Objetivos principales: los gobiernos no deberían actuar solos en materia de ciberseguridad


Un año después de la pandemia, ESET revela una nueva investigación sobre las actividades del grupo LuckyMouse APT y considera cómo los gobiernos pueden enfrentar los desafíos de ciberseguridad del cambio acelerado a lo digital.

A principios de este año, comenzó un conocido grupo de APT llamado LuckyMouse (también conocido como Emissary Panda, APT27) explotar varias vulnerabilidades de día cero de Microsoft Exchange Server. ¿Su objetivo final? Ciberespionaje a través de múltiples redes gubernamentales en el Medio Oriente y organizaciones más amplias en Asia Central. El grupo utilizó este acceso al servidor de correo electrónico y el compromiso de Microsoft SharePoint para implementar un conjunto de herramientas modular recientemente actualizado conocido como SysUpdate. Como explica ESET en un nuevo informe, ha sido diseñado para proporcionar capacidades maliciosas bajo demanda, mientras se cuida mucho de resistir el análisis.

Si tenía alguna duda sobre la magnitud de la ciberamenaza que enfrentan los gobiernos globales, no busque más. Afortunadamente, las empresas de ciberseguridad se encuentran en una posición única para asesorar al sector público. ESET no solo tiene las habilidades técnicas necesarias para respaldar la ciberdefensa, sino que, al ser un objetivo para los actores de amenazas sofisticados, puede compartir de primera mano sus conocimientos sobre lo que funciona y lo que no.

Un año de primicias

Esta campaña de LuckyMouse, denominada EmissarySoldier por ESET y realizada durante gran parte de 2020 y principios de 2021, es solo la punta del iceberg. Ha sido un año como ningún otro para los gobiernos, y el paisaje de amenazas en basic. Desafortunadamente para el primero, los eventos en el segundo han tenido un impacto importante en los consumidores, las sociedades y los sectores de infraestructura crítica que los gobiernos deben proteger y proteger. En este sentido, la pandemia puede haber diferenciado 2020 de cualquier otro año anterior. Pero los gobiernos deberían tomar nota: también podría presagiar mucho más de lo mismo en los próximos años.

La pandemia obligó a nueva ola de transformación electronic en todo el mundo. Las inversiones en infraestructura y aplicaciones en la nube, computadoras portátiles y dispositivos de trabajo remoto y mucho más fueron absolutamente esenciales para apoyar a los funcionarios que trabajan desde casa y los nuevos servicios de emergencia. En el Reino Unido, departamentos entregó 69 nuevos servicios digitales para fines de mayo de 2020. Su esquema insignia de retención de empleos por coronavirus (CJRS) fue diseñado, construido y lanzado en menos de cinco semanas.

Sin embargo, al igual que muchas organizaciones, al expandir su infraestructura electronic, los gobiernos también ampliaron su superficie de ciberataques. Esto fue atacado implacablemente por actores de amenazas oportunistas. Los trabajadores domésticos distraídos fueron bombardeados con señuelos de phishing, muchos de los cuales dependían del insaciable apetito por las últimas noticias sobre COVID-19. La infraestructura de trabajo remota fue investigada en busca de vulnerabilidades y secuestrada con robo, phishing o crackeado. credenciales de inicio de sesión remoto. Los equipos de seguridad lucharon con sus propios desafíos operativos de trabajar desde casa.

Del ciberdelito al ciberespionaje

Muchas de las amenazas que enfrenta el gobierno provienen de grupos delictivos organizados, que han estado cada vez más dispuestos a trabajar juntos hacia un objetivo común. Solo presencia la estrecha cooperación entre Trickbot (eventualmente interrumpido en una operación world-wide que involucra a ESET), Emotet (en sí mismo interrumpido recientemente) y grupos sofisticados de ransomware como Ryuk que utilizaban el acceso a las redes de bots para apuntar a las organizaciones víctimas. Desafortunadamente, los gobiernos y la industria no siempre están tan dispuestos a trabajar juntos a la defensiva.

La otra fuente importante de amenazas cibernéticas, por supuesto, son los actores del estado-nación, a pesar de que la línea entre estos y los ciberdelincuentes tradicionales con motivaciones financieras sigue difuminando. Sintiendo un momento de oportunidad única, las naciones hostiles han estado haciendo todo lo posible para capitalizar los equipos de TI gubernamentales comprometidos de otro modo para promover sus objetivos geopolíticos. En particular, esto vino con el impulso para robar datos de la vacuna COVID-19 de estados rivales.

La mala noticia para los gobiernos occidentales es que tales ataques de grupos que incluyen Gamaredon, Turla, Sandworm (y su subgrupo rastreado por ESET como TeleBots) y XDSpy, continúan aterrizando sus golpes. Junto con el uso de malware comercial comprado a la clandestinidad del ciberdelito, continúan innovando internamente para producir productos como Muleta, una puerta trasera de Turla previamente indocumentada descubierta por ESET.

Ataques a la cadena de suministro: de fuerza en fuerza

Quizás entre los acontecimientos más preocupantes de los últimos meses se encuentran las revelaciones sobre el Campaña SolarWinds. Sin embargo, es solo uno de una serie de ataques a la cadena de suministro que ESET ha detectado durante el año pasado. Otros incluyen Grupo Lázaro implementar complementos de seguridad pirateados, Operación Stealthy Trident apuntando al software program de chat específico de la región, y Operación SignSight, que comprometió a una autoridad de certificación gubernamental.

De hecho, ESET descubrió tantas campañas de cadena de suministro en el cuarto trimestre de 2020 como toda la industria de la seguridad descubrió anualmente hace unos años. La la amenaza de la cadena de suministro ha aumentado a medida que los gobiernos amplían el uso de los servicios digitales para agilizar los procesos y mejorar la prestación de servicios públicos. Deben aprovechar este momento para contraatacar, con una estrategia de ciberseguridad mejorada adecuada para el mundo posterior a la pandemia.

El futuro empieza aqui

La pregunta es, ¿por dónde empezar? Basándose también en su propia experiencia como objetivo para los actores de amenazas, ESET ha aprendido que hacer bien los conceptos básicos es realmente la mejor base para proteger su organización. En estos días, debe comenzar por comprender dónde están sus activos clave, ya sea una computadora portátil que funcione en casa o un servidor en la nube, y asegurarse de que estén protegidos y configurados correctamente en todo momento. El parcheo oportuno, las copias de seguridad periódicas, la protección de terminales y el acceso de «confianza cero» para todos los trabajadores domésticos también deberían ser aspectos importantes. Después de todo, la fuerza laboral distribuida es su frente más expuesto en la guerra contra el ciberdelito.

A continuación, siga los estándares internacionales, como ISO 27001, para instituir las mejores prácticas para la gestión de la seguridad de la información. Es un buen punto de partida sobre el que puede basarse para alinearse con los requisitos de cumplimiento normativo clave. ¿Le preocupa cómo priorizar tantas actividades de seguridad en un panorama tan cambiante? Utilice la gestión y medición de riesgos como guía. Otros pasos críticos incluyen «cambiar la seguridad a la izquierda» en su ciclo de vida de desarrollo de computer software (SDLC), para acelerar la transformación electronic sin aumentar el riesgo cibernético.

El año pasado nos abrió los ojos en muchos aspectos. Pero no hay vuelta atrás para los equipos de TI del gobierno. El trabajo remoto y un mayor uso de la nube y la infraestructura digital es la nueva realidad, al igual que los sofisticados ataques criminales y respaldados por el estado. Es hora de trazar un camino a través de la penumbra, utilizando técnicas de seguridad de mejores prácticas, productos e investigación de vanguardia para mantenerse a la vanguardia.





Enlace a la noticia authentic