Kinesiske hackere bag de fleste nul-dages udnyttelser i løbet af 2021

I dag har trusselsanalytikere som ventet rapporteret, at nul-dages sårbarhedsudnyttelse er stigende. Det nye er at Kina har intensiveret forskningen i dem og det er dermed KINA der bruger de fleste af dem af alle angreb sidste år.

Nul-dages sårbarheder er sikkerhedssvagheder i softwareprodukter, der enten er ukendte eller ikke er blevet rettet på opdagelsestidspunktet og dermed kan udnyttes af hackere til f.eks. installation af Ransomware.

Herunder ses antallet af nuldags sårbarheder jf. Mandiant:

En af de mest omtalt emner overhovedet er tillige hvad dem som ikke er ransomware hackere bruger dem til og det er naturligvis spionage mod virksomheder, politikere og formentligt systemkritikere i Kina og Rusland. Man har så godt som ingen forskning der viser hvor mange der er hacket uden at vide det.

Nul-dages afsløringer er af særlig interesse for hackere, fordi de har et bredere udnyttelsesvindue, indtil leverandører adresserer fejlene, og klienter begynder at anvende opdateringerne.

Antal registrerede zero-day exploits:

Typisk varer dette vindue med muligheder i mindst et par dage, og da ikke alle administratorer anvender sikkerhedsopdateringer med det samme, forbliver antallet af sårbare mål højt i et stykke tid.

2021 nul-dages landskab

Ifølge analysen fra i dag fra cybersikkerhedsfirmaet Mandiant var der sidste år 80 tilfælde af nul-dages sikkerhedshuller der blev udnyttet.

Det er dermed 18 mere end både 2020 og 2019 tilsammen.

De fleste af dem blev tilskrevet cyberspionageoperationer fra statsstøttede aktører.

Men, virksomheden fandt ud af, at en ud af tre ondsindede aktører, der udnyttede nul-dages sårbarheder, var økonomisk motiveret, en statistik, der fortsætter en stigende tendens fra tidligere år. Det samme er Ransomware kriminelle der på trods af mange arrester i de sidste år af disse bandeledere, stadig stiger og stiger.

Nul-dages angreb kilder er Kina, Rusland og Nord Korea

 

Med hensyn til trusselsaktører topper Kina listen med otte nul-dage, der bruges i cyberangreb i 2021, efterfulgt af Rusland, der brugte to, og Nordkorea med en.

Kort over nul-dages udnyttelse jf Mandiant og hvor meget Micrsoft, Apple og Google fylder til sammen:

Det mest bemærkelsesværdige tilfælde var Hafnium, en kinesisk statsstøttet hackinggruppe, der udnyttede fire nul-dages sårbarheder på Microsoft Exchange-serverne til at få adgang til e-mail-kommunikation fra vestlige organisationer.

Mandiant registrerede også en stigning i ransomware-operatører, der udnyttede nul-dages fejl til at bryde netværk og implementere deres filkrypterende ransomware programmer.

Et fremtrædende eksempel på denne aktivitet var HelloKitty ransomware operatører, der udnyttede en nul-dages fejl i SonicWall SMA 100 VPN-udstyr.

De mest målrettede brands i 2021 nul-dages angreb var Microsoft, Apple, og Google, tegner sig for over 75% af alle angreb.

Som BleepingComputer rapporterede for nylig, er antallet af mobile OS nul-dage rettet mod Android og iOS også på en stigende tendens, der går fra under fem i 2019 og 2020 til 17 i 2021.

Mest målrettede leverandører (med 0 dage) i 2021 (Mandiant)

Hvad kan man forvente i 2022

Hvad er konklusionen? I 2021 oplevede vi en kæmpevækst i nul-dages udnyttelse, og de nuværende beviser tyder på, at det bliver værre i år.

“Vi foreslår, at betydelige kampagner baseret på nul-dages udnyttelse i stigende grad er tilgængelige for en bredere vifte af statsstøttede og økonomisk motiverede aktører, herunder som et resultat af spredningen af leverandører, der sælger udnyttelser og sofistikerede ransomware-operationer, der potentielt udvikler brugerdefinerede udnyttelser” – Mandiant

Googles Project Zero-team offentliggjorde tirsdag en rapport om samme emne, der understreger, at stigningen i nul-dages udnyttelse dels er et resultat af større synlighed og afsløring og ikke nødvendigvis en stigning i aktiviteten eller angrebenes kompleksitet.

Som rapporten beskriver, udviser kun to ud af 58 nye nul-dages Project Zero, der blev offentliggjort i 2021, teknisk ekspertise og unikhed, hvilket kan pege på softwaresikkerhedsmodenhed.

Det må jo så håbe på.

Kilde: Bleebingcomputer
Foto: Stock.Adobe.com

Scroll til toppen