Az ESET átfogó riportot készített a kormányzatokat világszerte érintő kiberbiztonsági kihívásokról, melyben a Luckymouse APT-csoport legújabb támadási kampányát is megvizsgálja. A kutatás összhangban áll az Európai Bizottság, a CERN és az Europol védelmi stratégiai perspektívájával, amelyet az ESET European Cybersecurity Day online konferencián mutattak be.
A kiberbűnözők különösen nagy hatékonysággal célozzák azokat a kritikus fontosságú infrastruktúrákat, melyek védelme a kormányzatok felelőssége. Az Európai Unió és világszerte a kormányok kiberbiztonsági stratégiáját nemcsak a digitális működésre való áttérés teszi próbára, hanem a kiberkémkedés, a zsarolóvírusok és ellátási lánc elleni támadások is. A legkomolyabb kihívást a kormányok számára azonban az Advanced Persistent Threat (APT), vagyis a fejlett és tartós fenyegetést jelentő, feltűnés nélkül munkálkodó szervezett csoportok támadásai jelentik.
Az APT csoportok egyre fejlettebb eszközöket használnak
Az év elején egy jól ismert, LuckyMouse névre keresztelt APT-csoport (más néven Emissary Panda, APT27) új támadási kampányba kezdett, mellyel a Microsoft Exchange Server számos zero-day (azaz nulladik napi) sebezhetőségét használta ki. Az ESET által „EmissarySoldier” (titkos küldetésű katona) névre keresztelt kampány célja, hogy a Közel-Kelet több kormányzati hálózatán és Közép-Ázsia szervezeteinek hálózatain kémkedjen. A csoport a rosszindulatú SysUpdate eszköztárát használja fel a gépek kompromittálására, melynek első mintáit 2018-ban fedezték fel, ám azóta különböző fejlesztési szakaszokon ment keresztül, és fokozatosan integráltak különféle funkciókat az eszközkészletbe.
Az APT csoportok – például a LuckyMouse – által használt eszközök fejlődése komoly probléma. A támadások során a kormányzás olyan feladatai kerülnek veszélybe, mint az állampolgárok, az üzleti környezet és a más nemzetállamokkal ápolt kapcsolat stabilitásának biztosítása. A LuckyMouse és más APT csoportok - köztük állami szereplők és partnereik - olyan széles körben elterjedt együttműködési platformokat céloznak meg, mint a Microsoft SharePoint vagy más digitális szolgáltatások.
Ám a LuckyMouse tevékenysége csupán a jéghegy csúcsa. A kormányzatokat célzó fenyegetések nagy része szervezett bűnözői csoportoktól ered, akik egyre inkább hajlandóak együttműködni a közös céljaik elérése érdekében. A digitális szolgáltatások használatának növekedésével az ellátási lánc fenyegetettsége is nőtt. Az ESET 2020 utolsó negyedévében olyan sok ellátási lánc elleni támadási kampányt fedezett fel, mint amennyit pár évvel ezelőtt a teljes biztonsági szektor egy teljes év alatt észlelt. Az ilyen típusú támadások során az ellátási lánc kevésbé biztonságos elemeinek célzott támadásával próbálják megkárosítani a kiszemelt iparági szervezetet.
Fókuszban a kormányzás
A 2020-as és 2021-es években számos ESET kutatási együttműködés érett be, ideértve az Európai Nukleáris Kutatási Szervezettel (CERN), a Europollal és a Francia Nemzeti Kiberbiztonsági Ügynökséggel (ANSSI) történő közös munkát is. Az ESET European Cybersecurity Day virtuális eseményen és a jelentésben megosztott meglátások közül több is azt hangsúlyozza, hogy a kormányok és az IT-infrastruktúrájuk elsődleges célpontoknak számítanak.
A riport kiemeli annak szükségességét, hogy a kiberbiztonsági cégek, szakértők továbbra is támogassák a kormányokat a biztonsági hiányosságaik megszüntetésében és az APT csoportok taktikái, technikái és működésük nyomon követésében a rendelkezésükre álló különböző végponti észlelésre és reagálásra képes megoldások által.
Az elmúlt év eseményei komoly változásokat hoztak, és már nincs választási lehetőség a kormányzati IT-csapatok számára, muszáj a védelemre fokozottan figyelni. A legjobb biztonsági technológiákra, termékekre és élvonalbeli kutatásokra van szükséges ahhoz, hogy a kormányzatok képesek legyenek lépést tartani az egyre nagyobb kihívásokkal.
A LuckyMouse APT-csoport tevékenységét is részletesen bemutató „ESET industry report on government: Targeted but not alone„ című riport a WeLiveSecurity.com oldalról tölthető le.