Търсене
Close this search box.

На ръба на пропастта: несъществуващата телеметрия на VPN и защитните стени привлича APT

Държавно спонсорирани групи се насочват към критични уязвимости в шлюзове за виртуални частни мрежи (VPN), защитни стени и други крайни устройства, за да затруднят отговорниците за инциденти, които рядко имат видимост към устройствата.

По-рано тази година екипът за реагиране при инциденти на Mandiant Consulting проследи атака на шпионска група, свързана с Китай, до компрометирането на крайно устройство в мрежата на свой клиент, но тъй като устройството е затворена система, жертвата на атаката трябваше да поиска съдебномедицинско изображение от производителя на мрежовото устройство.

 

Два месеца по-късно клиентът все още чака.

Тази трудност при откриването – а след това и при разследването – на компрометирането на крайни устройства подчертава защо много нападатели от национални държави все по-често се насочват към защитни стени, имейл шлюзове, VPN и други устройства – казва Чарлз Кармакал, главен технически директор на Mandiant Consulting в Google Cloud. Групите за заплахи не само избягват откриването по-дълго, но дори когато защитниците разберат за атаката, разследването на инцидента е много по-трудно.

Това е проблем, с който Mandiant се занимава „постоянно“, казва той.

„Днес разполагаме с много по-добра телеметрия за компютри с Windows, най-вече поради зрелостта на решенията за EDR [откриване и реагиране на крайни точки]“, казва Кармакал. „Телеметрията на крайните устройства … често е напълно несъществуваща. За да можете да подредите устройството и да го изследвате криминалистично, трябва да получите криминалистичен образ, но не можете просто да отворите устройството и да извадите твърдия диск.“

Преминаването на шпионските атаки към използване на крайни устройства е една от основните тенденции, които Mandiant Consulting на Google Cloud наблюдава през 2023 г., според доклада M-Trends 2024, публикуван на 23 април. Като цяло през 2023 г. компанията е проследила и докладвала за повече от две дузини кампании и глобални събития, свързани с нейните разследвания.

Времето, през което нападателят е активен в компрометирани системи, преди да бъде открит, известно като време на престой, продължава да намалява – до 10 дни през 2023 г., в сравнение с 16 дни през предходната година. През 2023 г. рансъмуерът е съставлявал 23% от разследванията на Mandiant, което е повече от 18% през 2022 г. Компаниите са узнали за повечето инциденти (54%), тъй като трета страна – често самият нападател, в случая на рансъмуер – е уведомила жертвата.

External detection rises to 54%
Тъй като рансъмуерът често уведомява жертвите, външното откриване нараства до 54%. Източник: Mandiant на Google Cloud

Нападателите се насочват към по-малко видими среди

Макар че крайните устройства изискват знаещи атакуващи, за да ги компрометират и контролират, тези среди с висока степен на достъпност обикновено предлагат и свои собствени помощни програми и функции за справяне с местните формати и функционалност. „Живеейки на терен“ и използвайки вградените възможности, нападателите могат да създадат по-надежден зловреден софтуер и все пак да рискуват по-малко да бъдат открити, поради липсата на видимост на защитниците към вътрешните операции на устройствата.

„Всички тези устройства се подлагат на строги тестове от производителя по време на разработката, за да се гарантира тяхната стабилност“, заявява Mandiant в доклада. „Разработчиците на зловреден софтуер от Китай се възползват от вградените функционалности, включени в тези системи … използвайки нативни възможности, [които могат] да намалят цялостната сложност на зловредния софтуер, като вместо това използват като оръжие съществуващите в него функции, които са били строго тествани от организацията.“

При един от инцидентите консултантите на Mandiant откриват зловредния софтуер BoldMove backdoor, който китайските нападатели са изработили, за да заразят устройство на Fortinet, като деактивират две функции за регистриране и позволяват на нападателя да остане неразкрит за по-дълъг период от време. BoldMove е създаден специално за средите на Fortinet.

Усилията за реагиране при инциденти често се затрудняват и от липсата на лесен достъп на консултантите и защитниците до основната операционна система. Без начин да анализират основния код, за да търсят компрометирани устройства, отговорниците на инциденти често не могат да определят основната причина за компрометирането, казва Кармакал от Mandiant.

„Някои доставчици отказват да предоставят съдебни изображения, [което] разбирам… защото те имат много интелектуална собственост върху устройството“, казва той. „Компаниите трябва да разберат обхвата и степента на компрометиране и ако то започва от мрежово устройство, и трябва да проучат това.“

Увеличава се използването на експлойти, има повече сайтове за изтичане на данни

Атакуващите са удвоили използването на експлойти като първоначална точка за достъп до атаки, като 38% от атаките, които Mandiant е разследвал, са започнали с експлойт. На второ място е фишингът, който представлява 17% от първоначалните действия при атака. На трето място се нареждат предишни компромати, които по невнимание са оставени да бъдат експлоатирани, което представлява 15% от всички първоначални вектори за достъп.

„Атакуващите продължават да използват ефективни тактики, за да получат достъп до целеви среди и да извършват своите операции“, се посочва в доклада на Mandiant. „Въпреки че най-популярните вектори на инфекция се променят, организациите трябва да се съсредоточат върху стратегии за защита в дълбочина. Този подход може да помогне за смекчаване на въздействието както на често срещаните, така и на по-рядко срещаните методи за първоначално проникване.“

И накрая, следователите на Mandiant са наблюдавали и увеличаване на броя на сайтовете за изтичане на данни (DLS) с течение на времето, които сега представляват повече от една трета (36%) от всички финансово мотивирани атаки.

 

Източник: DARKReading

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!