Relatório de Defesa Digital da Microsoft compartilha novos insights sobre ataques de estados-nação

Por John Lambert Engenheiro eminente e Vice-Presidente, Centro de Inteligência Contra Ameaças da Microsoft

 

A Microsoft está orgulhosa em promover o Mês da Conscientização da Segurança Cibernética como parte de nosso compromisso contínuo com a segurança para todos. Durante todo o ano, a Microsoft acompanha as atividades de ameaças de estado-nação para ajudar a proteger organizações e indivíduos desses atores persistentes avançados. Estamos constantemente melhorando nossos recursos para trazer melhores detecções, contexto de ameaças e conhecimento aos nossos clientes para que eles possam melhorar suas próprias defesas. Para saber mais sobre como a Microsoft responde a ataques de estados-nação e como defender sua organização, assista à Série documental de Decodificação do NOBELIUM. Ouça diretamente dos defensores da linha de frente que ajudaram a proteger as organizações contra o ataque mais sofisticado da história.

Os objetivos dos atores cibernéticos de estado-nação – em grande parte em espionagem e interrupção – continuam consistentes, assim como suas táticas e técnicas mais confiáveis: coleta de credenciais, malware e exploits de VPN. No entanto, um ponto comum este ano entre os atores da China, Rússia, Coreia do Norte e Irã foi o aumento de alvos provedores de serviços de TI como uma forma de explorar os clientes downstream.1

No início deste mês, publicamos o Relatório de Defesa Digital da Microsoft (MDDR) de 2021, que traz descobertas mais detalhadas sobre o rastreamento da Microsoft de grupos de ameaças de estado-nação, incluindo informações sobre os setores e países que mais são alvos, atores de ameaças específicos, métodos de ataque e muito mais. Este blog captura os temas de alto nível do MDDR e incentivamos que faça o download do relatório completo para mais detalhes.

 

Entidades governamentais e organizações não governamentais são alvos privilegiados

Sempre que uma organização ou titular de conta individual se torna um alvo ou é comprometido por atividades observadas de estado-nação, a Microsoft envia uma notificação de estado-nação (NSN) diretamente a esse cliente para fornecer as informações necessárias para investigar a atividade. Nos últimos três anos, mais de 20.500 NSNs foram entregues. De acordo com a análise da atividade por trás dessas NSNs, os ataques de estado-nação do último ano se concentraram principalmente em objetivos operacionais de espionagem e coleta de inteligência, em vez de ataques destrutivos.

“A atividade de estado-nação abrange quase todos os setores da indústria e regiões geográficas. Em outras palavras, as proteções contra essas táticas são fundamentais para todas as organizações e indivíduos.” Relatório de Defesa Digital da Microsoft de 2021.

Centro de Inteligência contra Ameaças da Microsoft (MSTIC) e a Unidade de Crimes Digitais (DCU) da Microsoft observaram que quase 80% dos ataques de estado-nação foram dirigidos contra entidades governamentais, grupos de reflexão e organizações não governamentais (ONGs). Os grupos de Estados-nação a que nos referimos como NOBELIUM, NICKEL, THALLIUM e PHOSPHORUS foram os mais ativos contra o setor governamental, tendo as entidades governamentais envolvidas em assuntos internacionais como alvo principal.

Setores alvo por ataques de estado-nação (julho de 2020 a junho de 2021).

Os invasores cibernéticos sobretudo da Rússia estão focando cada vez mais em alvos governamentais. As comparações ano a ano dos dados de NSN representam um aumento significativo nos compromissos bem-sucedidos, de uma taxa de sucesso de 21% entre julho de 2019 e junho de 2020, até 32% desde julho de 2020. Por sua vez, a porcentagem de organizações governamentais alvo dos agentes de ameaças russos explodiu de cerca de 3% no ano passado para 53% desde julho de 2020 (ver figura 3).

 

Países de maior foco

Os Estados Unidos continuaram sendo o país de maior foco no último ano. O NOBELIUM, sediado na Rússia, também focou bastante na Ucrânia, concentrando-se particularmente nos interesses governamentais envolvidos no combate contra um acúmulo de tropas russas ao longo da fronteira da Ucrânia, levando o número de clientes ucranianos impactados de 6 no ano passado para mais de 1.200 este ano. No último ano, o número de entidades israelitas que se tornaram alvo quase quadruplicou, impulsionado exclusivamente por atores iranianos, à medida que as tensões aumentavam entre os dois países.

Países mais focados (julho de 2020 a junho de 2021).

A Microsoft identifica as atividades de estado-nação por nomes de elementos químicos, alguns dos quais são mostrados na tabela abaixo, juntamente com seus países de origem. Esta pequena amostra do total de atores de estado-nação rastreados pela Microsoft representa vários dos mais ativos no último ano.

Mapa de referência de atores de estado-nação.

 

Volume versus precisão

As taxas de comprometimento de êxito variaram amplamente entre os grupos de ameaças este ano. Alguns, como o THALLIUM, baseado na Coreia do Norte, tiveram uma baixa taxa de comprometimento de êxito, provavelmente porque sua tática comum de campanhas de spear phishing em grande escala ficou mais fácil de detectar e deter à medida que os usuários se tornam cada vez mais conscientes dessas iscas e as organizações usam soluções de segurança para detectá-las de forma mais eficaz. Por outro lado, o NOBELIUM, baseado na Rússia, teve comprometimentos mais bem-sucedidos como resultado de seu ataque mais direcionado contra cadeias de suprimento de software, além de mais campanhas de pulverização de senha de alto volume em busca de roubo de credenciais. Os atores de estado-nação parecem estar aumentando a escala desses ataques contundentes na tentativa de evitar a detecção e melhorar suas chances de uma violação. O primeiro trimestre fiscal de 2020 (julho a setembro) viu uma taxa de risco proporcionalmente maior; não necessariamente porque os atores de ameaças foram mais bem-sucedidos, mas porque vimos menos campanhas de alto volume durante esse período.

Taxas médias de risco (todas as táticas, julho de 2020 a junho de 2021).

 

Imagem instantânea: atividade de estado-nação

Rússia

O grupo NOBELIUM, da Rússia, provou o quão insidiosos os ataques à cadeia de suprimentos de software podem ser com o risco devastador da atualização do software SolarWinds Orion.2 Embora o grupo tenha limitado sua exploração de acompanhamento a aproximadamente 100 organizações, seu malware backdoor foi empurrado para cerca de 18.000 entidades em todo o mundo. Em outros incidentes, o NOBELIUM utilizou ataques de phishing e pulverização de senha para comprometer fornecedores terceirizados e facilitar futuros riscos. Esse ator de ameaças teve como alvo provedores de soluções em nuvem (CSPs) e aproveitou o backdoor para roubar uma chave privada da Mimecast.3 Veja a conta completa feita pelos maiores defensores do que foi preciso para responder ao ataque de estado-nação mais avançado da história assistindo às Séries documentais de Decodificação do NOBELIUM.

 

China

O alvo dos atores chineses de ameaças de estado-nação tem sido o cenário político dos Estados Unidos em busca de insights sobre mudanças nas políticas. No início de março de 2021, a Microsoft postou em seu blog sobre o HAFNIUM e a detecção de vários exploits de dia zero usados para atacar versões locais do Microsoft Exchange Server. O HAFNIUM opera principalmente em servidores privados virtuais alugados nos Estados Unidos e tem como alvo entidades em vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, prestadores de serviço de defesa, grupos de reflexão sobre políticas e ONGs.

 

Irã

O Irã continuou sua série de ataques cibernéticos destrutivos contra adversários regionais, incluindo uma série de ataques de ransomware contra entidades israelenses. O ator de ameaças ligado ao Irã, o RUBIDIUM, foi envolvido nas campanhas de ransomware Pay2Key 4 e N3tw0rm 5 que fizeram Israel de alvo no final de 2020 e no início de 2021. Os ataques cibernéticos de estados-nação iranianos tiveram como elemento comum as empresas de logística israelenses envolvidas em transporte marítimo como alvo. Apesar da abordagem menos agressiva de Teerã em relação aos Estados Unidos após as eleições do ano passado, as entidades dos Estados Unidos continuaram sendo o principal alvo dos atores de ameaças iranianos, compreendendo quase metade das NSNs que a Microsoft entregou aos clientes de serviços em nuvem.

 

Coreia do Norte

Pouco mais da metade das NSNs emitidas pela Microsoft foram para atores estatais da Coreia do Norte durante os últimos três meses de 2020. O maior alvo da Coreia do Noite foi as contas de consumidores, com base na probabilidade de obter inteligência diplomática ou geopolítica não disponível publicamente. Como a Microsoft relatou em novembro de 2020, o  ZINC e o CERIUM fizeram de alvo empresas farmacêuticas e pesquisadores de vacinas em vários países, provavelmente para acelerar a pesquisa de vacinas da própria Coreia do Norte. A Coreia do Norte também fazendo as empresas financeiras de alvo com a intenção de roubar criptomoeda e propriedade intelectual 6.

 

Atores do setor privado fornecem as ferramentas

Embora não sejam os próprios atores de estado-nação, os atores ofensivos do setor privado (PSOAs) criam e vendem tecnologias cibernéticas maliciosas para compradores de estados-nação. Observou-se que os alvos das ferramentas de PSOA são dissidentes, defensores de direitos humanos, jornalistas e outros cidadãos privados. Em dezembro de 2020, os nossos esforços para proteger os clientes nos levaram a apresentar um resumo amicus em apoio ao caso do WhatsApp contra a empresa de Israel NSO Group Technologies.7 O resumo pede que o tribunal rejeite a posição do NSO Group de que não é responsável pelo uso de seus produtos de vigilância e espionagem pelos governos. A Microsoft também trabalhou com o Citizen Lab para desativar o malware usado pelo PSOA israelense, o SOURGUM (também conhecido como Candiru), que criou malware e exploits de dia zero (corrigidos em CVE-2021-31979 e CVE-2021-33771) como parte de um pacote de invasão como serviço vendido para agências governamentais e outros atores maliciosos.

 

Proteção abrangente começa com os indivíduos

Uma coisa é clara: os atores de estado-nação são bem financiados e empregam técnicas de tremenda amplitude e sofisticação. Mais do que outros adversários, os invasores de estado-nação também farão os indivíduos de alvo especificamente para acesso a suas conexões, comunicações e informações. Esses invasores estão constantemente refinando suas táticas e técnicas; portanto, estratégias de defesa completas devem incluir a educação dos funcionários para ensiná-los a não se tornarem alvos. Mais importante ainda, aplicar princípios de Confiança Zero em todos os recursos corporativos ajuda a proteger a força de trabalho móvel de hoje, protegendo pessoas, dispositivos, aplicativos e dados, independentemente de onde estejam ou da escala de ameaças enfrentadas.

Tags: , , ,

Posts Relacionados