Államilag szponzorált hackertámadások: Mik azok a továbbfejlesztett tartós fenyegetések, és kit céloztak 2022-ben?
2022-ben jelentősen megnőtt a kormány által támogatott kibertámadások száma. E támadások közül sokat az úgynevezett Advanced Persistent Threats vagy APT-k hajtottak végre. Ezek a csoportok kormányokkal dolgoznak, és profitszerzési célú tiltott tevékenységeket is végezhetnek.
2022-ben külföldi entitások támadtak meg más külföldi entitásokat DDoS-támadásokkal, kémkedésekkel, ransomware-támadásokkal és kritikus infrastruktúrák elleni támadásokkal. Ezek a támadások jelentős megszakításokat okoztak az ellátási láncban, több milliárd dolláros kárt okoztak, és kémműveletek részeként rengeteg információt gyűjtöttek össze.
Figyelembe véve, hogy 2023-ban mivel nézhet szembe a világ, 5 pusztító APT-támadás történt 2022-ben:
Table of Contents
A kínai APT 41/Double Dragon 20 millió dollár COVID segélyalapot lop el
2022-ben az egyik legmegrázóbb APT-támadást az APT 41 vagy Double Dragon néven ismert csoport követte el. Ennek a csoportnak körülbelül 20 millió dollár értékű COVID segélyalapot sikerült ellopnia több ázsiai és afrikai országból. A támadás kifejezetten a bankokat, kormányzati szerveket és más szervezeteket célozta, amelyek segélypénzeket osztottak szét a járvány idején. Feltételezések szerint az ellopott pénzt kriptovaluta pénztárcákon keresztül mosták ki, ami megnehezítette a nyomon követést és a visszaszerzést.
A titkosszolgálat közleménye jelezte, hogy az APT41, amely több mint egy évtizede aktív, államilag támogatott kínai kiberfenyegető csoportnak számít, amely rendkívül jártas kémküldetések és személyes haszonszerzés céljából elkövetett pénzügyi bűncselekmények végrehajtásában. Kiberszakértők, valamint számos ügynökség jelenlegi és korábbi tisztviselői az APT41-et a kínai kormány javát szolgáló kiberkémkedési műveletek „munkalovaként” azonosították. Ahogy 2020-ban a COVID segélyalapok lehetőségként jelentek meg, ez a fenyegetés aktuálisabbá vált, mint valaha.
Az iráni burjánzó cica/APT DEV-0270 kompromittálja az Egyesült Államok érdemrendszereinek védelmi testületét
Novemberben az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és a Szövetségi Nyomozó Iroda (FBI) közös kiberbiztonsági tanácsot adott ki az iráni fejlett tartós fenyegetésekről (APT). A Rampant Kitten nevű fenyegetés szereplője februárban egy jól ismert Log4Shell sebezhetőséget kihasználva behatolt egy VMware Horizon szerverre.
Ez az Egyesült Államok Merit Systems Protection Boardjához tartozó szövetségi hálózat kompromisszumához vezetett. Válaszul a CISA figyelmeztetett minden olyan szervezetet, amely elmulasztotta alkalmazni a Log4Shell-javításokat, a lehetséges kompromittáló jelzésektől. A Washington Post az érintett ügynökséget a US Merit Systems Protection Board néven azonosította. Az ilyen típusú támadások rávilágítanak arra, hogy folyamatos éberségre és proaktív erőfeszítésekre van szükség a vállalkozások és a kormányzat részéről a kritikus infrastruktúra védelme érdekében.
Az észak-koreai Lazarus Group/APT38 célpont kriptovalutája
Áprilisban a Szövetségi Nyomozó Iroda (FBI), a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) és az Egyesült Államok Pénzügyminisztériuma (Treasury) közös kiberbiztonsági tanácsa (CSA) figyelmeztetett az északi kriptovaluta-lopásokhoz kapcsolódó kiberfenyegetésre. A koreai állam által támogatott fejlett tartós fenyegetés (APT) csoport, a Lazarus Group, az APT38, a BlueNoroff és a Stardust Chollima.
Legalább 2020 óta ez a csoport a blokklánc technológia és a kriptovaluta ipar szervezeteit célozza meg, mint például a kriptovaluta tőzsdék, a DeFi protokollok, a játék-hoz-kereső kriptovaluta videojátékok, a kriptovalutába befektető kockázati tőkealapok vagy a nagy mennyiségű digitális valutával rendelkező magánszemélyek. vagy értékes NFT-k.
A támadók különféle kommunikációs platformokon keresztül szociális manipulációt alkalmaztak, hogy rávegyék az áldozatokat trójai kriptovaluta alkalmazások letöltésére. Ez lehetővé teszi számukra, hogy hozzáférjenek az áldozat számítógépéhez, rosszindulatú programokat terjeszthessenek, és privát kulcsokat lopjanak el, vagy más biztonsági réseket kihasználva csalárd blokklánc-tranzakciókat kezdeményezzenek.
Az iráni APT MuddyWater/APT 34 az állami/magánszektort célozza meg Ázsiában, Afrikában, Európában és Észak-Amerikában
2022 áprilisában a MuddyWater/APT 34 iráni Advanced Persistent Threat csoport kormány által támogatott kibertámadásai számos kormányzati és magánszektorbeli szervezet ellen irányultak Ázsiában, Afrikában, Európában és Észak-Amerikában, az iráni hírszerzési és biztonsági minisztérium részeként. (MOIS).
Ezt követően 2020 szeptemberében az Egyesült Államok szövetségi kormánya szankcionálta az iráni kormányt a kiberbűnözési tevékenységek támogatása miatt, amelyeket állításuk szerint számos Advanced Persistent Threat (APT) csoporton keresztül hajtanak végre.
Konkrétan, az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonellenőrzési Hivatala (OFAC) legalább 2007 óta az iráni hírszerzési és biztonsági minisztériumot (MOIS) jelölte ki, mint „az Egyesült Államok és szövetségesei elleni kiberaktivitású tevékenységeket”.
Az orosz APT színészek a védelmi vállalkozókat veszik célba
Legalább 2020 januárjától 2022 februárjáig az Egyesült Államok Szövetségi Nyomozó Iroda (FBI), a Nemzetbiztonsági Ügynökség (NSA) és a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) az Egyesült Államok elleni kibertámadások rendszeres mintáját azonosította. az orosz államilag támogatott szereplőktől származó, jóváhagyott védelmi vállalkozók (CDC-k).
Ezek a támadások olyan általános, de hatékony taktikákat alkalmaztak, mint például az adathalászat, a hitelesítő adatok begyűjtése, a nyers erő/jelszó kiszórásos technikák, valamint a gyengén védett fiókok és hálózatok ismert sebezhetőségeinek kihasználása. A támadók olyan Microsoft 365 (M365) környezeteket is célba vettek, amelyek állandó hitelesítő adatait és rosszindulatú programokat használtak az adatok kiszűrésére.
A fenti támadások jelentős fennakadásokat és több milliárd dolláros kárt okoztak világszerte. Ezeket geopolitikai okokból és pénzbeli haszonszerzés céljából egyaránt végrehajtották. Nyilvánvaló, hogy az APT-k az elkövetkező években továbbra is fenyegetést jelentenek, és proaktívan kell foglalkozni velük, hogy a további károkat a köz- és a magánszektorban egyaránt minimálisra csökkenthessék.