SMV’ere udsatte for APT

Af Eskil Sørensen, 05/06/23

Statslige aktører går i stigende grad efter SMV’ere for at iværksætte forsyningskædeangreb og tjene penge.

Små og mellemstore virksomheder (SMV'er) udgør i stigende grad et globalt mål for APT’er, dvs. advanced persistant threats.

Det skriver Infosecurity Magazine i en omtale i forbindelse med udgivelse af en rapport fra sikkerhedsfirmaet Proofpoint i sidste uge. Resarchere ved Proofpoint har således set, at statslige trusselsaktører fra Rusland, Iran og Nordkorea specifikt har rettet opmærksomheden mod SMV'er over hele verden i phishing-angreb udført i 2022 og 2023.

Researcherne har identificeret tre tendenser, der forklarer fænomenet:

  • Statslige aktører kompromitterer SMV'eres infrastruktur via phishing-kampagner
  • Statslige aktører retter sig mod mellemstore finansielle organisationer for at stjæle penge
  • Statslige aktører angriber ’regionale managed service providers’ (MSP'er) for at igangsætte forsyningskædeangreb

Proofpoint-researcherne har flere tilfælde end tidligere set trusselsaktører efterligne eller kompromittere en webserver eller e-mail-konto gennem indsamling af legitimationsoplysninger eller ved udnyttelse af upatchede sårbarheder. Denne taktik er angiveligt set anvendt af russiske APT-grupper som Vovan, også kendt som Lexus (TA499), Winter Vivern (TA473) og den mere kendte gruppe Fancy Bear, eller APT28 (TA422).

Ifølge Proofpoints resultater kommer APT-grupper, der sigter mod SMV'ere mhp. økonomisk vinding, typisk fra Nordkorea. Anvendelse af MSB’ere som en angrebsvektor til at nå SMV'er og andre virksomheder i det, der almindeligvis kaldes supply chain-angreb, skyldes, at MSB’ere ofte leverer ydelser for SMV’ere i lokalområdet, men en række af disse opretholder kun i begrænset omfang cybersikkerhedsniveauet. Infosecurity Magazine citerer Proofpoints rapport for at skrive, at ’APT-aktører ser ud til at have bemærket denne forskel mellem niveauet af forsvar, der tilbydes, og de potentielle muligheder for at få adgang til ønskværdige slutbrugermiljøer’.

Rapporter fra sikkerhedsfirmaer skal altid læses med en vis kritisk sans, men der er næppe tvivl om små og mellemstore virksomheder i højere grad bliver udsat pga. udfordringer med at opretholde et tilstrækkeligt sikkerhedsniveau.

Resultaterne fra Proofpoints rapport kom fra en analyse af over 200.000 SMV'ere fra 1. kvartal 2022 til 1. kvartal 2023.

Links:

https://www.infosecurity-magazine.com/news/smb-targeted-apt-financial-supply/

Keywords: 
smv
APT