Die kuberhuursoldate kom: dit is tyd om u bestuurders teen gierige oë te beskerm
INHOUDSOPGAWE:
Terug in die middel van September, Amerikaanse regering veiligheidsagentskap CISA bestel alle federale agentskappe om twee nul-dag-kwesbaarhede in OS-, iPadOS- en macOS-toestelle te herstel. Dit was net die nuutste sagtewarefoute wat nog nooit tevore ontdek is nie wat uitgebuit is om die berugte Pegasus-spioenware te lewer—wie se ontwikkelaar, NSO Group, die middelpunt van verskeie regsgedinge is.
Die Israeliese firma is een van baie kommersiële spioenwaremaatskappye wat deur Westerse regerings en tegnologiemaatskappye "kuberhuursoldate" genoem word. Hulle en 'n meer skaduagtige groep kuberkrakers wat te huur is, verteenwoordig 'n groeiende bedreiging vir organisasies van alle groottes en sektore - wat nywerheidspioenasie, regeringssnuffel en ander onheilspellende aktiwiteite vergemaklik.
As selfs Jeff Bezos se foon deur hierdie groepe gekap kan word, is dit tyd om die bedreiging ernstig op te neem.
Wie is die kuberhuursoldate?
Kuberhuursoldaat is 'n term wat op verskillende maniere deur verskillende partye gebruik word. In die breë gesproke kan ons dit in twee tipes bedreigingsakteurs verdeel:
Kommersiële spioenware-vervaardigers: Hierdie firmas werk in 'n wettige grys area en beweer dat hulle spioenware en uitbuitings slegs aan regerings verkoop vir wettige wetstoepassing en intelligensie-insamelingsdoeleindes. In werklikheid word hul gereedskap dikwels gevind wat joernaliste, andersdenkendes, regte-aktiviste en ander teenstanders van gewoonlik outokratiese regimes teiken. Citizen Lab het die twee nul-dae wat hierbo aangehaal is ontdek op die telefoon van 'n werknemer by 'n Washington-gebaseerde burgerlike organisasie.
Voorbeelde van hierdie firmas sluit in NSO Group, Circles, Intellexa, Cytrox en BellTroX InfoTech Services.
Hackers-te-huur: Dit is meer ooglopend kriminele groepe wat geen voorgee het om as semi-legitieme kommersiële organisasies te funksioneer nie. Soos kommersiële spioenware-vervaardigers, word hul werk met kliënte egter streng vertroulik gehou. Alhoewel hulle ook joernaliste, aktiviste en ander hoërisiko-individue teiken, kan sulke groepe ook hul dienste vir nywerheidspioenasie aanbied, wat andersins gerespekteerde organisasies in staat stel om geloofwaardige ontkenbaarheid te handhaaf.
Groepe sluit die Deceptikons, Dark Basin en Void Balaur in.
In beide gevalle het kuberhuursoldate groepe vermoedelik bande met verskeie intelligensie-agentskappe. Drie voormalige Amerikaanse intelligensiebeamptes is in 2021 blootgestel vir werk as hackers-te-huur vir die VAE-regering en daarna gedagvaar saam met die kommersiële spioenware-vervaardiger DarkMatter. Intellexa word na bewering deur 'n voormalige Israeliese spioen bestuur. En 'n aparte verslag onthul 'n "unieke en kortstondige verbinding" tussen die aanval-infrastruktuur wat deur Void Balaur en die Russiese Federale Beskermingsdiens (FSO) gebruik word.
Hoe werk aanvalle?
Hackers-te-huur het 'n groot verskeidenheid tegnieke, taktieke en prosedures (TTP's) tot hul beskikking. Maar soos die meeste bedreiging-akteurs, waar hulle in staat is, sal hulle kies vir die vinnigste en maklikste manier om hul doelwitte te bereik. Dit kan beteken uitvissing en inligting-steel van wanware en sy vernaamste gereedskap om sy slagoffers in die gedrang te bring en wettige nutsmiddels soos PowerShell te gebruik vir post-inbraakaktiwiteit. Hulle kan kommersiële e-pos-, sosiale- en boodskaprekeninge sowel as hul korporatiewe ekwivalente en agterste IT-stelsels teiken.
“Die grootste bedreiging wat hierdie huursoldaatgroepe inhou, is dat hulle nie omgee vir die teiken nie. Vir die regte bedrag geld sal huursoldate per definisie 'n kontrak uitvoer ten koste van enige etiek. Dit plaas kritieke infrastruktuur, gesondheidsorg en ander belangrike sektore in die visier van wie ooit bereid is om te betaal,” sê SentinelOne se hoofsekuriteitsadviseur Morgan Wright aan ISMS.online.
“Die mense en organisasies wat die grootste gevaar loop, is diegene wat die minste doen om hulself te beskerm. Werknemers stel hulself in gevaar wanneer hulle inligting oor hulself oordeel op werwe soos LinkedIn of verskeie sosiale media-platforms.”
Ontbloot die spioenware-bedreiging
In die geval van kommersiële entiteite kan TTPS egter aansienlik meer gesofistikeerd wees. Zero-day kwesbaarhede word noukeurig nagevors, dikwels teiken Apple-toestelle met nul-klik indringings waarmee die gebruiker nie eens hoef te kommunikeer om besmet te word nie. Dan word spioenware ontplooi om toegang tot die slagoffer se boodskappe, e-posse, foto's, aanmeldings, adresboeke, toepassingsgebruik, liggingdata en toestelmikrofoon en kamera te verkry.
Corelight kubersekuriteitspesialis Matt Ellison beskryf die groepe agter sulke dreigemente as die vertoon van "die voorkoms en gedrag van 'n gewetenlose wapenhandelaar". Niemand in 'n organisasie is veilig nie, hoewel senior bestuurders 'n natuurlike teiken blyk te wees gegewe die vlak van invloed en toegang wat hulle het.
“Dit kan verskil en hang af van die rol, die organisasie en die doel van die kuberhuursoldaat se kliënt,” vertel Ellison aan ISMS.online. "Dit is beslis 'n ekstra vlak van bedreiging bo en behalwe die tipiese kuberbedreigings wat deur die meerderheid kommersiële organisasies gesien word."
Die VSA slaan terug
Gelukkig het die Amerikaanse regering sy houdings onlangs aansienlik verander en verskeie kommersiële spioenware-vervaardigers by 'n "entiteitlys" gevoeg—insluitend Candiru, NSO Groep, Intellexa en Cytrox. Dit sal dit op papier vir hierdie firmas meer uitdagend maak om komponente van Amerikaanse maatskappye te koop. 'n Presidensiële Uitvoerende Bevel poog ook om te verhoed dat die federale regering enige spyware koop wat buitelandse nasies gebruik het om op aktiviste en andersdenkendes te spioeneer. Dit behoort kommersiële geleenthede vir sulke ontwikkelaars te verminder.
Die VSA probeer ook ander regerings koraal om te neem 'n soortgelyke harde lyn. Die tegnologie industrie het kragte saamgesnoer om die aktiwiteite van kuberhuursoldate te bekamp, nie net bekommerd oor menseregte nie, maar ook die opgaar van kwesbaarhede, wat uiteindelik die digitale wêreld 'n gevaarliker plek.
'n ISMS en verder
Maar wat kan organisasies intussen doen om die bedreiging vir hul bestuurders en kritieke IT-/databates te verminder? 'n Inligtingsekuriteitbestuurstelsel (ISMS) kan 'n goeie basislyn van sekuriteit verskaf, wat kan help om baie van die tegnieke wat hackers-vir-huur gebruik om teikens in gevaar te stel, te versag. SentinelOne se Wright waarsku egter teen selfvoldaanheid.
“Niks is 'n waarborg teen kompromie nie. Die identifisering van swakhede en beleidskwessies is die begin van 'n reis na 'n robuuste kuberveiligheidsvermoë,” voer hy aan. "Nakoming help om bewustheid van die groot dinge te handhaaf."
Organisasies moet ook verder gaan as die basiese beginsels as hulle meer gevorderde kommersiële spyware-aanvalle wil afweer wat nul-dag kwesbaarhede gebruik.
"Die aard van hierdie nutsgoed en hoe dit gebruik en ontplooi word, beteken gewoonlik dat dit 'n moeilikheidsgraad is om op te spoor wat aansienlik hoër is as jou gemiddelde wanware of losprysware," sê Corelight se Ellison. “As jy in ’n organisasie is wat meer geneig is om deur hierdie instrumente bedreig te word, is dit belangrik om dit afsonderlik aan te spreek binne die raamwerk wat jy gebruik om jou organisasie te beveilig.”
Kaspersky verduidelik dat gebruikers opgelei moet word om die waarskuwingstekens van spyware raak te sien: battery wat vinnig leeg is en moontlik hoë datagebruik. Verdere stappe om die bedreiging te verminder, sluit in die gereelde herstel van die toestel se bedryfstelsel en ander sagteware, multi-faktor-verifikasie (MFA), toestel teen wanware en daaglikse herlaai. Op iOS-toestelle word hoërisikogebruikers versoek om iMessage en FaceTime te deaktiveer. Vir die aanvalle wat boaan hierdie artikel genoem word, help Lockdown Mode ook.
Tog selfs Kaspersky gekompromitteer is deur 'n gesofistikeerde spyware-operasie. Organisasies moet die risiko so goed moontlik bestuur, hul insidentreaksieplanne gereeld oefen en kuberhuursoldate in hul bedreigingsprofiel inbou.
