Trace Id is missing
Salt la conținutul principal
Security Insider

Analiza anuală a Investigării amenințărilor pentru anul 2023: Evenimente și detalii cheie

Distribuiți
Cercuri roșii pe cer

A fost un an extraordinar pentru Investigarea amenințărilor Microsoft. Volumul uriaș al amenințărilor și atacurilor dezvăluite prin cele peste 65 de trilioane de semnale pe care le monitorizăm zilnic ne-a oferit multe puncte de inflexiune, mai ales că observăm o schimbare în modul în care actorii de amenințare cresc și profită de sprijinul statului național. Anul trecut au avut loc mai multe atacuri ca oricând, iar lanțurile de atac devin tot mai complexe pe zi ce trece. Timpii de așteptare s-au scurtat. Tacticile, tehnicile și procedurile (TTP) au evoluat și au devenit mai agile și mai evazive ca natură. Dacă analizăm detaliile acestor incidente putem observa anumite modele, astfel încât să putem determina cum să răspundem la noile amenințări și să anticipăm în ce direcție ar putea să se îndrepte acestea. Revizuirea noastră a TTP-urilor din 2023 vizează furnizarea unei imagini de ansamblu exhaustive asupra contextului investigării amenințărilor în baza celor constatate în cadrul incidentelor din întreaga lume. Iată câteva dintre cele mai importante momente pe care eu și Sherrod DeGrippo am dori să le împărtășim cu dvs. alături de câteva fragmente video din discuția noastră de la Ignite 2023.

John Lambert,
Vicepreședinte corporativ al Microsoft și cercetător în domeniul securității

Taxonomia de denumire a actorilor de amenințare

În 2023, Microsoft a trecut la o nouă taxonomie de denumire a actorilor de amenințare, cu tematică meteo, care (1) reflectă mai bine complexitatea, amploarea și volumul tot mai mari ale amenințărilor moderne și (2) oferă o modalitate mai organizată, mai memorabilă și mai ușoară de a face referire la grupările adversare.1

Microsoft clasifică actorii de amenințare în cinci grupuri cheie:

Operațiuni de influență ale statelor naționale: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Potrivit noii noastre taxonomii, fiecare fenomen meteorologic sau nume de familie reprezintă una dintre categoriile de mai sus. Actorii de amenințare din cadrul aceleiași familii de fenomene meteorologice primesc un adjectiv care să permită diferențierea diferitelor grupuri, cu excepția celor în curs de dezvoltare, cărora li se atribuie numere de patru cifre.

Tendințele anului 2023 în materie de tactici, tehnici și proceduri de amenințare (TTP)

Evitarea instrumentelor și a programelor malware personalizate

Grupările de actori de amenințare axate pe invizibilitate au evitat în mod selectiv utilizarea de programe malware personalizate. În schimb, aceștia utilizează instrumente și procese existente pe dispozitivul victimei pentru a rămâne invizibili alături de alți actori de amenințare care utilizează metode similare pentru a lansa atacuri. 2

John Lambert, vicepreședinte corporativ al Microsoft și cercetător în domeniul securității, explică pe scurt modul în care actorii de amenințare evită instrumentele personalizate și ostentative pentru a-și asigura invizibilitatea. Urmăriți videoclipul de mai jos:

Combinarea operațiunilor cibernetice și a operațiunilor de influență (IO)

De-a lungul verii, Microsoft a remarcat că anumiți actori statali au combinat metodele operațiunilor cibernetice și ale operațiunilor de influență (IO) pentru a obține un nou hibrid pe care l-am denumit „operațiuni de influență cu suport cibernetic”. Această nouă tactică le permite actorilor să sporească, să exagereze sau să compenseze deficiențele în ceea ce privește accesul la rețea sau capacitățile de atac cibernetic. 3 Printre metodele cibernetice se numără tactici precum furtul de date, vandalismul, DDoS și ransomware, în combinație cu metode de influență precum scurgerile de date, marionetele, substituirea identității victimelor, rețelele de socializare și comunicarea prin SMS/email.
Matrice de metode cibernetice și de influență adecvată pentru web

Compromiterea dispozitivelor periferice ale rețelelor SOHO

Actorii de amenințare alcătuiesc rețele clandestine pornind de la dispozitivele de la periferia rețelelor SOHO (Small Office/Home Office – birouri mici și de la domiciliu), apelând chiar la programe care să ajute la localizarea punctelor finale vulnerabile din întreaga lume. Această tehnică îngreunează atribuirea, permițând ca atacurile să apară practic de oriunde.4

În acest videoclip de 35 de secunde, John Lambert de la Microsoft explică de ce actorii de amenințare consideră că dispozitivele periferice ale rețelelor SOHO constituie o țintă atât de atrăgătoare. Urmăriți videoclipul de mai jos:

Actorii de amenințare obțin accesul inițial prin diverse mijloace

Atât în Ucraina, cât și în alte țări, cercetătorii de la Investigarea amenințărilor Microsoft au constatat că actorii de amenințare au obținut accesul inițial la țintele vizate cu ajutorul unui kit de instrumente diverse. Printre tacticile și tehnicile obișnuite se numără exploatarea aplicațiilor orientate spre internet, software-ul piratat cu backdoor și phishingul țintit. 5 reactivi, intensificându-și rapid operațiunile cibernetice și de influență după atacurile Hamas pentru a contracara Israelul.

Substituirea identității victimelor pentru a-și spori credibilitatea

O tendință din ce în ce mai răspândită în cadrul operațiunilor de influență cu suport cibernetic presupune substituirea identității unor presupuse organizații victimă sau a unor personalități importante din cadrul acestor organizații, pentru a spori credibilitatea efectelor atacului cibernetic sau ale compromiterii. 6

Adoptarea rapidă a POC-urilor dezvăluite public pentru accesul inițial și persistență

Microsoft a constatat tot mai frecvent că anumite subgrupuri statale adoptă un cod de tip proof-of-concept (POC) dezvăluit public la scurt timp după ce acesta a fost lansat pentru a exploata vulnerabilitățile din aplicațiile orientate spre internet. 7

 

Figura de mai jos ilustrează două lanțuri de atac preferate de un subgrup statal pe care Microsoft l-a remarcat. În cazul ambelor lanțuri, atacatorii utilizează Impacket pentru a se deplasa lateral.

Ilustrația lanțului de atac.

Actorii de amenințare încearcă să utilizeze mesaje SMS în masă pentru a contacta un public țintă

Microsoft a observat mai mulți actori care au încercat să utilizeze mesajele SMS în masă pentru a-și spori amplificarea și efectele psihologice ale operațiunilor de influență cibernetică. 8

Figura de mai jos prezintă două mesaje SMS alăturate provenind de la actori de amenințare care se pretind a fi o rețea israeliană dedicată sportului. Mesajul din stânga conține un link către o pagină web vandalizată a Sport5. Mesajul din dreapta declară: „Dacă vă place viata, nu călătoriți în țările noastre”.

Atlas Group Telegram: Capturi de ecran ale unor mesaje SMS care pretind a fi de la un canal de sport israelian.

Operațiunile din rețelele de socializare sporesc eficiența interacțiunii cu publicul

Operațiunile de influență sub acoperire încep să interacționeze în mod eficient cu publicul-țintă pe rețelele de socializare într-o măsură mai mare decât în trecut, ceea ce reprezintă un nivel mai ridicat de sofisticare și de cultivare a activelor de IO online.9

 

Mai jos este o reprezentare grafică Black Lives Matter care a fost încărcată inițial de un cont automat al unei grupări statale. După șapte ore, aceasta a fost reîncărcată de un cont care pretindea a fi a unui alegător conservator american.

Mesaj de susținere pentru Black Lives Matter, care condamnă discriminarea și violența poliției și solicită demnitate și siguranță

Specializarea în cadrul economiei ransomware

În 2023, operatorii de ransomware au avut o tendință de a se specializa, optând să se concentreze pe o gamă restrânsă de capacități și servicii. Această specializare are un efect de divizare, răspândind componentele unui atac ransomware între mai mulți furnizori într-o economie subterană complexă. Prin urmare, Investigarea amenințărilor Microsoft monitorizează furnizorii în mod individual, identificând traficul implicat în accesul inițial și ulterior în alte servicii.10

 

Într-un segment video preluat de la Ignite, Sherrod DeGrippo, director al strategiei investigării amenințărilor de la Investigarea amenințărilor Microsoft, descrie starea actuală a economiei serviciilor ransomware. Urmăriți videoclipul de mai jos:

Utilizarea constantă a instrumentelor personalizate

Cu toate că unele grupări evită în mod activ malware-ul personalizat pentru a-și asigura invizibilitatea (consultați secțiunea „Evitarea instrumentelor și a programelor malware personalizate” de mai sus), altele au renunțat la instrumentele disponibile în mod public și la scripturile simple în favoarea unor abordări personalizate care necesită o tehnică mai sofisticată.11

Țintirea infrastructurii

Deși organizațiile de infrastructură — stațiile de tratare a apei, operațiunile maritime, organizațiile de transport — nu dețin tipul de date valoroase care să atragă majoritatea spionajului cibernetic din cauza lipsei de valoare informativă, ele oferă totuși un potențial de perturbare. 12

 

John Lambert de la Microsoft prezintă pe scurt paradoxul spionajului cibernetic: o țintă care nu pare să dețină date. Urmăriți videoclipul de mai jos:

După cum se poate observa din detaliile celor 11 elemente din 2023 pe care tocmai le-am analizat, situația amenințărilor evoluează continuu, iar sofisticarea și frecvența atacurilor cibernetice continuă să crească. Fără îndoială că cei peste 300 de actori de amenințare pe care-i monitorizăm vor încerca în permanență lucruri noi și le vor combina cu TTP-urile verificate și testate. Tocmai asta ne place la acești actori de amenințare, fiindcă, pe măsură ce-i analizăm și le înțelegem personajele, le putem prezice următoarele mișcări. Iar acum, cu ajutorul inteligenței artificiale generative, putem face acest lucru mai repede și vom reuși să eliminăm mai repede atacatorii.

 

Acestea fiind spuse, haideți să ne îndreptăm spre 2024.

 

Pentru a obține noutăți și informații despre investigarea amenințărilor pe care să le puteți asimila din mers, ascultați podcastul Investigarea amenințărilor Microsoft, găzduit de Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Un an de război hibrid rusesc în Ucraina. Pagina 14

  6. [6]

    Iranul recurge la operațiuni de influență cu suport cibernetic pentru un impact mai mare. Pagina 11.

  7. [7]
  8. [8]

    Iranul recurge la operațiuni de influență cu suport cibernetic pentru un impact mai mare. Pagina 11.

  9. [9]

    Amenințările digitale din Asia de Est cresc în amploare și eficacitate. Pagina 6

  10. [10]

    Un an în domeniul inteligenței: Momente importante din inițiativa globală a Microsoft împotriva APT-urilor

  11. [11]

    Iranul recurge la operațiuni de influență cu suport cibernetic pentru un impact mai mare. Pagina 12.

  12. [12]

    Un an în domeniul inteligenței: Momente importante din inițiativa globală a Microsoft împotriva APT-urilor

Operațiuni de influență cibernetică Stat național Actori de amenințare

Articole asociate

Actorii de amenințare ruși fac săpături, pregătiți să profite de uzura războiului

Operațiunile rusești cibernetice și de influență persistă pe măsură ce războiul din Ucraina continuă. Investigarea amenințărilor Microsoft detaliază cele mai recente activități de influență și amenințare cibernetică din ultimele șase luni.
Aflați mai multe

Volt Typhoon vizează infrastructura critică din Statele Unite ale Americii prin tehnici cu instrumente native (LOTL)

Investigarea amenințărilor Microsoft a descoperit o intensificare a operațiunilor de influență cibernetică din Iran. Obțineți informații privind amenințările, cu detalii despre tehnicile noi și despre potențialul amenințărilor viitoare.
Aflați mai multe

Ransomware ca serviciu: Noua față a infracțiunii cibernetice industrializate

Investigarea amenințărilor Microsoft analizează un an de operațiuni cibernetice și de influență în Ucraina, descoperă noi tendințe în materie de amenințări cibernetice și la ce trebuie să ne așteptăm pe măsură ce războiul intră în al doilea său an.
Aflați mai multe

Urmăriți Microsoft