Trace Id is missing

2023. aasta ohuanalüüsi valdkonnas: olulised ülevaated ja arengud

Jagage
Punased ringid taevas

Microsofti ohuanalüüsi jaoks on see aasta olnud märkimisväärne. Tohutu hulk ohte ja ründeid, mis on meie igapäevaselt jälgitava rohkem kui 65 triljoni signaali analüüsimisel päevavalgele tulnud, on andnud meile arvukalt uusi lähtekohti; muu hulgas oleme näinud muutust selles, kuidas küberohustajad kasutavad aina enam ära neid mahitavate riikide tuge. Möödunud aastal on ründeid olnud rohkem kui kunagi varem ning ründeahelad muutuvad iga päevaga aina keerukamaks. Süsteemis veedetud ajad (elunemisajad) on lühenenud. Taktikad, tehnikad ja protseduurid (TTP) on edasi arenenud, olles varasemast paindlikumad ja tuvastamist osavamalt vältivad. Nende intsidentide üksikasjadele tagasi vaatamine aitab meil märgata mustreid, et saaksime otsustada, kuidas uutele ohtudele reageerida, ning aimata, millises suunas need võiksid järgmiseks liikuda. 2023. aasta TPP-de analüüsimise eesmärk on pakkuda põhjalikku ülevaadet ohuteabemaastikust, lähtudes sellest, mida oleme rahvusvaheliste intsidentide uurimisel täheldanud. Soovime koos Sherrod DeGrippoga jagada teiega mõnda põnevamat hetke ja videoklippi, mis pärinevad meie jutuajamisest Ignite 2023 konverentsil.

John Lambert,
Microsofti ettevõtte asepresident ja turbekomitee liige

Küberohustajate nimetamise taksonoomia

2023. aastal läks Microsoft üle uuele ilmateemalisele küberohustajate nimetamise taksonoomiale, mis (1) vastab paremini tänapäevaste ohtude aina suuremale keerukusele, ulatusele ja mahule ning (2) võimaldab vaenulikele rühmitustele viidata paremini korrastatud, meeldejääval ja lihtsal viisil.1

Microsoft liigitab küberohustajad viieks põhirühmaks.

Riiklikult mahitatud mõjuoperatsioonid: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Meie uues taksonoomias tähistab iga ülaltoodud kategooriat kindel ilmastikunähtus või nähtuste pere nimi. Samasse ilmastikunähtuste peresse kuuluvate küberohustajate nimedele lisatakse rühmituste eristamiseks ka omadussõna. Erandiks on alles uurimisjärgus olevad rühmitused, keda tähistatakse neljakohalise numbrikombinatsiooniga.

2023. aasta taktikate, tehnikate ja protseduuride (TTP) trendid

Kohandatud tööriistade ja ründevara vältimine

Küberohustajate rühmitused, mis rõhutavad varjatult tegutsemist, on valikuliselt vältinud kohandatud ründevara kasutamist. Selle asemel kasutavad nad ohvri seadmes olevaid tööriistu ja protsesse, et varjata nii enda kui ka teiste küberohustajate kohalolekut, kes kasutavad rünnete käivitamiseks sarnaseid meetodeid. 2

Microsofti ettevõtte asepresident ja turbekomitee liige John Lambert kommenteerib lühidalt seda, kuidas küberohustajad väldivad enda varjamiseks silmatorkavate kohandatud tööriistade kasutamist. Vaadake videot allpool:

Küber- ja mõjuoperatsioonide kombineerimine

Suve jooksul jälgis Microsoft, kuidas teatud riiklikult mahitatud küberohustajad kombineerisid küberoperatsioonide ja mõjuoperatsioonide meetodid uueks hübriidiks, mille oleme ristinud kübertoega mõjuoperatsioonideks. See uus taktika aitab ründajatel oma võrgupääsu- ja küberründevõimekusi võimendada või liialdada või puudujääke kompenseerida. 3 Kübermeetodid hõlmavad näiteks selliseid taktikaid nagu andmevargus, sodimine, hajusad ummistusründed ja lunavara kombinatsioonis mõjumeetoditega nagu andmelekked, petukujud („käpiknukud“), ohvrite kehastamine, sotsiaalmeedia ning SMS-i ja meili teel suhtlemine.
Küber- ja mõjumeetodite veebisõbralik paigutus

SOHO võrguperimeeterseadmete ründamine

Küberohustajad panevad väike- ja kodukontorite („SOHO“ – ingliskeelsetest sõnadest „small office / home office“) võrguperimeeterseadmetest kokku varjatud võrgustikke, kasutades koguni programme selleks, et leida haavatavaid lõpp-punkte üle kogu maailma. See tehnika muudab ründe allika leidmise keeruliseks, kuna jääb mulje, et ründed saabuvad igalt poolt.4

Selles 35-sekundises videos selgitab Microsofti esindav John Lambert, miks on SOHO võrguperimeeterseadmed küberohustajate jaoks nii atraktiivsed sihtmärgid. Vaadake videot allpool:

Küberohustajad kasutavad juurdepääsu saamiseks erinevaid meetodeid

Microsofti ohuanalüüsi spetsialistid on nii Ukrainas kui ka mujal märganud, et küberohustajad kasutavad sihtmärkidele esialgse juurdepääsu saamiseks mitmesuguseid tööriistu. Levinud taktikate ja tehnikate hulgas on Internetile avatud rakenduste eksploidid, tagaustega piraattarkvara ja harpuunimine. 5 Küber- ja mõjuoperatsioonide maht suurenes Iisraeli tegevusele reageerimiseks pärast Hamasi rünnakuid kiiresti.

Ohvrite matkimine usaldusväärsuse lisamiseks

Üks kasvavaid trende kübertoega mõjuoperatsioonide vallas hõlmab ohvriks valitud organisatsioonide (või nende organisatsioonide juhtfiguuride) matkimist, kuna see aitab küberründe või turbemurde mõju muuta usaldusväärsemaks. 6

Avalikuks tehtud kontseptsiooni tõenduse kiire kasutuselevõtt esialgse juurdepääsu ja püsivuse jaoks

Microsoft on aina sagedamini märganud, et teatud riiklikult mahitatud alamrühmitused võtavad avalikult teatatud kontseptsiooni tõenduse koodi kasutusele peagi pärast selle avaldamist, et ära kasutada Interneti-ühendusega rakenduste nõrkusi. 7

 

Järgmine joonis illustreerib kahte ründeahelat, mida eelistab üks Microsofti vaadeldud riiklikult mahitatud alamrühm. Mõlema ahela korral kasutavad ründajad külgliikumise jaoks Impacketit.

Ründeahela illustratsioon.

Küberohustajad proovivad sihtrühmaga ühendust võtta hulgi saadetavate tekstsõnumite kaudu

Microsoft on jälginud mitme ohustaja katseid kasutada oma kübermõjuoperatsioonide võimendamiseks ja psühholoogilise mõju suurendamiseks hulgi saadetavaid SMS-sõnumeid. 8

Järgmisel joonisel on kujutatud kaks kõrvuti SMS-sõnumit küberohustajatelt, kes väidavad end esindavat ühte Iisraeli spordivõrgustikku. Vasakpoolne sõnum sisaldab linki rikutud Sport5 veebilehele. Parempoolne sõnum hoiatab: „Kui teie elu on teile armas, ärge reisige meie riikidesse.“

Atlas Groupi Telegrami kanal: kuvatõmmised SMS-ist kehastamas Iisraeli spordimeediat.

Sotsiaalmeediaoperatsioonid tõhustavad sihtrühmade kaasamist

Varjatud mõjuoperatsioonide raames õnnestub nüüd sotsiaalmeedias sihtrühmadega aktiivsesse dialoogi astuda varasemast enam, mis näitab taseme tõusu ja veebis tegutsevate mõjuagentide kultiveerimist.9

 

Allpool on liikumise „Black Lives Matter“ kujutis, mille laadis algselt üles ühe riiklikult mahitatud rühmituse automaatselt tegutsev konto. Seitse tundi hiljem laadis selle uuesti üles konto, mis kehastas USA konservatiivset valijat.

Avaldus, mis toetab liikumist „Black Lives Matter“ („Mustanahaliste elud loevad“), mõistab hukka diskrimineerimise ja politseivägivalla, toetab väärikust ja turvalisust

Spetsialiseerumine lunavaratööstuses

Lunavaraoperatsioonid on 2023. aastal liikunud spetsialiseerumise suunas; ründajad kalduvad keskenduma kindlatele võimekustele ja teenustele. Selle spetsialiseerumisega kaasneb killustumisefekt: lunavararünde komponendid on keerukas põrandaaluses majanduses mitme pakkuja vahel laiali. Neile rünnetele reageerimiseks jälgib Microsofti ohuanalüüs pakkujaid individuaalselt, pöörates tähelepanu sellele, kes neist tegelevad esialgse juurdepääsu pakkumise ja kes teiste teenustega.10

 

Ignite’i konverentsilt pärinevas videosegmendis kirjeldab Microsofti ohuanalüüsi osakonna ohuanalüüsistrateegia juht Sherrod DeGrippo lunavarateenuste majanduse praegust seisu. Vaadake videot allpool:

Kohandatud tööriistade järjepidev kasutus

Ehkki mõni rühmitus väldib kohandatud ründevara kasutamist aktiivselt ja teadlikult, et enda tegevust paremini varjata (vt eespool lõiku „Kohandatud tööriistade ja ründevara vältimine“), on teised läinud avalikult kättesaadavate tööriistade ja lihtsate skriptide kasutamiselt üle keerukamaid oskusi ja vahendeid nõudvatele lähenemistele, mis on välja töötatud just nende jaoks.11

Taristu sihtimine

Ehkki taristuorganisatsioonidel (nt veetöötlusettevõtted, merendus- ja transpordiorganisatsioonid jt) pole enamasti nii väärtuslikke luureandmeid, mis ahvatlevad suuremat osa küberspioone, pakuvad need siiski võimalust tegevuse halvamiselt tulu teenida. 12

 

John Lambert Microsoftist annab põgusa ülevaate küberspionaaži paradoksist: sihtmärgist, milles näiliselt puuduvad andmed. Vaadake videot allpool:

Nagu näete nende üheteistkümnest 2023. aasta märkimist väärt punkti üksikasjadest, mida oleme just analüüsinud, areneb ohumaastik pidevalt edasi ning küberründed muutuvad aina keerukamaks ja sagedasemaks. Pole kahtlustki, et need enam kui 300 küberohustajat, keda jälgime, proovivad pidevalt midagi uut, kombineerides uuendused juba järeleproovitud TTP-dega. See on üks neid asju, mis meile nende küberohustajate juures meeldib: mida rohkem me nende tegevust analüüsime ja mida paremini nende olemust mõistame, seda täpsemini oskame prognoosida nende järgmisi käike. Tänu genereerivale tehisintellektile saame seda nüüd teha varasemast kiiremini, et ründajad juba ründe varases järgus välja tõrjuda.

 

Seda öeldes ongi aeg liikuda edasi 2024. aastasse.

 

Sisukate ja ülevaatlike ohuanalüüsiuudiste ja teabe saamiseks kuulake  Microsofti ohuanalüüsi netisaadet, mida juhib Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Üks aasta Venemaa hübriidsõda Ukrainas. Lk 14

  6. [6]

    Iraan pöördub suurema mõju saavutamiseks kübertoega mõjuoperatsioonide poole. Lk 11.

  7. [7]
  8. [8]

    Iraan pöördub suurema mõju saavutamiseks kübertoega mõjuoperatsioonide poole. Lk 11.

  9. [9]

    Ida-Aasia digiohud on üha ulatuslikumad ja tõhusamad. Lk 6

  10. [10]

    Üks aasta luuretegevust: Microsofti ülemaailmne vastupanu APT-dele – tipphetked

  11. [11]

    Iraan pöördub suurema mõju saavutamiseks kübertoega mõjuoperatsioonide poole. Lk 12.

  12. [12]

    Üks aasta luuretegevust: Microsofti ülemaailmne vastupanu APT-dele – tipphetked

Kübermõjuoperatsioonid Riiklikult mahitatud Küberohustajad

Seotud artiklid

Venemaa küberohustajad on valmis sõjaväsimust ära kasutama

Venemaa küber- ja mõjuoperatsioonid jätkuvad koos sõjaga Ukrainas. Microsofti ohuanalüüsi meeskond annab üksikasjaliku ülevaate viimase kuue kuu küberohtudest ja mõjutegevustest.
Lisateave

Volt Typhoon sihib USA kriitilise tähtsusega taristut käepäraste tehnikatega

Microsofti ohuanalüüs on päevavalgele toonud Iraani senisest ulatuslikumad kübertoega mõjuoperatsioonid. Lisaks ohtudele saate ülevaate ka uutest tehnikatest ja sellest, kus on kõige suurem potentsiaal tulevaste ohtude tekkimiseks.
Lisateave

Lunavara teenusena: tööstusliku küberkuritegevuse uus nägu

Microsofti ohuanalüüs uurib aasta kestnud küber- ja mõjuoperatsioone Ukrainas, toob päevavalgele küberohtude uued trendid ja annab ülevaate sellest, mida oodata teise sõja-aasta alates.
Lisateave

Jälgi Microsofti