dalsze wyciąganie wniosków i robienie rzeczy, których potrzebujemy, aby odnieść sukces: dzielenie się wyciągniętymi wnioskami na temat tego, jak wprowadzać poprawki mądrzej, a nie trudniej, ujawniać działania, które może mieć wpływ zarówno na użytkowników, jak i przedsiębiorstwa, a także być przygotowanym i wystarczająco elastycznym, aby działać szybko, aby skrócić żywotność i rentowność tych exploitów”.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Emulator iPhone’a „iGBA” został usunięty z App Store, ale nie jesteśmy pewni dlaczego

W weekend pierwszy emulator gier na konsolę przenośną trafić do App Storepo złagodzeniu wytycznych dotyczących recenzji App Store tydzień wcześniej. Przewiń do przodu o...

MSI prezentuje serwery GPU dla branży mediów i rozrywki na targach NAB Show 2024

MSI, wiodący światowy dostawca serwerów, zaprezentuje swoje najnowsze serwery GPU wyposażone w procesory AMD podczas targów NAB Show 2024 na stoisku nr SL9137...

KingSpec przedstawia 2,5-calowe dyski SSD Yansen dla przedsiębiorstw

Na targach Embedded World 2024 w Norymberdze w Niemczech firma KingSpec (znana również jako YANSEN) zaprezentowała swój 2,5-calowy dysk SSD specjalizujący się w...
Advertisment