Inteligência de ameaças diversificada é fundamental para a ciberdefesa contra ataques de nações-estado
Diversified threat intelligence is crucial for cyber defense against nation-state attacks.
Identificar os principais atores estatais pode depender de quem você pergunta, o que destaca a necessidade de reunir inteligência de ameaças de fontes de dados variadas.
Em um ambiente onde questões geopolíticas agora podem impulsionar discussões da indústria, as organizações serão atendidas de forma melhor se formularem sua estratégia de cibersegurança com base em informações que reflitam atividades de ameaças em escala internacional.
Também: Os melhores serviços de VPN (e como escolher o certo para você)
Para algumas organizações, esse requisito significa reunir inteligência de ameaças que seja abrangente e, principalmente, diversificada.
A maioria das casas de inteligência de ameaças atualmente origina-se do Ocidente ou é orientada para o Ocidente, e isso pode resultar em viés ou representações distorcidas do panorama de ameaças, observou Minhan Lim, chefe de pesquisa e desenvolvimento da Ensign Labs. O fornecedor de cibersegurança com sede em Cingapura foi formado por meio de uma joint venture entre a empresa de telecomunicações local StarHub e a empresa estatal de investimentos Temasek Holdings.
- ChatGPT vs. Bing Chat vs. Google Bard Qual é o melhor chatbot de IA?
- As empresas precisam de um novo modelo operacional para competir em...
- Autoridades de defesa da concorrência francesas fazem buscas nos es...
“Precisamos manter a neutralidade, por isso somos cuidadosos sobre de onde obtemos nossas fontes de dados”, disse Lim em entrevista à ENBLE. “Temos fontes de dados de todas as fontes de inteligência de ameaças respeitáveis, o que é importante para que possamos entender o que está acontecendo em nível global.”
Também: Os melhores serviços de VPN para iPhone e iPad (sim, você precisa usar um)
A Ensign também possui sua própria telemetria e Centros de Operações de Segurança (SOCs), incluindo na Malásia e em Hong Kong, coletando dados de sensores implantados em todo o mundo. Lim acrescentou que a clientela do fornecedor é composta por corporações multinacionais (MNCs), incluindo empresas regionais e com sede na China, que têm escritórios nos EUA, Europa e África do Sul.
Ele observou que as atividades de ameaças não necessariamente são motivadas por questões geopolíticas, pois algumas atividades de ameaças originam-se da região em que seus alvos estão baseados. Os clientes chineses do fornecedor, por exemplo, têm sofrido ciberataques originados da Ásia.
Em vez de serem politicamente motivados, ele acrescentou que a maioria dos ataques tende a ser financeiramente motivada.
Quando há envolvimento de atores de ameaças estatais, os três principais países de onde os ataques se originam costumam ser China, Rússia e Estados Unidos, disse Candid Wuest, vice-presidente de pesquisa de ciberproteção da Acronis.
Também: Os bancos asiáticos são um alvo favorito de cibercriminosos, e bots maliciosos são sua ferramenta preferida
A Coreia do Norte e o Irã completam os cinco principais locais de onde os ataques de ameaças estatais se originam, e houve pouca mudança nos países que lideram esse grupo, disse Wuest, citando pontos de dados da rede de monitoramento da Acronis. O fornecedor de segurança de dados foi fundado em Cingapura e atualmente tem sede na Suíça. Seu fundador, Serguei Beloussov, é de origem russa, mas obteve a cidadania de Cingapura em 2001. Ele deixou seu cargo de CEO em 2021 e atualmente atua como diretor de pesquisa da Acronis.
Ecoando as opiniões de Lim, Wuest disse à ENBLE que os atores de ameaças estatais dos EUA muitas vezes são sub-representados porque a maioria das principais organizações de notícias são ocidentais e geralmente não fazem referência a esse grupo específico de atores de ameaças estatais.
Ele observou que os ataques patrocinados pelo estado dos EUA também são muito direcionados, envolvendo um ou dois alvos, em vez de centenas, e muitas vezes passam despercebidos. Em comparação, o volume de ataques de ameaças estatais da China pode parecer maior porque há mais organizações procurando por esse grupo de atores de ameaças, disse ele.
Ele acrescentou, no entanto, que os ataques de atores de ameaças estatais chineses também aumentaram em volume e frequência. Em particular, houve um aumento nos ataques direcionados a VPNs e firewalls, e vulnerabilidades conhecidas em sistemas como o Microsoft Exchange Server.
Também: Os melhores VPNs para assistir seus programas e esportes favoritos
O governo dos EUA divulgou no mês passado um relatório destacando as principais vulnerabilidades de software comumente exploradas em 2022. Isso incluiu várias falhas anteriormente destacadas em 2021 e utilizadas por atores cibernéticos patrocinados pelo estado chinês, de acordo com o comunicado de 3 de agosto divulgado pelas agências de segurança dos EUA e seus aliados do Grupo dos Cinco Olhos, que compreendem Austrália, Nova Zelândia, Canadá e Reino Unido.
O governo chinês, por outro lado, culpou as agências de inteligência dos EUA por um ataque cibernético ao Centro de Monitoramento de Terremotos de Wuhan em julho de 2023, citando um malware “muito complexo” usado no incidente. Pequim disse que o ataque parecia ter origem em hackers apoiados pelo governo dos EUA e tinha como alvo equipamentos de rede que coletavam dados de intensidade sísmica. Os conjuntos de dados continham informações relacionadas à segurança nacional, como detalhes de instalações de defesa militar, que são levados em consideração na determinação da intensidade sísmica.
Funcionários chineses sugerem que acessar dados relevantes de centros de monitoramento sísmico permite que hackers estimem estruturas subterrâneas de uma área específica e avaliem se é uma base militar. Esses dados serão úteis para agências de inteligência militar estrangeiras, como o Departamento de Defesa dos EUA.
Os fornecedores de tecnologia dos EUA, no entanto, acreditam que os atores estatais chineses estão armados com ferramentas e táticas mais sofisticadas.
“O ciberespionagem chinesa evoluiu muito desde as táticas de invasão e roubo com as quais muitos de nós estamos familiarizados”, disse John Hultquist, analista-chefe do Google Cloud Mandiant. “Eles transformaram sua capacidade de uma que era dominada por campanhas amplas e barulhentas, que eram muito mais fáceis de detectar. Eles eram audaciosos antes, mas agora estão claramente focados na furtividade.”
“O resultado é um adversário muito mais difícil de rastrear e detectar. A realidade é que estamos enfrentando um adversário mais sofisticado do que nunca e teremos que trabalhar muito mais para acompanhar”, escreveu Hultquist em um comentário sobre a recente violação de segurança da Microsoft, acredita-se que seja obra de ciberatacantes baseados na China.
Também: Esta plataforma de dados ajudará bancos a compartilhar informações criminais
Com o codinome Storm-0558, o grupo adversário obteve acesso aos sistemas de e-mail da Microsoft para coleta de informações, de acordo com a Microsoft. A gigante da tecnologia disse que a violação afetou 25 organizações, incluindo agências governamentais dos EUA e contas de indivíduos provavelmente associadas a essas agências.
As atividades de ciberespionagem chinesa têm cada vez mais aproveitado o acesso inicial e estratégias pós-comprometimento com o objetivo de minimizar a detecção, observou um post de julho de 2023 do Google Cloud Mandiant. “Grupos de ameaças chineses exploram vulnerabilidades zero day em software de segurança, redes e virtualização, e visam roteadores e outros métodos para retransmitir e disfarçar o tráfego do atacante tanto fora quanto dentro das redes das vítimas”, disse o fornecedor dos EUA. “Avaliamos com alta confiança que grupos de ciberespionagem chineses estão usando essas técnicas para evitar a detecção e complicar a atribuição.”
Em entrevista à ENBLE, Hultquist reiterou o aumento da sofisticação dos ataques de atores estatais chineses, que têm sido cada vez mais furtivos e difíceis de detectar. Ele citou o ataque complexo instigado pelo Storm-0558 como indicativo de habilidades que melhoraram dramaticamente.
Ele mencionou a China, a Rússia, a Coreia do Norte e o Irã como os principais atores estatais mais comumente encontrados pelos clientes do Google Cloud Mandiant. Esses atores também estão mirando infraestruturas de informações críticas e, em alguns casos, trabalhando com governos ou grupos adversários financiados pelo governo e fornecendo informações comprometidas a agências de inteligência.
Também: As melhores chaves de segurança
Wuest, no entanto, considerou os EUA como o mais sofisticado entre os atores estatais, observando que o Equation Group – considerado parte da aliança Five Eyes – usou um algoritmo de criptografia específico em uma série de ataques direcionados há uma década e que, até hoje, permanece inquebrável.
Ele classificou os ataques de atores estatais russos em segundo lugar em termos de sofisticação, seguidos por seus colegas na China.
Os atores de ameaças chineses geralmente optam pela quantidade em termos de seus ataques, que geralmente não são sofisticados, disse ele, sugerindo que essa simplicidade pode ser porque não há muita razão para melhorar suas táticas se esses ataques continuarem sendo eficazes. Por exemplo, os atores de ameaças chineses ainda usam o spear phishing, que não é difícil de executar e depende em grande parte dos seres humanos como elo mais fraco, disse ele.
E embora Wuest reconheça que os ataques chineses agora são mais avançados, ele observou que isso é uma progressão natural, pois a maioria das habilidades normalmente melhora ao longo de duas décadas.
Descrever os atores estatais chineses como mais sofisticados pode estar exagerando o cenário de ameaças e ser uma retórica usada por governos ocidentais para aumentar a conscientização geral entre as organizações sobre a necessidade de ter uma boa ciberdefesa, disse Wuest.
Também: IA, confiança e segurança de dados são questões-chave para empresas financeiras e seus clientes
Ele acrescentou que a maioria dos ciberataques hoje ainda visa vulnerabilidades antigas que as organizações não corrigiram.
Lim também observou que os atores de ameaças têm visado dispositivos de segurança e tentado evadir a detecção. Ele disse que os atores agora estão mais direcionados e cientes dos dispositivos usados especificamente por agências governamentais e, portanto, sabem quais dispositivos atacar.
Os atacantes também estão constantemente atualizando suas táticas, usando os métodos mais atuais e visando ferramentas populares, como aplicativos de videoconferência e VPNs, acrescentou ele.
A crescente ameaça ressalta a necessidade de as organizações fazerem o básico e adotarem as melhores práticas, disse Wuest, que observou que algumas empresas ainda não estão corrigindo vulnerabilidades conhecidas. Com o spear phishing e 90% dos ataques ocorrendo por email, ele também enfatizou a importância da segurança de email e outras medidas para combater tais ataques.
Também: Os detectores de IA podem nos salvar do ChatGPT?
Essa defesa será especialmente crítica à medida que mais hackers utilizam inteligência artificial generativa (IA) para criar mensagens de email de phishing mais convincentes, coletando informações pessoais de contas de redes sociais para criar personas falsas, disse ele.
Lim concordou, observando que sua equipe começou a detectar o uso de IA generativa e ferramentas de aprendizado de máquina para criar emails, bem como para contornar verificações e controles de acesso.
Wuest acrescentou que criminosos cibernéticos podem aproveitar a IA para obter escala e velocidade no lançamento de ataques, tornando mais difícil verificar e autenticar usuários.
Ele manifestou preocupação de que a IA generativa perturbará muitas indústrias e mudará significativamente como os ataques são realizados. Se a IA generativa for usada para acionar comandos falsos, por exemplo, o risco e a ameaça potencial serão significativos, afirmou ele.
Hultquist instou os líderes do setor a transformarem suas práticas ao lado dos adversários das ameaças ou correrem o risco de ficarem para trás. “Precisamos de mais dados, engenharia melhor, melhores ferramentas e melhores planos de defesa”, disse ele. “A tecnologia está sempre mudando, assim como os adversários. Temos que trabalhar duro para permanecer no topo disso.”
