Държавно спонсорирани групи се насочват към критични уязвимости в шлюзове за виртуални частни мрежи (VPN), защитни стени и други крайни устройства, за да затруднят отговорниците за инциденти, които рядко имат видимост към устройствата.
По-рано тази година екипът за реагиране при инциденти на Mandiant Consulting проследи атака на шпионска група, свързана с Китай, до компрометирането на крайно устройство в мрежата на свой клиент, но тъй като устройството е затворена система, жертвата на атаката трябваше да поиска съдебномедицинско изображение от производителя на мрежовото устройство.
Два месеца по-късно клиентът все още чака.
Тази трудност при откриването – а след това и при разследването – на компрометирането на крайни устройства подчертава защо много нападатели от национални държави все по-често се насочват към защитни стени, имейл шлюзове, VPN и други устройства – казва Чарлз Кармакал, главен технически директор на Mandiant Consulting в Google Cloud. Групите за заплахи не само избягват откриването по-дълго, но дори когато защитниците разберат за атаката, разследването на инцидента е много по-трудно.
Това е проблем, с който Mandiant се занимава „постоянно“, казва той.
„Днес разполагаме с много по-добра телеметрия за компютри с Windows, най-вече поради зрелостта на решенията за EDR [откриване и реагиране на крайни точки]“, казва Кармакал. „Телеметрията на крайните устройства … често е напълно несъществуваща. За да можете да подредите устройството и да го изследвате криминалистично, трябва да получите криминалистичен образ, но не можете просто да отворите устройството и да извадите твърдия диск.“
Преминаването на шпионските атаки към използване на крайни устройства е една от основните тенденции, които Mandiant Consulting на Google Cloud наблюдава през 2023 г., според доклада M-Trends 2024, публикуван на 23 април. Като цяло през 2023 г. компанията е проследила и докладвала за повече от две дузини кампании и глобални събития, свързани с нейните разследвания.
Времето, през което нападателят е активен в компрометирани системи, преди да бъде открит, известно като време на престой, продължава да намалява – до 10 дни през 2023 г., в сравнение с 16 дни през предходната година. През 2023 г. рансъмуерът е съставлявал 23% от разследванията на Mandiant, което е повече от 18% през 2022 г. Компаниите са узнали за повечето инциденти (54%), тъй като трета страна – често самият нападател, в случая на рансъмуер – е уведомила жертвата.
Тъй като рансъмуерът често уведомява жертвите, външното откриване нараства до 54%. Източник: Mandiant на Google Cloud
Макар че крайните устройства изискват знаещи атакуващи, за да ги компрометират и контролират, тези среди с висока степен на достъпност обикновено предлагат и свои собствени помощни програми и функции за справяне с местните формати и функционалност. „Живеейки на терен“ и използвайки вградените възможности, нападателите могат да създадат по-надежден зловреден софтуер и все пак да рискуват по-малко да бъдат открити, поради липсата на видимост на защитниците към вътрешните операции на устройствата.
„Всички тези устройства се подлагат на строги тестове от производителя по време на разработката, за да се гарантира тяхната стабилност“, заявява Mandiant в доклада. „Разработчиците на зловреден софтуер от Китай се възползват от вградените функционалности, включени в тези системи … използвайки нативни възможности, [които могат] да намалят цялостната сложност на зловредния софтуер, като вместо това използват като оръжие съществуващите в него функции, които са били строго тествани от организацията.“
При един от инцидентите консултантите на Mandiant откриват зловредния софтуер BoldMove backdoor, който китайските нападатели са изработили, за да заразят устройство на Fortinet, като деактивират две функции за регистриране и позволяват на нападателя да остане неразкрит за по-дълъг период от време. BoldMove е създаден специално за средите на Fortinet.
Усилията за реагиране при инциденти често се затрудняват и от липсата на лесен достъп на консултантите и защитниците до основната операционна система. Без начин да анализират основния код, за да търсят компрометирани устройства, отговорниците на инциденти често не могат да определят основната причина за компрометирането, казва Кармакал от Mandiant.
„Някои доставчици отказват да предоставят съдебни изображения, [което] разбирам… защото те имат много интелектуална собственост върху устройството“, казва той. „Компаниите трябва да разберат обхвата и степента на компрометиране и ако то започва от мрежово устройство, и трябва да проучат това.“
Атакуващите са удвоили използването на експлойти като първоначална точка за достъп до атаки, като 38% от атаките, които Mandiant е разследвал, са започнали с експлойт. На второ място е фишингът, който представлява 17% от първоначалните действия при атака. На трето място се нареждат предишни компромати, които по невнимание са оставени да бъдат експлоатирани, което представлява 15% от всички първоначални вектори за достъп.
„Атакуващите продължават да използват ефективни тактики, за да получат достъп до целеви среди и да извършват своите операции“, се посочва в доклада на Mandiant. „Въпреки че най-популярните вектори на инфекция се променят, организациите трябва да се съсредоточат върху стратегии за защита в дълбочина. Този подход може да помогне за смекчаване на въздействието както на често срещаните, така и на по-рядко срещаните методи за първоначално проникване.“
И накрая, следователите на Mandiant са наблюдавали и увеличаване на броя на сайтовете за изтичане на данни (DLS) с течение на времето, които сега представляват повече от една трета (36%) от всички финансово мотивирани атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
