Na około miesiąc przed wkroczeniem wojsk rosyjskich na terytorium Ukrainy, 24 lutego 2022 roku, Rosja rozpoczęła wojnę hybrydową. Można to uznać za poczętek nowej ery w świecie cyberbezpieczeństwa. Tegoroczny raport Microsoft Digital Defense Report zawiera nowe szczegóły dotyczące tych ataków oraz rosnącej agresji cybernetycznej ze strony autorytarnych przywódców na całym świecie.

W ciągu ostatniego roku cyberataki wymierzone w infrastrukturę krytyczną wrosły skokowo z 20% wszystkich wykrytych przez Microsoft ataków państwowych do 40%. Ten wzrost był spowodowany w dużej mierze celem Rosji, jakim było zniszczenie ukraińskiej infrastruktury, oraz agresywnym szpiegostwem skierowanym na sojuszników Ukrainy, w tym Stany Zjednoczone. Rosja przyspieszyła również próby narażenia na szwank firm IT w celu zakłócenia pracy lub zdobycia informacji wywiadowczych od klientów agencji rządowych tych firm w krajach członkowskich NATO. 90% rosyjskich ataków, które wykryto w ciągu ostatniego roku, było wymierzonych w państwa członkowskie NATO, a 48% tych ataków było wymierzonych w firmy IT z siedzibą w państwach NATO.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Rosja nie była bynajmniej osamotniona w łączeniu agresji politycznej i fizycznej z cyberatakami

Po pierwsze, podmioty irańskie nasiliły śmiałe ataki po zmianie władzy prezydenckiej. Irańscy hakerzy przeprowadzili destrukcyjne ataki na Izrael, a także operacje typu ransomware i hack-and-leak wykraczające poza regionalnych przeciwników i obejmujące ofiary z USA i UE, w tym cele związane z amerykańską infrastrukturą krytyczną, takie jak władze portowe. W co najmniej jednym przypadku Microsoft wykrył atak przebrany za atak ransomware, który miał na celu usunięcie izraelskich danych. W innym przypadku irański podmiot przeprowadził atak, który spowodował uruchomienie syren rakietowych w Izraelu.

Po drugie, gdy Korea Północna rozpoczęła najbardziej agresywny okres testów rakietowych w pierwszej połowie 2022 r., z jej terenu przeprowadzono serię cyberataków w celu kradzieży technologii od firm lotniczych i badaczy na całym świecie. Inny północnokoreański aktor pracował nad uzyskaniem dostępu do globalnych organizacji informacyjnych, które informują o kraju, oraz do grup chrześcijańskich. Odnotowano także próby, często bez powodzenia, włamania się do firm zajmujących się obrotem kryptowalutami w celu kradzieży funduszy wspierających zmagającą się z problemami gospodarkę kraju.

Chiny nasiliły szpiegostwo i cyberataki polegające na kradzieży informacji, próbując wywierać większy wpływ regionalny w Azji Południowo-Wschodniej i przeciwdziałać rosnącemu zainteresowaniu ze strony Stanów Zjednoczonych. W lutym i marcu jeden z chińskich aktorów obrał za cel 100 kont powiązanych z ważną organizacją międzyrządową w Azji Południowo-Wschodniej w momencie, gdy organizacja ta ogłosiła spotkanie rządu Stanów Zjednoczonych z regionalnymi przywódcami. Tuż po podpisaniu przez Chiny i Wyspy Salomona porozumienia wojskowego, Microsoft wykrył w systemach rządu Wysp Salomona złośliwe oprogramowanie pochodzące od chińskiego aktora. Chiny wykorzystały również swoje zdolności cybernetyczne w kampaniach skierowanych przeciwko narodom na całym globalnym południu, w tym między innymi Namibii, Mauritiusowi oraz Trynidadowi i Tobago.

Wiele ataków pochodzących z Chin jest napędzanych przez zdolność do znajdowania i kompilowania luk zero-day (unikalnych, niezałatanych dziur w oprogramowaniu, które nie były wcześniej znane społeczności bezpieczeństwa). Wydaje się, że gromadzenie takich luk przez Chiny nasiliło się po wprowadzeniu nowego prawa, które wymaga od podmiotów w Chinach zgłaszania odkrytych luk rządowi przed podzieleniem się nimi z innymi.

Cyberprzestępcy zachowują się jak przedsiębiorstwa nastawione na zysk

Jednakże błędem byłoby przeoczenie innych zagrożeń, zwłaszcza cyberprzestępczości, która wpływa na większą liczbę użytkowników w ekosystemie cyfrowym niż działania państw narodowych.

Cyberprzestępczość nadal rośnie, ponieważ industrializacja gospodarki cyberprzestępczej obniża barierę wejścia na rynek umiejętności poprzez zapewnienie większego dostępu do narzędzi i infrastruktury. Tylko w ciągu ostatniego roku liczba szacowanych ataków na hasła na sekundę wzrosła o 74%. Wiele z tych ataków napędzało ataki ransomware, co doprowadziło do ponad dwukrotnego wzrostu żądań okupu. Natężenie, częstotliwość i skala ataków różnią się w zależności od regionu. W Ameryce Północnej i Europie zaobserwowaliśmy spadek ogólnej liczby przypadków ransomware zgłoszonych do naszych zespołów reagowania w porównaniu z rokiem 2021. W tym samym czasie przypadki zgłoszone w Ameryce Łacińskiej wzrosły. Zaobserwowaliśmy również stały wzrost z roku na rok liczby e-maili phishingowych. Podczas gdy tematy COVID-19 były mniej rozpowszechnione niż w 2020 roku, wojna na Ukrainie stała się nową przynętą phishingową począwszy od początku marca 2022 roku. Badacze Microsoftu zaobserwowali oszałamiający wzrost liczby e-maili podszywających się pod legalne organizacje, które zabiegały o darowizny kryptowalutowe w Bitcoinie i Ethereum, rzekomo w celu wsparcia obywateli Ukrainy.

Zagraniczne podmioty wykorzystują wysoce skuteczne techniki - często odzwierciedlające cyberataki - aby umożliwić propagandowe wywieranie wpływu w celu osłabienia zaufania i wpłynięcia na opinię publiczną - zarówno w kraju, jak i za granicą.

Operacje wpływu to nowa sekcja w tegorocznym raporcie Microsoft, będąca wynikiem nowych inwestycji firmyw analityków i naukę o danych, zajmujących się tym zagrożeniem. Jak czytamy w raporcie i na blogu Microsoft, równolegle z cyberatakami trwa wojna informacyjna. W szczególności, operacje dezinformacji wykorzystują znajome trzyetapowe podejście:

1) Cyberoperacje wpływu wstępnie umieszczają fałszywe narracje w domenie publicznej, podobnie jak atakujący wstępnie umieszczają złośliwe oprogramowanie w sieci komputerowej organizacji.

2) Rozpoczyna się skoordynowana kampania - często w czasie najbardziej korzystnym dla osiągnięcia celów aktora - mająca na celu propagowanie narracji za pośrednictwem wspieranych przez rząd i pozostających pod jego wpływem mediów oraz kanałów mediów społecznościowych.

3) Kontrolowane przez państwo media i proxy wzmacniają narracje wśród docelowych odbiorców.

To trójstopniowe podejście zostało zastosowane pod koniec 2021 roku, na przykład w celu wsparcia rosyjskiej fałszywej narracji wokół rzekomej broni biologicznej i biolabów na Ukrainie. Oprócz Rosji, także inne kraje, w tym Chiny i Iran, rozmieszczają operacje propagandowe, aby rozszerzyć swój globalny wpływ na szereg kwestii.

Chmura zapewnia najlepsze fizyczne i logiczne zabezpieczenie przed cyberatakami

Tegoroczny raport zawiera jeszcze więcej zaleceń dotyczących tego, jak ludzie i organizacje mogą chronić się przed atakami. Najważniejszą rzeczą, jaką mogą zrobić ludzie, jest zastosowanie cyberghigieny - włączenie wieloczynnikowego uwierzytelniania, stosowanie łatek bezpieczeństwa, świadome określenie, kto ma uprzywilejowany dostęp do systemów, oraz wdrożenie nowoczesnych rozwiązań bezpieczeństwa od dowolnego wiodącego dostawcy. Przeciętne przedsiębiorstwo posiada 3500 podłączonych urządzeń, które nie są chronione przez podstawowe zabezpieczenia punktów końcowych, a napastnicy to wykorzystują. Kluczowe jest również wczesne wykrywanie ataków. W wielu przypadkach wynik cyberataku jest określony na długo przed jego rozpoczęciem. Atakujący wykorzystują podatne środowiska, aby uzyskać wstępny dostęp, prowadzić obserwację i siać spustoszenie poprzez ruchy boczne oraz szyfrowanie lub eksfiltrację. Jak wynika z tegorocznego raportu, mamy niedobór specjalistów ds. bezpieczeństwa - problem, który musi być rozwiązany zarówno przez sektor prywatny, jak i rządy - a organizacje muszą uczynić bezpieczeństwo częścią swojej kultury.

Pełen raport dostępny jest pod tym linkiem.