Ahogy egyre több ország fektet informatikai behatolási kampányokba, úgy növekszik az azonosított, nemzetállami hátterű hekkerműveletek száma, a támadók pedig egyre hatékonyabban használják ki a felhőalapú alkalmazások adaptációját a célpontnak választott szervezetek körében – derül ki a CrowdStrike legfrissebb, globális fenyegetésekről szóló jelentéséből. A 2022 Global Threat Report című tanulmány a kiberfenyegetettségek alakulását részletezi az elmúlt évre vonatkozóan, az egyik legfontosabb fejleménynek pedig az újabb, támadó kiberműveleteket folytató országok felemelkedését tartja.

A kiberbiztonsági szolgáltató új akciókról és technikákról is beszámol a "hagyományos" rosszindulatú szereplők, vagyis Irán, Észak-Korea, Kína és Oroszország részéről, az aktorok listája pedig ezúttal már tizenhárom tagúra bővült. A hacktivizmus és a profitra utazó kiberbűnözők kategóriái mellett tizenegy jelentős állami szponzort kapcsol a hekkercsoportokhoz, a 2020-as helyzethez képest Törökország és Kolumbia is megjelent a sorban.

A CrowdStrike nevezéktanában ezeket valamilyen állatnévvel jelölik, így az oroszokat a medvével (Cozy Bear, Fancy Bear), az irániakat a cicával (Pioneer Kitten, Spectral Kitten) és így tovább; a törököket innentől a farkas (Wolf), a kolumbiai háttérel működő csoportokat pedig a párducmacska (Ocelot) jelképezi. A CrowdStrike Intelligence 21 új, önálló tényezőt azonosított az előző év során, ezzel pedig 2021 végéig 170 fölé emelkedett a bármilyen motivációval dolgozó hekkercsoportok száma világszerte.

A jelentés egyes esetekben részletekbe menően is tárgyalja a szervezetek tevékenységét: bemutatja például a törökországi ​​székhelyű, Cosmic Wolfnak elnevezt hekkercsoportot, amelyik egy meg nem nevezett célpont adataira utazott az Amazon Web Services (AWS) cloud környezetében 2021 tavaszán. A támadók lopott felhasználónevek és jelszavak segítségével hajtották végre a betörést, ami parancssorok és biztonsági beállítások módosításához szükséges jogosultságokat is biztosította számukra.

Ideális helyzet a támadóknak

A dolog azért is érdekes, mert a támadók egyre gyakrabban alkalmaznak ellopott felhasználói hitelesítési adatokat és identitásokat, hogy megkerüljék a tradicionális biztonsági megoldásokat. A CrowdStrike szerint a 2021 negyedik negyedévében indexelt észlelések 62 százalékánál már nem is kerültek a képbe rosszindulatú programok, ezt az arányt pedig további összefüggésbe helyezi, hogy közben a ransomware támadásokhoz kapcsolódó adatszivárgások mennyisége is 82 százalékkal az előző évihez képest.

A tanulmányban megállapítják, hogy a kormányzatok sorra ismerik fel a kiberkampányok előnyeit a hagyományos kémtevékenységekkel szemben, és ezekre egyre több erőforrást áldoznak. Rájönnek ugyanis, hogy a dolog nem csak olcsóbb és egyszerűbb, de sokkal könnyebben le is tagadható, ha a felszínre kerül valamilyen incidens. A támadó kiberképességek erősítését egyébként a világjárvány is fokozta, amennyiben a lezárások és a szigorú ellenőrzések rontottak a közönséges kémtechnikák hatékonyságán, ez pedig ott is felgyorsította a kiberképességek fejlesztését, ahol a pandémia nélkül talán továbbra is más eszközökre támaszkodtak volna.

Mindehhez hozzájárul, hogy a cloud alkalmazások és a felhőalapú informatikai szolgáltatások felé való elmozdulás a támadók kezére játszik. A hibrid munkavégzés keretei között sokan dolgoznak távolról, felhasználónevek és jelszavak használatával, ami a dolgozók számára nyilván megkönnyíti a munkát, de a hekkereknek is lehetőséget ad, hogy ellopott vagy akár megtippelt azonosítókkal hozzáférést szerezzenek a hálózatokhoz.

Az olyan ügyek, mint a SolarWinds és a Microsoft Exchange-támadások, jól mutatták a felhőszolgáltatások és a felhős ellátási láncok elleni akciók pusztító hatását, ami különösen érvényes az olyan esetekben, ha rosszul konfigurált vagy nem megfelelően ellenőrzött rendszerekről van szó. A CrowdStrike immár nyolcadik alkalommal kiadott éves biztonsági jelentése alapján ennek köszönhető a "big game hunting" támadások szaporodása is, vagyis az a gyakorlat, amikor a támadók a kisebb szervezetek vagy magánfelhasználók helyett kifejezetten a nagy célpontokra utaznak.