Trace Id is missing
Pereiti prie pagrindinio turinio
Sauga iš vidinės perspektyvos

2023 metų grėsmių analizės apžvalga: Pagrindinės įžvalgos ir įvykiai

Bendrinti
Raudoni apskritimai danguje

Šie metai buvo išskirtiniai „Microsoft“ grėsmių žvalgybai. Bendras grėsmių ir atakų kiekis, kurį pavyko atskleisti kasdien stebint daugiau kaip 65 milijardus įspėjimų, mums suteikė daugybę įžvalgų, ypač apie grėsmių sukėlėjų masto pokytį ir nacionalinių vyriausybių paramos naudojimą. Praėjusiais metais atakų buvo daugiau nei bet kada anksčiau, o atakų grandinės su kiekviena diena tampa vis sudėtingesnės. Sutrumpėjo buvimo laikas. Taktikos, technikos ir procedūros (TTP) evoliucionavo, kad taptų judresnės ir labiau išvengiamos. Žvelgdami į šių incidentų detales, galime įžvelgti dėsningumus ir nustatyti, kaip reaguoti į naujas grėsmes ir numatyti, kokia kryptimi jos gali judėti toliau. Mūsų TPP nuo 2023 m. apžvalga siekiama išsamiai apžvelgti grėsmių žvalgybos tendencijas remiantis tuo, ką pastebėjome per incidentus visame pasaulyje. Štai keletas svarbiausių dalykų, kuriais mes su Sherrod DeGrippo norėtume pasidalyti su jumis, taip pat keletas vaizdo įrašų iš mūsų diskusijos „Ignite 2023“.

John Lambert,
„Microsoft“ įmonės viceprezidentas ir saugos specialistas

Grėsmės sukėlėjų pavadinimų taksonomija

2023 metais „Microsoft“ perėjo prie naujos, orų tematikos grėsmių veikėjų pavadinimų taksonomijos, kuri (1) geriau atitinka didėjantį šiuolaikinių grėsmių sudėtingumą, mastą ir apimtį ir (2) suteikia labiau organizuotą, įsimenamą ir paprastesnį būdą nurodyti priešininkų grupes.1

„Microsoft“ grėsmės sukėlėjus skirsto į penkias pagrindines grupes:

Tautinės valstybės įtakos operacijos: Pūga, audra, potvynis, cunamis, uraganas, smėlio audra, šlapdriba.

Mūsų naujojoje taksonomijoje orų reiškinio arba šeimos pavadinimas atitinka vieną iš pirmiau minėtų kategorijų. Tai pačiai orų šeimai priklausantiems grėsmės dalyviams suteikiamas būdvardis, kad būtų galima atskirti skirtingas grupes, išskyrus besikuriančias grupes, kurioms suteikiami keturženkliai numeriai.

2023 m. grėsmių taktikos, technikos ir procedūrų (TTP) tendencijos

Individualizuoti įrankių ir kenkėjiškų programų vengimas

Grėsmių sukėlėjų grupės, akcentuojančios slaptumo principą, pasirinktinai vengia naudoti individualizuotą kenkėjišką programinę įrangą. Vietoj to jie naudoja aukos įrenginyje esančius įrankius ir procesus, kad užmaskuotų save kartu su kitais grėsmių sukėlėjais, naudojančiais panašius metodus atakoms vykdyti. 2

„Microsoft“ įmonės viceprezidentas ir saugos specialistas Johnas Lambertas trumpai pakomentuoja, kaip grėsmių sukėlėjai vengia efektingų pasirinktinių įrankių, kad galėtų pasislėpti. Žiūrėkite toliau pateiktą vaizdo įrašą:

Kibernetinių ir įtakos operacijų (IO) derinimas

Vasarą „Microsoft“ pastebėjo, kaip tam tikri valstybių veikėjai derina kibernetinių operacijų ir įtakos operacijų metodus kurdami naują hibridą, kurį pavadinome „kibernetinėmis įtakos operacijomis.“ Ši nauja taktika padeda veikėjams didinti, perdėti ar kompensuoti savo prieigos prie tinklo ar kibernetinių atakų pajėgumų trūkumus. 3 3 kibernetiniai metodai apima tokias taktikas, kaip duomenų vagystė, sudarkymas, DDoS ir išpirkos reikalaujančios programos, kartu su tokiais poveikio metodais, kaip duomenų nutekinimas, marionetės, apsimetinėjimas aukomis, socialinė medija ir bendravimas SMS žinutėmis ir el. paštu.
Kibernetinių ir įtakos metodų žiniatinkliui draugiškas masyvas

SOHO tinklo krašto įrenginių pažeidimas

Grėsmių sukėlėjai kuria slaptus tinklus iš mažų biurų ir namų biurų (SOHO) tinklo kraštinių įrenginių ir netgi naudoja programas, padedančias rasti pažeidžiamus galinius taškus visame pasaulyje. Šis metodas apsunkina priskyrimą, nes atakos gali būti vykdomos iš bet kurios vietos.4

Šiame 35 sekundžių trukmės vaizdo įraše Johnas Lambertas iš „Microsoft“ išsamiai paaiškina, kodėl grėsmių sukėlėjams SOHO tinklo krašto įrenginiai yra tokie patrauklūs taikiniai. Žiūrėkite toliau pateiktą vaizdo įrašą:

Grėsmių sukėlėjai įgyja pirminę prieigą įvairiais būdais

Ukrainoje ir kitur „Microsoft“ grėsmių žvalgybos tyrėjai pastebėjo, kad grėsmių sukėlėjai pirminę prieigą prie taikinių įgyja naudodamiesi įvairiomis priemonėmis. Įprastinės taktikos ir metodai buvo tokie: internetinių programų naudojimas, piratinė programinė įranga ir tikslinis sukčiavimas apsimetant. 5 po „Hamas“ išpuolių, siekdamos pasipriešinti Izraeliui, greitai padidino savo kibernetines ir įtakos operacijas.

Apsimetinėjimas aukomis, siekiant padidinti patikimum1

Vis dažniau vykdant kibernetinio poveikio operacijas apsimetama tariamomis nukentėjusiomis organizacijomis arba jų vadovaujančiais asmenimis, siekiant padidinti kibernetinės atakos ar kompromitavimo poveikio patikimumą. 6

Greitas viešai paskelbtų POC pritaikymas pradinei prieigai ir išlikimui

„Microsoft“ vis dažniau pastebi, kad tam tikri valstybių pogrupiai netrukus po to, kai išleidžiamas viešai atskleistas koncepcijos įrodymo (POC) kodas, perima jį, kad pasinaudotų interneto programų pažeidžiamumais. 7

 

Toliau pateiktame paveikslėlyje pavaizduotos dvi „Microsoft“ pastebėtos atakų grandinės, kurioms pirmenybę teikia valstybės pogrupis. Abiejose grandinėse įsilaužėliai naudoja „Impacket“ horizontaliam judėjimui.

Atakos grandinės iliustracija.

Grėsmių sukėlėjai bando naudoti masines SMS žinutes, kad susisiektų su tiksline auditorija

„Microsoft“ pastebėjo, kad keli veikėjai bando naudoti masines SMS žinutes, kad sustiprintų savo kibernetinio poveikio operacijas ir psichologinį poveikį. 8

Toliau pateiktame paveikslėlyje pavaizduoti du vienas šalia kito esantys SMS pranešimai, kuriuos siunčia grėsmės sukėlėjai, prisistatantys Izraelio sporto tinklu. Pranešime kairėje yra nuoroda į sudarkytą „Sport5“ puslapį. Dešinėje esantis pranešimas įspėja: „Jei jums patinka jūsų gyvenimas, nevažiuokite į mūsų šalis.“

„Atlas“ grupės telegrama: SMS žinutės, panašios į Izraelio sporto tinklą, ekrano kopijos.

Socialinės medijos operacijos didina veiksmingą auditorijos įtraukimą

Slaptos įtakos operacijos dabar pradėjo sėkmingai bendrauti su tiksline auditorija socialinėje medijoje labiau nei anksčiau, atspindėdamos aukštesnį interneto IO išteklių rafinuotumo ir kultivavimo lygį.9

 

Žemiau pateikiama „Black Lives Matter“ diagrama, kurią iš pradžių įkėlė nacionalinės valstybės grupės automatizuota paskyra. Po septynių valandų jį vėl įkėlė paskyra, apsimetusi JAV konservatyvių pažiūrų rinkėju.

Pranešimas, remiantis judėjimą „Juodaodžių gyvybės svarbios“, smerkiantis diskriminaciją, žiaurų policijos elgesį, skatinantis orumą ir saugumą

Specializacija išpirkos reikalaujančių programų ekonomikoje

2023 m. išpirkos reikalaujančių programų operatoriai buvo linkę specializuotis, sutelkdami dėmesį į nedidelį galimybių ir paslaugų spektrą. Tokia specializacija lemia išpirkos reikalaujančios programinės įrangos atakos sudedamųjų dalių pasiskirstymą tarp daugelio paslaugų teikėjų sudėtingoje šešėlinėje ekonomikoje. Reaguodama į tai, „Microsoft“ grėsmių žvalgyba stebi atskirus paslaugų teikėjus, atkreipdama dėmesį į pirminės prieigos srautą, o vėliau – į kitas paslaugas.10

 

Vaizdo įrašo iš „Ignite“ segmente „Microsoft“ grėsmių žvalgybos skyriaus grėsmių žvalgybos strategijos vadovas Sherrod DeGrippo apibūdina dabartinę išpirkos reikalaujančių programų paslaugų ekonomiką. Žiūrėkite toliau pateiktą vaizdo įrašą:

Stabilus individualizuotų įrankių naudojimas

Nors kai kurios grupės aktyviai vengia naudoti pasirinktines kenkėjiškas programas slaptais tikslais (žr. pirmiau pateiktą skyrių „Individualizuoti įrankių ir kenkėjiškų programų vengimas“), kitos atsisakė viešai prieinamų įrankių ir paprastų scenarijų ir renkasi pagal užsakymą sukurtus metodus, kuriems reikia sudėtingesnių sprendimų.11

Taikomasi į infrastruktūrą

Nors infrastruktūros organizacijos – vandens valymo įrenginiai, jūrų operacijos, transporto organizacijos – neturi tokių vertingų duomenų, kurie dėl žvalgybinės vertės trūkumo labiausiai traukia kibernetinį šnipinėjimą, jos turi veiklos sutrikdymo vertę. 12

 

Johnas Lambertas iš „Microsoft“ trumpai pristato kibernetinio šnipinėjimo paradoksą: taikinį, kuris iš pažiūros neturi duomenų. Žiūrėkite toliau pateiktą vaizdo įrašą:

Kaip matote iš ką tik apžvelgtų 11 punktų iš 2023 metų, grėsmių aplinka nuolat kinta, o kibernetinių atakų sudėtingumas ir dažnumas vis didėja. Neabejojame, kad daugiau nei 300 grėsmių sukėlėjų, kuriuos stebime, visada bandys ką nors naujo ir derins tai su gerai išbandytomis TTP. Būtent tai mums ir patinka, nes analizuodami šiuos grėsmių sukėlėjus ir suprasdami jų vaidmenis, galime nuspėti tolesnius jų veiksmus. Dabar, naudodami generuojamąjį dirbtinį intelektą, galėsime tai atlikti greičiau ir geriau išvaryti užpuolikus anksčiau.

 

Taigi kelkimės į 2024-uosius.

 

Norėdami gauti grėsmių žvalgybos naujienų ir informacijos, kurią galite įsisavinti automobilyje, peržiūrėkite „Microsoft“ grėsmių žvalgybos tinklalaidę, kurią vedą Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Rusijos hibridinio karo Ukrainoje metai. 14 psl.

  6. [6]

    Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio. 11 psl.

  7. [7]
  8. [8]

    Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio. 11 psl.

  9. [9]

    Didėja Rytų Azijos skaitmeninių grėsmių mastas ir veiksmingumas. 6 psl.

  10. [10]

    Žvalgybos metai: Svarbiausi įvykiai iš „Microsoft“ pasaulinės kovos su APT

  11. [11]

    Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio. 12 psl.

  12. [12]

    Žvalgybos metai: Svarbiausi įvykiai iš „Microsoft“ pasaulinės kovos su APT

Kibernetinės įtakos operacijos Valstybė Grėsmių sukėlėjai

Susiję straipsniai

Rusijos grėsmių sukėlėjai įsitvirtina ir ruošiasi pasinaudoti karo nuovargiu

Besitęsiant karui Ukrainoje, toliau vykdomos ir Rusijos kibernetinės bei įtakos operacijos. „Microsoft“ grėsmių žvalgyba pateikia išsamią informaciją apie naujausias pastarųjų šešių mėnesių kibernetines grėsmės ir įtakos operacijas.
Sužinokite daugiau

„Volt Typhoon“ taikosi į JAV kritinę infrastruktūrą taikydama metodus, kai operacinėje sistemoje esantys ištekliai yra naudojami kenkėjiškoms atakoms vykdyti

„Microsoft“ grėsmių žvalgyba atskleidė, kad iš Irano vykdoma vis daugiau kibernetinių įtakos operacijų. Gaukite įžvalgų apie grėsmes, išsamią informaciją apie naujus metodus ir būsimų grėsmių potencialą.
Sužinokite daugiau

Išpirkos reikalaujančios programos kaip paslauga: Naujasis industrializuotų kibernetinių nusikaltimų veidas

„Microsoft“ grėsmių žvalgyba analizuoja kibernetinių ir įtakos operacijų Ukrainoje metus, atskleidžia naujas kibernetinių grėsmių tendencijas ir paaiškina, ko galima tikėtis prasidėjus antriesiems karo metams.
Sužinokite daugiau

Sekite „Microsoft“