CERT-EU éves kiberfenyegetettségi jelentése
2025. február 25-én megjelent a CERT-EU éves kiberfenyegetettségi jelentése. A jelentés szerint az elmúlt évben a kibertámadások óramű pontossággal követték a globális eseményeket, azaz a választásokat, konfliktusokat és nemzetközi csúcstalálkozókat.
A CERT-EU 2024-ben 110 fenyegető szereplőt követett nyomon, akik az uniós szervezetek vagy azok környéke ellen tevékenykedtek. A kiberszereplők leggyakoribb indítéka a kiberkémkedés volt, ezt követte a kiberbűnözés, a hacktivizmus és az információs műveletek. Az összes elemzett rosszindulatú tevékenység 44%-át a kiberkémkedés és/vagy az prepositioning kategóriájába sorolta a CERT-EU. A prepositioning az a folyamat, amelynek során kártékony kódot telepítenek egy rendszerre, hogy szükség esetén lehetővé tegye a jövőbeli ellenséges kibertevékenységet.
Azokban az esetekben mikor megbízható forrásokból származó információk alapján meg tudta állapítani a CERT-EU az uniós szervezetek ellen tevékenykedő kiberszereplőket, arra jutottak, hogy nagy valószínűséggel a Kínai Népköztársasághoz, az Oroszországi Föderációhoz, Iránhoz vagy a Koreai Népi Demokratikus Köztársasághoz kapcsolódtak.
Az uniós szervezetek 15 jelentős incidenst tapasztaltak, amelyek közül öt zero-day sérülékenység kihasználásával járt. (A NIS2 szerint a jelentős kiberfenyegetés, olyan kiberfenyegetés, amelyről – technikai jellemzői alapján – feltételezhető, hogy jelentős vagyoni vagy nem vagyoni kárt okozva súlyos hatást gyakorolhat egy szervezet hálózati és információs rendszereire vagy a szervezet szolgáltatásainak felhasználóira).
A CERT-EU 2024-ben több visszatérő technikát azonosított a fenyegetettségek vonatkozásában. Ezek közé tartozik az Operational Relay Box (ORB) hálózatok használata a tevékenységek elfedésére, amik kompromittált eszközökből álltak, főként sérülékeny és elavult SOHO routerek, IP kamerák és VPS csomópontok kombinációjából. Ezenkívül olyan technikákat alkalmaztak a kiberszereplők, mint az Adversary-in-the-Middle (AitM), Living-off-the-Land (LoL) technikák (például PowerShell, WMI, CertUtil vagy Rundll32), felhőalapú perzisztencia, API kihasználás és az ellátási lánc kompromittálása. Ezeket a módszereket a rendszerekbe való behatolásra és a tartós hozzáférés fenntartására alkalmazták, miközben elkerülték a felderítést.
A kiberszereplők 110 különböző szoftvert vettek célba az uniós szervezetek közelében. A támadások módszerei változatosak voltak, magukban foglalták többek között a sérülékeny internetes szoftverek kihasználását, például VPN eszközök, tűzfalak, load balancer-ek és hálózatmenedzsment megoldásokat vesznek célba, hogy kezdeti hozzáférést szerezzenek. A kiberszereplők többek között között Fortinet FortiGate, Cisco ASA, Ivanti Connect Secure, Palo Alto GlobalProtect és Citrix ADC sérülékenységeket használtak ki a vállalati hálózatokba való behatoláshoz. Emellett jellemzőek voltak az ellátási láncok elleni támadások trójai szoftverekkel, a hamisított szoftververziók és a nyilvános kódtárolókkal való visszaélések is.
2024-ben a védelmi ágazat volt a leginkább célzott ágazat. A folyamatban lévő konfliktusok, például Oroszország ukrajnai inváziója és az Izrael és a Hamász közötti konfliktus növelte az ágazat vonzerejét a kiberszereplők számára. A védelmi ágazat állami és magánszervezeteket egyaránt magában foglal, beleértve a védelmi minisztériumokat és például a fegyvergyártással foglalkozó cégeket. A kiberkémkedéssel foglalkozó kiberszereplők célja valószínűleg a fegyverfejlesztésekkel kapcsolatos érzékeny információk megszerzése, a katonai kommunikáció megfigyelése és a fegyverszállítmányok nyomon követése volt. Szeptemberben például a Kimsuky APT-csoport egy német védelmi vállalatot vett célba.
A 2024-ben a szolgáltatókat – köztük a távközlés, kiberbiztonság, távoli hozzáférési és szoftvermegoldásokat nyújtó szolgáltatók – érintő kibertevékenységek kiemelik az ellátási lánc felügyeletének és kockázatmenedzsmentjének fontosságát.
A CERT-EU 2011-ben jött létre. A CERT-EU közigazgatási szempontból az Európai Bizottság Digitális Szolgáltatások Főigazgatóságához tartozik, jellegét tekintve intézményközi szolgáltató, amelyet a jelenleg az Európai Parlament által elnökölt Intézményközi Kiberbiztonsági Testület irányít, és amely a kontinensen és azon kívül található valamennyi uniós intézményt, szervet, hivatalt és ügynökséget (uniós szervek) kiszolgálja.
