Cyberspionaggio: gli hacker finanziati dagli stati ora attaccano i dispositivi Edge

I dispositivi Edge sono diventati il bersaglio principale dei gruppi cybercriminali sponsorizzati dagli stati, che li stanno sfruttando per accedere alle reti e rubare le credenziali. Il costo degli exploit sta diminuendo e le infrastrutture Edge sono meno difese di altri tipi di infrastrutture complesse.

I gruppi cybercriminali sponsorizzati dagli stati sfruttano sempre di più i dispositivi Edge per compiere azioni di spionaggio. Questa strategia consente un percorso più economico e veloce per accedere alle reti dell’obiettivo, rubare credenziali e intercettare il traffico. Il dato emerge da “How State-Sponsored Actors Exploit Your Perimeter”, l’ultima ricerca TrendAI, leader globale di AI security e business unit di Trend Micro.

Per molti anni i gruppi cybercriminali sponsorizzati dagli stati hanno utilizzato attacchi phishing per colpire grandi imprese e organizzazioni pubbliche, ma ora le tattiche sono cambiate e i dispositivi Edge, come gateway VPN, firewall e dispositivi di rete, sono diventati il vettore di accesso iniziale per le operazioni di spionaggio.

Questo cambiamento è dovuto a ragioni economiche, gli attacchi a questi dispositivi costano meno, e tecniche, le infrastrutture Edge al momento sono meno difese e contengono obiettivi a più alto valore rispetto ad altre.

I dati principali dello studio:

• I dispositivi Edge sono oggi uno dei vettori primari per le attività di spionaggio sponsorizzate dagli Stati. I dati pubblici mostrano che lo sfruttamento di questi dispositivi è aumentato dal 3% al 22% in un solo anno. È un cambiamento strutturale, piuttosto che un’anomalia
• Le condizioni economiche sono più favorevoli. Gli exploit dei dispositivi Edge costano dai 30.000 ai 100.000 dollari, fino a un decimo in meno rispetto al costo degli exploit di browser o dispositivi mobili. I difensori impiegano in media 30 giorni per applicare una patch, mentre gli aggressori la possono utilizzare come arma nel giro di poche ore e ottenere un ampio accesso alla rete, oltre a poter raccogliere credenziali e intercettare il traffico
• I gruppi cybercriminali allineati alla Cina operano come un ecosistema coordinato. Diversi hacker (ad esempio, UNC5221, Earth Estries aka Salt Typhoon, Volt Typhoon) condividono strumenti, si spartiscono gli obiettivi e probabilmente traggono vantaggio dalle pipeline di vulnerabilità gestite dallo stato. Non è un’attività isolata, ma strategica, su vasta scala e in fase di accelerazione
• I dispositivi Edge sono punti ciechi a causa della loro stessa progettazione. Non possono eseguire attività di rilevamento e risposta sugli endpoint (EDR) e offrono una serie limitata di log. Inoltre, l’applicazione delle patch richiede tempi di inattività che le organizzazioni non sono disposte a pianificare. Sono sistemi chiusi e per questo è anche molto difficile operare in caso di analisi o esami forensi
• L’intelligenza artificiale accelererà questi attacchi. Anche altri gruppi criminali “privati”, motivati ​​dal punto di vista economico, adottano queste tecniche con l’aggiunta di strumenti di intelligenza artificiale, con l’obiettivo di scoprire vulnerabilità su larga scala e automatizzare lo sviluppo degli exploit. La finestra tra il rilascio della patch e lo sfruttamento attivo si sta riducendo da settimane a ore

Ulteriori informazioni sono disponibili a questo link

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance