Theo phân tích do Nhóm phân tích mối đe dọa của Google (TAG) và Mandiant của Google Cloud cùng thực hiện, các tác nhân đe dọa hoạt động theo lệnh của những người ủng hộ chính phủ có nhiều khả năng đứng sau việc khai thác các lỗ hổng zero-day mới được tiết lộ hơn là tội phạm mạng có động cơ tài chính.
TAG và Mandiant đã quan sát thấy 97 lỗ hổng zero-day được khai thác ngoài tự nhiên trong suốt năm 2023, tăng so với 62 vào năm 2022, nhưng ít hơn con số 106 được quan sát vào năm 2021.
Các nhà phân tích cho biết trong số 58 lỗ hổng zero-day mà họ có thể quy cho động cơ của kẻ đe dọa, 48 trong số đó là do các nhóm APT (APT) được chính phủ hậu thuẫn tiến hành các hoạt động gián điệp, trong khi chỉ có 10 vụ là do tội phạm mạng có động cơ tài chính. , nói chung là các băng đảng ransomware.
Trong số bốn hoạt động hack cấp nhà nước lớn được coi là thù địch với Anh, Mỹ và các nước phương Tây khác – Trung Quốc, Iran, Triều Tiên và Nga – thì chính các nhà khai thác Trung Quốc đã dẫn đầu, khai thác số lượng zero-day gần gấp đôi năm ngoái so với năm ngoái. họ đã làm như vậy vào năm 2022 và chiếm hơn 40% tổng số hoạt động khai thác có thể quy cho.
Cảnh báo của Google về hoạt động mạng của Trung Quốc được đưa ra chỉ vài ngày sau khi chính phủ Anh và Mỹ trừng phạt nhiều thực thể, đồng thời đưa ra cảnh báo mới về việc tin tặc Trung Quốc nhắm mục tiêu vào các chính trị gia và doanh nghiệp nhằm đánh cắp bí mật nhà nước và sở hữu trí tuệ.
Phát hiện của nó cho thấy rằng khi ưu tiên ứng phó với việc tiết lộ lỗ hổng bảo mật, những tổ chức được coi là có nguy cơ bị nhà nước can thiệp ác ý hơn, chẳng hạn như các cơ quan chính phủ, trường đại học và tổ chức nghiên cứu cũng như nhà điều hành cơ sở hạ tầng quan trọng quốc gia (CNI), nên đặc biệt chú ý.
Tác giả của báo cáo, Maddie Stone, Jared Semrau và James đã viết: “Giống như hai năm trước, chúng tôi cho rằng những kẻ tấn công được chính phủ Trung Quốc hậu thuẫn khai thác lỗ hổng zero-day do chính phủ hậu thuẫn nhiều hơn bất kỳ quốc gia nào khác”. Sadowski.
“Mandiant đã báo cáo rộng rãi về một số chiến dịch khai thác trên diện rộng, bao gồm cả việc UNC4841 khai thác hai lỗ hổng trong Cổng bảo mật email của Barracuda – CVE-2023-2868 và CVE-2023-7102.
Họ cho biết: “Tác nhân này thể hiện sự quan tâm cụ thể đến thông tin có lợi ích chính trị hoặc chiến lược đối với chính phủ Trung Quốc, nhắm mục tiêu vào các chính phủ và tổ chức toàn cầu trong các ngành được ưu tiên cao”. “Hơn nữa, chúng tôi nhận thấy sự quan tâm cụ thể đến tên miền email và người dùng từ Bộ Ngoại giao của các quốc gia thành viên ASEAN, cũng như các cá nhân trong các văn phòng thương mại nước ngoài và tổ chức nghiên cứu học thuật ở Đài Loan và Hồng Kông.”
Các lỗ hổng zero-day khác mà gián điệp mạng Trung Quốc đặc biệt quan tâm trong những tháng gần đây bao gồm CVE-2022-41328 trong Fortinet FortiOS, vốn bị liên kết với lỗ hổng vượt qua xác thực VMware, CVE-2023-20867, bởi một nhóm được Mandiant theo dõi với tên UNC3886. UNC3886 cũng khai thác rất nhiều một vấn đề khác của VMware là CVE-2023-34048, làm tiền đề cho việc khai thác lỗ hổng bỏ qua xác thực.
Stone, Semrau và Sadowski lưu ý rằng trong cả hai trường hợp, việc khai thác hai chuỗi lỗ hổng đã diễn ra trong hơn 12 tháng – và đến năm 2021 trong trường hợp thứ hai – chứng tỏ các tác nhân đe dọa Trung Quốc rất thành thạo trong việc khám phá và khai thác các zero-day mới, và thành công trong việc giữ bí mật chúng trong một khoảng thời gian đáng kể.
Việc tập trung vào Trung Quốc không nên làm xao lãng các hoạt động gián điệp mạng của Nga và Triều Tiên – vốn không phải là không đáng kể – và năm 2023 cũng là năm đáng chú ý với sự xuất hiện của một nhóm APT của Belarus, được gọi là Winter Vivern. Đây là lần đầu tiên người ta quan sát thấy một tác nhân Belarus sử dụng zero-days, mặc dù Belarus về cơ bản là một nước chư hầu của Nga, thật khó để nói rõ Winter Vivern đang hoạt động độc lập ở mức độ nào.
Xét đến tội phạm mạng có động cơ tài chính, chiếm 17% số vụ khai thác zero-day – thấp hơn so với năm 2022 – một nhóm, FIN11, chiếm gần một phần ba số vụ khai thác có động cơ tài chính được thấy vào năm ngoái, đã đầu tư rất nhiều vào số ngày 0 trong hơn một số năm.
FIN11 được liên kết với nhiều hoạt động ransomware phổ biến, đặc biệt là Clop/Cl0p và các hoạt động trước đó có liên quan, nhưng các băng đảng khác, bao gồm Akira, LockBit và Nokoyawa, cũng – hoặc đã – tham gia rất nhiều vào hoạt động khai thác zero-day.
Stone, Semrau và Sadowski viết: “Với nguồn lực dồi dào được đầu tư để xác định và khai thác các lỗ hổng zero-day, các tác nhân đe dọa có động cơ tài chính rất có thể sẽ ưu tiên sử dụng các lỗ hổng nhằm cung cấp quyền truy cập hiệu quả vào các tổ chức mục tiêu”.
Họ cho biết: “FIN11 đã tập trung rất nhiều vào các ứng dụng truyền tệp cung cấp khả năng truy cập hiệu quả và hiệu quả vào dữ liệu nhạy cảm của nạn nhân mà không cần di chuyển mạng ngang hàng, hợp lý hóa các bước để lấy cắp và kiếm tiền”. “Sau đó, doanh thu lớn được tạo ra từ các chiến dịch tống tiền hàng loạt hoặc ransomware có thể khiến các nhóm này đầu tư thêm vào các lỗ hổng mới.”
Hoạt động phần mềm gián điệp thương mại
Một trong những câu chuyện mạng lớn trong ba năm qua là việc phơi bày hoạt động của các nhà cung cấp phần mềm gián điệp thương mại (CSV), các công ty hợp pháp phát triển và bán các công cụ giám sát mạng cho chính phủ.
CSV đáng chú ý nhất xuất hiện vào những năm 2020 là Tập đoàn NSO có trụ sở tại Israel hiện đã bị thất sủng, nhắm mục tiêu vào các thiết bị Apple chạy hệ điều hành iOS và phần mềm của họ có liên quan đến vụ sát hại nhà báo Ả Rập Saudi Jamal Khashoggi, cũng như nhiều người khác. các hoạt động không lành mạnh của nhiều chính phủ khác nhau, bao gồm cả các chính phủ phương Tây.
Là người ủng hộ hệ điều hành di động Android đối thủ, Google đặc biệt quan tâm đến việc chống lại CSV và dữ liệu TAG/Mandiant cho thấy rằng giống như các APT được nhà nước hậu thuẫn, CSV cuối cùng đứng sau hơn 40% hoạt động khai thác zero-day ở 2023 và hơn 75% tất cả hoạt động nhắm vào các sản phẩm và thiết bị hệ sinh thái Android của họ, đồng thời 55% nhắm mục tiêu đến iOS và Safari.
Các tác giả của báo cáo viết: “Ngành công nghiệp giám sát thương mại đã nổi lên để lấp đầy một phân khúc thị trường béo bở: bán công nghệ tiên tiến cho các chính phủ trên khắp thế giới nhằm khai thác các lỗ hổng trong thiết bị và ứng dụng tiêu dùng để lén lút cài đặt phần mềm gián điệp trên thiết bị của cá nhân”. “Bằng cách đó, CSV đang tạo điều kiện cho các công cụ hack nguy hiểm phát triển.
“CSV hoạt động với kiến thức chuyên môn kỹ thuật sâu rộng để cung cấp các công cụ ‘trả tiền để chơi’ bao gồm chuỗi khai thác được thiết kế để vượt qua hệ thống phòng thủ của một thiết bị đã chọn, phần mềm gián điệp và cơ sở hạ tầng cần thiết, tất cả để thu thập dữ liệu mong muốn từ thiết bị của một cá nhân ,” họ nói rằng.
“Các khách hàng chính phủ mua công cụ này muốn thu thập nhiều loại dữ liệu khác nhau về mục tiêu có giá trị cao nhất của họ, bao gồm mật khẩu, tin nhắn SMS, email, vị trí, cuộc gọi điện thoại và thậm chí cả ghi lại âm thanh và video. Để thu thập dữ liệu này, CSV thường phát triển phần mềm gián điệp để nhắm mục tiêu vào thiết bị di động. Đáng chú ý là chúng tôi không thể quy bất kỳ ngày số 0 nào của Windows cho CSV.”
Ngày không vào năm 2024
Trong những tháng tới, nhóm TAG/Mandiant đánh giá rằng tốc độ phát hiện và khai thác zero-day sẽ vẫn cao hơn mức trước Covid, nhưng bất kể có bao nhiêu xuất hiện, rõ ràng ngành bảo mật đang có tác động chung, với các nhà cung cấp nền tảng người dùng – trong số đó có Apple, Google và Microsoft – đã thực hiện những khoản đầu tư đáng chú ý mà dường như đang có tác động đến loại và số lượng zero-day “có sẵn” để khai thác.
Tuy nhiên, họ lưu ý, điều này cuối cùng có thể chỉ dẫn đến việc các tác nhân đe dọa tung ra một mạng lưới lớn hơn và nhắm mục tiêu vào nhiều sản phẩm và dịch vụ hơn để thu hút sự chú ý – đặc biệt là những sản phẩm do các công ty an ninh mạng sản xuất. Các xu hướng gần đây, bao gồm các cuộc tấn công được dàn dựng thông qua các lỗ hổng Barracuda, Cisco, Ivanti và Trend Micro, dường như chứng minh rằng điều này đã xảy ra. Các nhà nghiên cứu cũng quan sát thấy sự gia tăng trong việc khai thác các ngày số 0 trong các thành phần được lấy từ thư viện của bên thứ ba: bằng chứng nữa về trọng tâm mở rộng này.
Họ cho biết: “Chúng tôi dự đoán rằng sự tăng trưởng mà chúng tôi đã thấy trong vài năm qua có thể sẽ tiếp tục, khi các nhà cung cấp tiếp tục khiến các con đường xâm phạm khác trở nên khó tiếp cận hơn và khi các tác nhân đe dọa tập trung ngày càng tăng nguồn lực vào việc khai thác zero-day”. “Sự phổ biến rộng rãi của công nghệ đã khiến cho việc khai thác zero-day trở nên dễ xảy ra hơn: nói một cách đơn giản, càng nhiều công nghệ mang lại nhiều cơ hội khai thác hơn.
“Mặc dù có lý do để lạc quan, nhưng toàn bộ ngành có nhiệm vụ phải tiếp tục học những bài học này và làm những việc chúng ta cần để thành công: chia sẻ những bài học kinh nghiệm về cách vá lỗi thông minh hơn và không khó khăn hơn, tiết lộ các hoạt động có thể có tác động đến người dùng cũng như doanh nghiệp, đồng thời hãy chuẩn bị và linh hoạt để hành động nhanh chóng nhằm rút ngắn thời gian tồn tại và khả năng tồn tại của những hoạt động khai thác này.”