I gruppi cybercriminali sponsorizzati dagli stati sfruttano sempre di più i dispositivi Edge per compiere azioni di spionaggio.
Questa strategia consente un percorso più economico e veloce per accedere alle reti dell’obiettivo, rubare credenziali e intercettare il traffico. Il dato emerge da “How State-Sponsored Actors Exploit Your Perimeter”, l’ultima ricerca TrendAI, leader globale di AI security e business unit di Trend Micro.
Per molti anni i gruppi cybercriminali sponsorizzati dagli stati hanno utilizzato attacchi phishing per colpire grandi imprese e organizzazioni pubbliche, ma ora le tattiche sono cambiate e i dispositivi Edge, come gateway VPN, firewall e dispositivi di rete, sono diventati il vettore di accesso iniziale per le operazioni di spionaggio.
Questo cambiamento è dovuto a ragioni economiche, gli attacchi a questi dispositivi costano meno, e tecniche, le infrastrutture Edge al momento sono meno difese e contengono obiettivi a più alto valore rispetto ad altre.
I dati principali dello studio:
- I dispositivi Edge sono oggi uno dei vettori primari per le attività di spionaggio sponsorizzate dagli Stati. I dati pubblici mostrano che lo sfruttamento di questi dispositivi è aumentato dal 3% al 22% in un solo anno. È un cambiamento strutturale, piuttosto che un’anomalia
- Le condizioni economiche sono più favorevoli. Gli exploit dei dispositivi Edge costano dai 30.000 ai 100.000 dollari, fino a un decimo in meno rispetto al costo degli exploit di browser o dispositivi mobili. I difensori impiegano in media 30 giorni per applicare una patch, mentre gli aggressori la possono utilizzare come arma nel giro di poche ore e ottenere un ampio accesso alla rete, oltre a poter raccogliere credenziali e intercettare il traffico
- I gruppi cybercriminali allineati alla Cina operano come un ecosistema coordinato. Diversi hacker (ad esempio, UNC5221, Earth Estries aka Salt Typhoon, Volt Typhoon) condividono strumenti, si spartiscono gli obiettivi e probabilmente traggono vantaggio dalle pipeline di vulnerabilità gestite dallo stato. Non è un’attività isolata, ma strategica, su vasta scala e in fase di accelerazione
- I dispositivi Edge sono punti ciechi a causa della loro stessa progettazione. Non possono eseguire attività di rilevamento e risposta sugli endpoint (EDR) e offrono una serie limitata di log. Inoltre, l’applicazione delle patch richiede tempi di inattività che le organizzazioni non sono disposte a pianificare. Sono sistemi chiusi e per questo è anche molto difficile operare in caso di analisi o esami forensi
- L’intelligenza artificiale accelererà questi attacchi. Anche altri gruppi criminali “privati”, motivati dal punto di vista economico, adottano queste tecniche con l’aggiunta di strumenti di intelligenza artificiale, con l’obiettivo di scoprire vulnerabilità su larga scala e automatizzare lo sviluppo degli exploit. La finestra tra il rilascio della patch e lo sfruttamento attivo si sta riducendo da settimane a ore
