Como os cibercriminosos do estado-nação estão mirando na empresa

Como os cibercriminosos do estado-nação estão mirando na empresa.

Combater os agentes de ameaças do estado-nação no nível corporativo requer mais do que apenas prontidão e investimento cibernéticos – exige um esforço colaborativo.

A guerra cibernética geralmente reflete o conflito tradicional, mas à medida que as tensões geopolíticas globais continuam a aumentar, o cenário dos atores de ameaças cibernéticas do estado-nação mudou significativamente. Eventos recentes estimularam táticas, alvos e padrões alterados de ataques cibernéticos patrocinados pelo Estado. Embora historicamente esses agentes de ameaças se concentrassem principalmente em infraestrutura crítica e entidades governamentais, como redes de energia e transporte, os agentes de ameaças de estados-nação de hoje expandiram seu escopo ainda mais para a empresa.

Esse cenário de ameaças em evolução agora exige que as empresas fortaleçam sua postura de segurança e se preparem para ataques sofisticados em nível de estado-nação. A urgência é real – recentemente, grupos adversários como Velvet Ant, GhostEmperor e Volt Typhoon foram vistos visando grandes organizações, tentando exfiltrar dados confidenciais e causar estragos em sistemas críticos. Está claro que os agentes de ameaças do estado-nação estão saindo das sombras e entrando no centro das atenções, e suas ameaças não estão mais no horizonte – elas estão à nossa porta.

Alvos em expansão: empresas sitiadas

Nos últimos 12 meses, uma escalada de conflitos tradicionais levou a um aumento nos ataques cibernéticos. Por exemplo, à medida que o Irã fornece mais armas para a Rússia e os EUA e a Europa continuam a impor sanções adicionais contra o país enquanto armam a Ucrânia com capacidades militares avançadas, podemos esperar um aumento nos ataques cibernéticos em vários setores. A vulnerabilidade da infraestrutura crítica a ameaças cibernéticas e o aumento das tensões geopolíticas podem ser vistos após o ataque ao Colonial Pipeline de 2021, onde acordos anteriores entre o presidente dos EUA, Biden, e o presidente russo, Vladimir Putin, para reduzir os ataques cibernéticos a infraestruturas críticas foram rapidamente abandonados com a erupção da guerra na Ucrânia.

À medida que as organizações digitalizam seus serviços e operações, a natureza interconectada dos negócios e da infraestrutura globais – e a grande quantidade de dados confidenciais que coletam e armazenam – também tornaram uma gama mais ampla de empresas alvos atraentes para os agentes de ameaças do estado-nação. Estamos vendo evidências crescentes de ataques de estados-nação, em setores desavisados como direito, mídia, telecomunicações, saúde, varejo e logística da cadeia de suprimentos por causa dos dados confidenciais que estão lidando.

Essas empresas detêm propriedade intelectual de alto valor, ou seja, informações de clientes, patentes e contratos proprietários, e geralmente estão conectadas a redes mais amplas de afiliados e fornecedores. Um único ataque cibernético pode conceder as “chaves dos reinos” – acesso não detectado a centenas de sistemas críticos e dados confidenciais – que são então aproveitados por entidades apoiadas pelo governo para ganhar uma posição em novos mercados e minar a concorrência.

Missão vs. ROI: Diferenciando Agentes de Ameaças de Estado-Nação de Grupos de Ransomware

A chave para se defender contra uma ameaça de estado-nação é primeiro reconhecer os diferentes motivos e objetivos do agente da ameaça. Ao contrário dos grupos de ransomware que são predominantemente movidos pelo retorno financeiro sobre o investimento (ROI) e, portanto, optam por atingir centenas de empresas, esperando que uma morda, os invasores de estados-nação são extremamente bem dotados, orientados para a missão e focados em objetivos de longo prazo, como roubar segredos comerciais, inteligência militar ou informações pessoais de alto perfil. Outros motivos incluem operações de desinformação, interrupção de infraestrutura crítica e ganho financeiro do estado sob o disfarce de ataques de ransomware.

Compreendendo as proezas técnicas dos atores do estado-nação

Os agentes de ameaças do estado-nação têm tempo, conhecimento técnico e perseverança para atingir seus objetivos específicos – eles planejaram uma operação altamente direcionada para obter conhecimento por meios furtivos e persistentes, muitas vezes movendo-se lateralmente pelas redes para evitar a detecção e se infiltrando novamente nas redes várias vezes após serem erradicadas. Eles trabalham diligentemente para esconder seus rastros da perícia digital e chegam ao ponto de modificar registros de segurança, desabilitar ferramentas, criptografar sistemas e alterar carimbos de data/hora, tornando mais difícil atribuir e diferenciar seu grupo e dificultar as investigações.

O grupo de ameaças Chinese-Nexus, considerado Velvet Ant pela Sygnia, demonstrou persistência excepcional ao estabelecer e manter vários pontos de apoio no ambiente de sua vítima – aproveitando novas técnicas e o uso de diferentes tecnologias para evitar a detecção. Um método usado para essa persistência foi explorar um dispositivo F5 BIG-IP herdado, que foi exposto à Internet e aproveitado como um sistema interno de comando e controle (C&C). O objetivo principal desta campanha era manter o acesso à rede alvo para fins de espionagem.

Da mesma forma, um rootkit Demodex conhecido por ser usado pelo GhostEmperor, um sofisticado ator de estado-nação identificado pela primeira vez pela Kaspersky em 2001, ressurgiu na empresa, tentando realizar um ataque em larga escala em 2023. O agente da ameaça comprometeu servidores, estações de trabalho e contas de usuário implantando o rootkit avançado e aproveitando as ferramentas de código aberto disponíveis na Internet para se comunicar com uma rede de servidores de comando e controle (C2), para evitar a atribuição.

Navegando em um cenário cibernético mais complexo

Detectar e combater os agentes de ameaças do estado-nação na empresa é uma guerra contínua, não apenas uma batalha. As organizações mais maduras em termos cibernéticos avaliam e protegem ativos digitais críticos, priorizam a visibilidade da rede e tomam medidas acionáveis de forma consistente para fortalecer sua resiliência e higiene cibernética antes de um ataque cibernético. Outros exemplos de estratégias-chave incluem:

Ensaiar regularmente vários cenários de ameaças para definir claramente as funções de resposta, tanto nos níveis técnico quanto executivo, e garantir uma abordagem perfeita e coordenada nas primeiras 24 horas mais críticas de uma crise.
Utilizando e otimizando sua pilha de segurança, priorizando o investimento em ferramentas que detectam anomalias e oferecem uma visão holística e granular de suas redes e sistemas – porque você não consegue encontrar o que não pode procurar.
Analisar ferramentas de detecção de ameaças com recursos de IA e automação como parte de suas estratégias de defesa para reduzir custos e acelerar as investigações forenses digitais.

Combater os agentes de ameaças do estado-nação no nível corporativo requer mais do que apenas prontidão e investimento cibernéticos – exige um esforço colaborativo. Antes que ocorra uma crise, as organizações devem construir relacionamentos proativos com agências governamentais e colegas do setor. Ao promover a comunicação aberta e compartilhar insights e experiências, as empresas podem fortalecer a comunidade de segurança mais ampla e aprimorar as defesas coletivas contra essas ameaças sofisticadas em nível de estado-nação.