0
0
Em novembro, o presidente da Ucrânia revelou que as defesas de TI do país rechaçaram mais de 1.300 ataques cibernéticos russos, incluindo ataques à infraestrutura de comunicações por satélite.
O ataque de ciberataques destaca uma das mudanças nos ataques de ameaças persistentes avançadas (APT) observadas no ano passado: em 2022, as tensões geopolíticas aumentaram e, junto com elas, as operações cibernéticas se tornaram a principal estratégia para os governos nacionais. Embora a Rússia e outras nações tenham usado ataques cibernéticos para apoiar ações militares no passado, a guerra em curso representa a operação cibernética mais sustentada até o momento e que, sem dúvida, continuará no próximo ano, dizem os especialistas.
O conflito militar se juntará ao cibercrime como uma força motriz por trás dos grupos APT no próximo ano, afirmou John Lambert, vice-presidente corporativo e engenheiro distinto do Threat Intelligence Center da Microsoft, no Relatório de Defesa Digital 2022 da empresa, divulgado no mês passado.
“O conflito na Ucrânia forneceu um exemplo muito comovente de como os ataques cibernéticos evoluem para impactar o mundo em paralelo com o conflito militar no terreno”, disse ele. “Sistemas de energia, sistemas de telecomunicações, mídia e outras infraestruturas críticas se tornaram alvos de ataques físicos e ciberataques”.
Embora o aumento do uso de ataques APT pela Rússia seja a mudança mais visível que ocorreu no ano passado, os APTs estão evoluindo. Mais estão migrando para a infraestrutura crítica, adotando ferramentas de uso duplo e técnicas de sobrevivência e identificando a cadeia de suprimentos de software para obter acesso às empresas-alvo.
Os cibercriminosos estão usando ferramentas cada vez mais sofisticadas, mas as técnicas APT são normalmente atribuídas a operações de estado-nação, o que significa que as empresas precisam se tornar mais conscientes das técnicas usadas por atores avançados e como elas podem ser motivadas por preocupações geopolíticas, diz Adam Meyers, vice-presidente sênior presidente de inteligência da empresa de serviços de segurança cibernética CrowdStrike.
“Você não tem uma ameaça uniforme – ela muda de acordo com a vertical de negócios e a localização geográfica”, diz ele. “Você – e este tem sido nosso mantra por muitos anos – não tem um problema de malware, você tem um problema de adversário, e se você pensar sobre quem são esses adversários, o que eles estão procurando e como eles operam, então você vai estar em uma posição muito melhor para se defender contra eles.”
Infraestrutura crítica, satélites cada vez mais direcionados
Em 2021, o ataque à distribuidora de petróleo e gás Colonial Pipeline destacou o impacto que a fraqueza da segurança cibernética poderia ter na economia dos EUA. Da mesma forma, o ataque deste ano ao sistema de comunicação via satélite Viasat – provavelmente pela Rússia – mostrou que os agentes de ameaças APT continuaram a se concentrar em interromper a infraestrutura crítica por meio de ataques cibernéticos. A tendência ganhou impulso no ano passado, com a Microsoft alertando que o número de notificações de estado-nação (NSNs) que a empresa emitiu como alertas para os clientes mais do que dobrou , com 40% dos ataques direcionados à infraestrutura crítica, em comparação com 20% em no ano anterior.
A infraestrutura crítica não é apenas um alvo dos atores do estado-nação. Os cibercriminosos focados em ransomware também têm como alvo empresas de infraestrutura crítica, além de buscar uma estratégia de invasão e vazamento, afirmou a Kaspersky em suas previsões APT publicadas recentemente .
“Acreditamos que em 2023 veremos um número recorde de ataques cibernéticos perturbadores e destrutivos, afetando o governo, a indústria e a infraestrutura civil crítica – talvez redes de energia ou transmissão pública, por exemplo”, diz David Emm, principal pesquisador de segurança da Kaspersky. “Este ano, ficou claro o quão vulnerável a infraestrutura física pode ser, então é possível que possamos ver o direcionamento de cabos subaquáticos e centros de distribuição de fibra”.
Não apenas greve de cobalto
O Cobalt Strike se tornou uma ferramenta popular entre os grupos APT, porque fornece aos invasores — e quando usado para seus propósitos legítimos, red teams e testadores de penetração — recursos de pós-exploração, canais de comunicação secretos e a capacidade de colaboração. A ferramenta red-team “surgiu em uma miríade de campanhas de APTs patrocinadas pelo estado a grupos de ameaças politicamente motivados”, diz Leandro Velasco, pesquisador de segurança da empresa de segurança cibernética Trellix.
No entanto, como os defensores se concentraram cada vez mais na detecção do Cobalt Strike e do popular Metasploit Framework, os agentes de ameaças passaram a buscar alternativas, incluindo a ferramenta comercial de simulação de ataque Brute Ratel C4 e a ferramenta de código aberto Sliver.
“O Brute Ratel C4… é especialmente perigoso, pois foi projetado para evitar a detecção por antivírus e proteção EDR”, disse Emm, da Kaspersky. Outras ferramentas promissoras incluem Manjusaka, que possui implantes escritos em Rust para Windows e Linux, e Ninja, um pacote de exploração e controle remoto para pós-exploração, diz ele.
Identidade Sob Ataque
Após a pandemia de coronavírus, o trabalho remoto – e os serviços em nuvem para dar suporte a esse trabalho – aumentaram em importância, levando os invasores a direcionar esses serviços com ataques de identidade. A Microsoft, por exemplo, viu 921 ataques a cada segundo, um aumento de 74% no volume em relação ao ano passado, afirmou a empresa em seu relatório .
Na verdade, a identidade tornou-se um componente crítico para proteger a infraestrutura e a empresa, ao mesmo tempo em que se tornou um dos principais alvos dos grupos APT. Todas as violações e concessões investigadas pela CrowdStrike no ano passado tiveram um componente de identidade, diz Meyers da CrowdStrike.
“Costumávamos dizer confiar, mas verificar, mas o novo mantra é verificar e depois confiar “, diz ele. “Esses invasores começaram a mirar naquele ponto fraco da identidade… que é uma parte complexa do sistema.”
Cadeias de suprimentos de TI sob ataque
O ataque ao SolarWinds e a vulnerabilidade amplamente explorada no Log4J2 demonstraram as oportunidades que as vulnerabilidades no fornecimento de software oferecem aos invasores, e as empresas devem esperar que os grupos APT criem suas próprias vulnerabilidades por meio de ataques à cadeia de fornecimento de software.
Embora ainda não tenha havido nenhum grande evento, os invasores visaram os ecossistemas Python com ataques de confusão de dependência contra repositórios de código aberto e ataques de phishing direcionados aos desenvolvedores Python . No geral, o número de ataques direcionados a desenvolvedores e empresas aumentou mais de 650% no ano passado .
Além disso, os atores da APT estão encontrando os pontos fracos nas relações entre fornecedores e fornecedores e os explorando. Em janeiro, por exemplo, o grupo DEV-0198, vinculado ao Irã, comprometeu um provedor de nuvem israelense usando uma credencial comprometida de uma empresa terceirizada de logística, de acordo com o relatório da Microsoft.
“O último ano de atividade demonstra que os agentes de ameaças… estão conhecendo melhor o panorama das relações de confiança de uma organização do que as próprias organizações”, afirmou o relatório. “Essa ameaça crescente enfatiza a necessidade de as organizações entenderem e endurecerem as fronteiras e os pontos de entrada de seus patrimônios digitais”.
Para fortalecer suas defesas contra grupos APT e ataques avançados, as empresas devem verificar regularmente sua higiene de segurança cibernética, desenvolver e implantar estratégias de resposta a incidentes e integrar feeds de inteligência de ameaças acionáveis em seus processos, diz Velasco da Trellix. Para dificultar os ataques de identidade, a autenticação multifatorial deve ser uma rotina, diz ele.
“Em 2023, um simples planejamento de segurança não é suficiente para deter ou prevenir invasores”, diz Velasco. “Os defensores do sistema precisam implementar uma abordagem defensiva mais proativa.”
FONTE: DARK READING