Trace Id is missing

Pregled informacij o kibernetskih grožnjah za leto 2023: Ključni vpogledi in razvoj

Delite
Rdeči krogi na nebu

Bilo je neverjetno leto za Microsoftovo obveščanje o grožnjah. Ogromna količina groženj in napadov, razkritih prek več kot 65 bilijonov signalov, ki jih dnevno spremljamo, nam je omogočila številne prelomnice, zlasti ker opažamo spremembe v tem, kako akterji groženj širijo in izkoriščajo podporo nacionalnih držav. Zadnje leto je bilo napadov več kot kadar koli prej, verige napadov pa so z vsakim dnem bolj zapletene. Časi zadrževanja so se skrajšali. Taktike, tehnike in postopki (TTP) so se razvili, da bi postali hitrejši in bolj izmikajoči. Ko se ozremo na podrobnosti teh incidentov, lahko vidimo vzorce, ki so nam v pomoč pri ugotavljanju, kako se odzivati na nove grožnje in predvidevati, v katero smer se lahko razvijejo. S pregledom taktik, tehnik in postopkov iz leta 2023 želimo ponuditi celovit pregled okolja obveščanja o grožnjah na podlagi tega, kar smo opazili v incidentih po vsem svetu. Tukaj je nekaj zanimivosti, ki bi jih oba s Sherrodom DeGrippom rada delila z vami, skupaj z nekaterimi izrezki videoposnetkov iz naše razprave na Ignite 2023.

John Lambert,
podpredsednik in sodelavec za varnost korporacije Microsoft

Taksonomija poimenovanja akterjev grožnje

Leta 2023 je Microsoft prešel na novo taksonomijo poimenovanja akterjev groženj povezano z vremenom, ki (1) se bolje ujema z naraščajočo kompleksnostjo, obsegom in količino sodobnih groženj ter (2) zagotavlja bolj organiziran, zapomnljiv in preprost način sklicevanja na sovražne skupine.1

Microsoft akterje groženj razvršča v pet ključnih skupin:

Operacije vplivanja nacionalne države: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

V naši novi taksonomiji vremenski dogodek ali priimek predstavlja eno od zgornjih kategorij. Akterji groženj znotraj iste vremenske družine dobijo pridevnik za razlikovanje med različnimi skupinami, razen skupin v razvoju, ki dobijo štirimestna števila.

Trendi leta 2023 za taktike, tehnike in postopke groženj (TTP)

Izogibanje orodjem po meri in zlonamerni programski opremi

Skupine izrazito prikritih akterjev groženj, so se selektivno izogibale uporabi zlonamerne programske opreme po meri. Namesto tega uporabljajo orodja in postopke, ki obstajajo v napravi njihove žrtve, da se zakrijejo ob drugih akterjih groženj, ki uporabljajo podobne metode za zagon napadov. 2

Podpredsednik in varnostni sodelavec korporacije Microsoft, John Lambert, na kratko komentira, kako se akterji groženj izogibajo vpadljivim orodjem po meri, da bi dosegli prikritost. Oglejte si videoposnetek spodaj:

Združevanje kibernetskih operacij in operacij vplivanja (IO)

Čez poletje je Microsoft opazil, da nekateri akterji nacionalnih držav združujejo metode kibernetskih operacij in operacij vplivanja (IO) v nov hibrid, ki smo ga poimenovali „kibernetsko omogočene operacije vplivanja.“ Ta nova taktika pomaga akterjem okrepiti, pretirati ali nadomestiti pomanjkljivosti v njihovem dostopu do omrežja ali zmožnostih kibernetskih napadov. 3 kibernetske metode vključujejo taktike, kot so kraje podatkov, uničevanje, DDoS in izsiljevalsko programsko opremo v kombinaciji z metodami vplivanja, kot so uhajanje podatkov, lažna identiteta, lažno izdajanje za žrtve, družbeni mediji in SMS/e-poštna komunikacija.
Spletno prijazen nabor kibernetskih metod in metod vplivanja

Ogrožanje robnih naprav omrežja SOHO

Akterji groženj sestavljajo prikrita omrežja iz omrežnih robnih naprav v majhnih pisarnah/domačih pisarnah (SOHO) in celo uporabljajo programe za pomoč pri iskanju ranljivih končnih točk po vsem svetu. Ta tehnika oteži pripisovanje avtorstva, zaradi česar se napadi pojavijo tako rekoč od koder koli.4

V tem 35-sekundnem videoposnetku John Lambert iz Microsofta pojasnjuje, zakaj se akterjem groženj zdijo robne naprave omrežja SOHO tako privlačne tarče. Oglejte si videoposnetek spodaj:

Akterji groženj pridobijo začetni dostop na različne načine

V Ukrajini in drugod so raziskovalci Microsoftovega obveščanja o grožnjah opazili akterje groženj, ki so pridobili začetni dostop do tarč z uporabo različnih orodij. Običajne taktike in tehnike so vključevale izkoriščanje internetnih aplikacij, piratsko programsko opremo s skritimi vstopnimi točkami in lažno predstavljanje. 5 reaktivno, zelo hitro povečujejo svoje kibernetske operacije in operacije vplivanja po napadih Hamasa za boj proti Izraelu.

Lažno izdajanje za žrtve za povečanje verodostojnosti

Naraščajoči trend kibernetskih operacij vplivanja vključuje lažno predstavljanje domnevnih organizacij za žrtve ali vodilnih osebnosti v teh organizacijah, da se doda verodostojnost učinkom kibernetskega napada ali ogrožanja. 6

Hitro uvajanje javno objavljenih dokazov koncepta (POC) za začetni dostop in vzdržljivost

Microsoft vse pogosteje opaža, da nekatere podskupine nacionalne države uvajajo javno razkrito kodo proof-of-concept (POC) kmalu po tem, ko je bila izdana, da bi izkoristile ranljivosti v aplikacijah, povezanih z internetom. 7

 

Slika spodaj prikazuje dve verigi napadov, ki ju favorizira podskupina na nacionalne države, ki jo je opazoval Microsoft. V obeh verigah napadalci uporabljajo Impacket za stransko premikanje.

Ilustracija verige napada.

Akterji groženj poskušajo uporabiti množična sporočila SMS za vzpostavitev stika s ciljno publiko

Microsoft je opazil več akterjev, ki poskušajo uporabiti množična sporočila SMS za povečanje psihološkega učinka svojih operacij kibernetskega vplivanja. 8

Spodnja slika prikazuje dve vzporedni sporočili SMS od akterjev groženj, ki se predstavljajo kot izraelsko športno omrežje. Sporočilo na levi vsebuje povezavo do ponarejene spletne strani Sport5. Sporočilo o pravih vojnah: „Če vam je všeč vaše življenje, ne potujte v naše države.“

Telegram podjetja Atlas Group: Posnetki zaslonskih slik SMS-sporočil, ki se predstavljajo kot izraelsko športno omrežje.

Operacije družbenih medijev, povečujejo učinkovito vključevanje občinstva

Operacije prikritega vplivanja so sedaj pričele uspešno sodelovati s ciljno publiko na družabnih omrežjih v večji meri, kot je bilo opaženo prej, kar predstavlja višjo raven prefinjenosti in gojenja spletnih sredstev operacij vplivanja.9

 

Spodaj je grafika Black Lives Matter, ki jo je prvotno naložil samodejni račun skupine nacionalne države. Sedem ur pozneje ga je znova naložil račun, ki se je predstavljal za ameriškega konservativnega volivca.

Izjava o podpori gibanju Black Lives Matter, obsojanju diskriminacije, policijskega nasilja, zagovarjanju dostojanstva in varnosti

Specializacija v ekonomiji izsiljevalske programske opreme

Upravljavci izsiljevalske programske opreme so se leta 2023 usmerili k specializaciji in se odločili osredotočiti na majhen nabor zmogljivosti in storitev. Ta specializacija ima razcepitveni učinek, saj razširi komponente napada izsiljevalske programske opreme na več ponudnikov v zapleteni sivi ekonomiji. Microsoftovo obveščanje o grožnjah v odgovor sledi ponudnikom posamezno, pri čemer ugotavlja, kateri promet pri začetnem dostopu in nato druge storitve.10

 

V video segmentu, vzetem s platforme Ignite, Sherrod DeGrippo, direktor strategije obveščanja o grožnjah pri Microsoftu opisuje trenutno stanje ekonomije storitev izsiljevalske programske opreme. Oglejte si videoposnetek spodaj:

Nenehna uporaba orodij po meri

Medtem ko se nekatere skupine dejavno izogibajo zlonamerni programski opremi za prikrite namene po meri (glejte »Izogibanje orodjem in zlonamerni programski opremi po meri« zgoraj), so se druge preusmerile stran od javno dostopnih orodij in preprostih ukaznih datotek v korist prilagojenih pristopov, ki zahtevajo bolj sofisticirano obrt.11

Ciljna infrastruktura

Čeprav infrastrukturne organizacije – naprave za čiščenje vode, pomorske operacije, transportne organizacije – zaradi pomanjkanja obveščevalne vrednosti nimajo dragocenih podatkov, ki bi pritegnili večino kibernetskega vohunjenja, pa ponujajo vrednost motenj. 12

 

John Lambert iz Microsofta na kratko predstavi paradoks kibernetskega vohunjenja: tarča, ki na videz nima podatkov. Oglejte si videoposnetek spodaj:

Kot lahko vidite iz podrobnosti 11 elementov iz leta 2023, ki smo jih pravkar pregledali, se pokrajina groženj nenehno razvija, prefinjenost in pogostost kibernetskih napadov pa še naprej naraščata. Nobenega dvoma ni, da bo več kot 300 akterjev groženj, ki jih spremljamo, vedno poskusilo nekaj novega in to združilo s preizkušenimi in resničnimi TTP-ji. To nam je všeč pri teh akterjih groženj, saj jih analiziramo in razumemo njihove osebnosti ter lahko predvidimo njihove naslednje poteze. In zdaj lahko z generativno UI to storimo hitreje in smo boljši pri zgodnjem pregonu napadalcev.

 

Zdaj pojdimo naprej v leto 2024.

 

Če želite prejeti novice in informacije o obveščanju o grožnjah, ki jih lahko hitro preletite, si oglejte Microsoftovo poddajo Obveščanje o grožnjah, ki jo gosti Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Leto ruskega hibridnega vojskovanja v Ukrajini. Stran 14

  6. [6]

    Iran vse pogosteje uporablja kibernetsko omogočene postopke vplivanja za doseganje večjega učinka. Stran 11.

  7. [7]
  8. [8]

    Iran vse pogosteje uporablja kibernetsko omogočene postopke vplivanja za doseganje večjega učinka. Stran 11.

  9. [9]

    Digitalne grožnje iz vzhodne Azije rastejo v obsegu in učinkovitosti. Stran 6

  10. [10]

    Leto v Intelu: Utrinki iz Microsoftovega globalnega stališča proti APT-jem

  11. [11]

    Iran vse pogosteje uporablja kibernetsko omogočene postopke vplivanja za doseganje večjega učinka. Stran 12.

  12. [12]

    Leto v Intelu: Utrinki iz Microsoftovega globalnega stališča proti APT-jem

Operacije kibernetskega vplivanja Nacionalna država Akterji groženj

Sorodni članki

Ruski napadalci se utrjujejo in želijo izkoristiti utrujenost od vojne

Ruske kibernetske operacije in operacije vplivanja se vztrajno izvajajo, medtem ko se vojna v Ukrajini nadaljuje. Obveščanje o grožnjah Microsoft podrobno opisuje najnovejše kibernetske grožnje in vplive v zadnjih šestih mesecih.
Več informacij

Volt Typhoon svoje napade usmerja v kritično infrastrukturo Združenih držav, pri čemer uporablja tehnike „Living off the land“

Obveščanje o grožnjah Microsoft je zaznalo povečane kibernetsko omogočene postopke vpliva v Iranu. Zagotovite si vpoglede v grožnje s podrobnostmi o novih tehnikah in obstoju morebitnih groženj v prihodnosti.
Več informacij

Izsiljevalska programska oprema kot storitev: Nov obraz panožnega kibernetskega kriminala

Microsoftovo obveščanje o grožnjah preučuje leto dni kibernetskih operacij in operacij vplivanja v Ukrajini, odkriva nove trende na področju kibernetskih groženj in kaj lahko pričakujemo ob začetku drugega leta vojne.
Več informacij

Spremljajte Microsoftovo varnost