Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

مراجعة عام 2023 للتحليل الذكي للمخاطر: نتائج التحليلات والتطورات الرئيسية

مشاركة
دوائر حمراء في السماء

كان عاماً لا يُصدق لأجل التحليل الذكي للمخاطر من Microsoft. إن الحجم الهائل للتهديدات والهجمات التي تم الكشف عنها من خلال أكثر من 65 تريليون إشارة نراقبها يومياً قد أعطانا العديد من نقاط التحول، خاصة أننا نلاحظ تحولاً في كيفية توسيع ممثلي المخاطر نطاق دعم الدولة القومية والاستفادة منه. شهد العام الماضي هجمات أكثر من أي وقت مضى، وأصبحت سلاسل الهجمات أكثر تعقيداً مع مرور كل يوم. لقد جرى تقصير أوقات الإقامة. تطورت التكتيكات والتقنيات والإجراءات (TTPs) لتصبح أكثر ذكاءً وأكثر مراوغة بطبيعتها. إن النظر إلى تفاصيل هذه الأحداث يساعدنا على رؤية الأنماط حتى نتمكن من تحديد كيفية الرد على المخاطر الجديدة وتوقع الاتجاه الذي قد تتحرك فيه بعد ذلك. تهدف مراجعتنا لـ TPPs اعتباراً من عام 2023 إلى تقديم نظرة عامة شاملة عن مشهد تحليل ذكي للمخاطر من خلال ما لاحظناه في الحوادث حول العالم. فيما يلي بعض النقاط البارزة التي نود أنا وشيرود ديجريبو مشاركتها معكم بالإضافة إلى بعض مقتطفات الفيديو المأخوذة من مناقشتنا في Ignite 2023.

جون لامبرت،
نائب رئيس شركة Microsoft وزميل الأمن

تصنيف تسمية ممثل المخاطر

في عام 2023، تحولت Microsoft إلى تصنيف تسمية جديد لممثلي المخاطر تحت عنوان الطقس والذي (1) يتوافق بشكل أفضل مع التعقيد المتزايد وحجم وحجم التهديدات الحديثة و(2) يوفر طريقة أكثر تنظيماً وتذكراً وسهولة للإشارة إلى المجموعات المعادية.1

تصنف Microsoft ممثلي المخاطر إلى خمس مجموعات رئيسية:

عمليات تأثير الدولة القومية: Blizzard، Tempest، Flood، Tsunami، Storm، Sandstorm، Sleet.

في تصنيفنا الجديد، يمثل حدث الطقس أو اسم العائلة إحدى الفئات المذكورة أعلاه. يحصل ممثلو المخاطر ضمن نفس عائلة الطقس صفة للتمييز بين المجموعات المختلفة، باستثناء المجموعات قيد التطوير، والتي يتم إعطاؤها أرقاماً مكونة من أربعة أرقام.

اتجاهات 2023 لتكتيكات وتقنيات وإجراءات المخاطر (TTPs)

تفادي الأدوات والبرامج الضارة المخصصة

تجنبت مجموعات ممثلي المخاطر التي تركز على التخفي بشكل انتقائي استخدام البرامج الضارة المخصصة. بدلاً من ذلك، يستخدمون الأدوات والعمليات الموجودة على جهاز الضحية لإخفاء أنفسهم جنباً إلى جنب مع ممثلي المخاطر الآخرين الذين يستخدمون أساليب مماثلة لشن الهجمات. 2

يعلق نائب رئيس شركة Microsoft وزميل الأمان جون لامبرت بإيجاز على كيفية تجنب ممثلي المخاطر للأدوات المخصصة المبهرجة لتحقيق التخفي. مشاهدة مقطع الفيديو أدناه:

عمليات التأثير والعمليات عبر الإنترنت المدمجة (IO)

خلال الصيف، لاحظت Microsoft بعض ممثلي الدولة القومية التي تجمع بين أساليب العمليات عبر الإنترنت وعمليات التأثير (IO) في هجين جديد أطلقنا عليه اسم "عمليات التأثير المدعومة عبر الإنترنت". يساعد هذا التكتيك الجديد الممثلين على تعزيز أو المبالغة أو التعويض عن أوجه القصور في الوصول إلى الشبكة أو قدرات الهجوم عبر الإنترنت. 3 تتضمن أساليب 3Cyber ​​أساليب مثل سرقة البيانات، والتشويه، وهجمات DDoS، وبرامج الفدية جنباً إلى جنب مع أساليب التأثير مثل تسرب البيانات، ودمى الجوارب، وانتحال هوية الضحايا، ووسائل التواصل الاجتماعي، والتواصل عبر الرسائل النصية القصيرة/البريد الإلكتروني.
مجموعة صديقة للويب من الأساليب عبر الإنترنت والتأثيرية

المساس بأجهزة حافة شبكة SOHO

يجمع ممثلو المخاطر شبكات سرية من الأجهزة الطرفية لشبكات المكاتب الصغيرة/المكاتب المنزلية (SOHO)، حتى أنها تستخدم برامج للمساعدة في تحديد نقاط النهاية الضعيفة حول العالم. وتؤدي هذه التقنية إلى تعقيد عملية الإسناد، ما يجعل الهجمات تظهر من أي مكان تقريباً.4

في هذا الفيديو الذي تبلغ مدته 35 ثانية، يشرح جون لامبرت من Microsoft الأسباب التي تجعل ممثلين المخاطر يرون أن أجهزة حافة شبكة SOHO أهدافاً جذابة. مشاهدة مقطع الفيديو أدناه:

ممثلون المخاطر يكتسبون إمكانية الوصول الأولي من خلال وسائل متنوعة

في أوكرانيا وأماكن أخرى، لاحظ باحثو التحليل الذكي للمخاطر من Microsoft حصول ممثلي المخاطر على إمكانية الوصول الأولي إلى الأهداف باستخدام مجموعة أدوات متنوعة. تضمنت التكتيكات والتقنيات الشائعة استغلال التطبيقات التي تواجه الإنترنت، والبرامج المقرصنة ذات الأبواب الخلفية، والتصيد الاحتيالي. 5 عملياتها عبر الإنترنت وعمليات التأثير التفاعلية المتصاعدة بسرعة بعد هجمات حماس لمواجهة إسرائيل.

انتحال شخصية الضحايا لإضافة المصداقية

يتضمن الاتجاه المتزايد في عمليات التأثير عبر الإنترنت انتحال هوية المنظمات الضحية المزعومة، أو الشخصيات القيادية في تلك المنظمات، لإضافة مصداقية إلى تأثيرات الهجوم عبر الإنترنت أو التسوية. 6

الاعتماد السريع لإثباتات المفهوم التي تم الكشف عنها علناً للوصول الأولي والاستمرارية

لاحظت Microsoft بشكل متزايد أن مجموعات فرعية معينة من الدول القومية تتبنى رمز إثبات المفهوم (POC) الذي جرى الكشف عنه علناً بعد وقت قصير من إصداره لاستغلال نقاط الضعف في التطبيقات التي تواجه الإنترنت. 7

 

يوضح الشكل أدناه سلسلتي هجوم تفضلهما مجموعة فرعية تابعة للدولة القومية لاحظتهما Microsoft. في كلتا السلسلتين، يستخدم المهاجمون Impacket للتحرك أفقياً.

رسم توضيحي لسلسلة هجوم.

يحاول ممثلو المخاطر استخدام الرسائل النصية القصيرة الجماعية للاتصال بالجمهور المستهدف

لاحظت Microsoft أن العديد من ممثلي المخاطر يحاولون استخدام الرسائل النصية القصيرة الجماعية لتعزيز التضخيم والتأثيرات النفسية لعمليات التأثير عبر الإنترنت الخاصة بهم. 8

يعرض الشكل أدناه رسالتين نصيتين جنباً إلى جنب من ممثلي مخاطر يظهرون بأنها شبكة رياضية إسرائيلية. تحتوي الرسالة الموجودة على اليسار على رابط لصفحة ويب Sport5 مشوهة. رسالة بشأن الحروب على اليمين "إذا أعجبتك حياتك فلا تسافر إلى بلادنا".

قناة Atlas Group على Telegram: لقطات شاشة لرسائل نصية قصيرة تظهر على أنها شبكة رياضية إسرائيلية.

تزيد عمليات وسائل التواصل الاجتماعي من مشاركة الجمهور الفعالة

بدأت عمليات التأثير السري الآن في التفاعل بنجاح مع الجماهير المستهدفة على وسائل التواصل الاجتماعي إلى حد أكبر مما لوحظ سابقاً، وهو ما يمثل مستويات أعلى من التطور وتنمية أصول المعلوماتية عبر الإنترنت.9

 

يوجد أدناه رسم بياني لـ Black Lives Matter جرى تنزيله في البداية بواسطة الحساب الآلي لمجموعة الدولة القومية. وبعد سبع ساعات، أعيد تحميله بواسطة حساب ينتحل شخصية ناخب أمريكي محافظ.

بيان يدعم Black Lives Matter، ويدين التمييز وعنف الشرطة، ويدافع عن الكرامة والسلامة

التخصص في اقتصاد برامج الفدية الضارة

اتجه مشغلو برامج الفدية في عام 2023 نحو التخصص، واختاروا التركيز على مجموعة صغيرة من القدرات والخدمات. هذا التخصص له تأثير منقسم، حيث يؤدي إلى نشر مكونات هجوم برامج الفدية الضارة عبر مقدمي خدمات متعددين في اقتصاد سري معقد. رداً على ذلك، يتتبع التحليل الذكي للمخاطر من Microsoft مقدمي الخدمة بشكل فردي، مع ملاحظة نسبة استخدام الشبكة في الوصول الأولي ثم الخدمات الأخرى.10

 

في مقطع فيديو مأخوذ من موقع Ignite، يصف شيرود ديغريبو، مدير إستراتيجية تحليل ذكي للمخاطر في Microsoft، الوضع الحالي لاقتصاد خدمات برامج الفدية. مشاهدة مقطع الفيديو أدناه:

الاستخدام المطرد للأدوات المخصصة

في حين أن بعض المجموعات تتجنب بنشاط البرامج الضارة المخصصة لأغراض التخفي (راجع "تجنب الأدوات المخصصة والبرامج الضارة" أعلاه)، فقد تحولت مجموعات أخرى بعيداً عن الأدوات المتاحة للجمهور والنصوص البسيطة لصالح الأساليب المخصصة التي تتطلب مهارات تجارية أكثر تطوراً.11

استهداف البنية الأساسية

على الرغم من أن مؤسسات البنية التحتية – مرافق معالجة المياه، والعمليات البحرية، ومنظمات النقل – لا تمتلك هذا النوع من البيانات القيمة التي تجتذب معظم عمليات التجسس عبر الإنترنت بسبب الافتقار إلى القيمة الاستخباراتية، إلا أنها توفر قيمة تعطيلية. 12

 

يعرض جون لامبرت من Microsoft بإيجاز مفارقة التجسس عبر الإنترنت: هدف يبدو أنه لا يحتوي على بيانات. مشاهدة مقطع الفيديو أدناه:

وكما ترون من تفاصيل العناصر الـ 11 من عام 2023 التي استعرضناها للتو، فإن مشهد التهديدات يتطور باستمرار، ويستمر تعقيد الهجمات الإلكترونية وتكرارها في الارتفاع. ليس هناك شك في أن أكثر من 300 ممثل مخاطر نتتبعه سيحاولون دائماً تجربة شيء جديد ودمجه مع TTPs المجربة والحقيقية. وهذا هو ما نحبه في ممثلي المخاطر بينما نحللهم ونفهم شخصياتهم، ويمكننا التنبؤ بتحركاتهم التالية. والآن مع الذكاء الاصطناعي التوليدي، يمكننا تنفيذ بذلك بشكل أسرع وسنكون أفضل في طرد المهاجمين في وقت مبكر.

 

ومع ذلك، دعونا ننتقل إلى عام 2024.

 

للحصول على أخبار ومعلومات عن التحليل الذكي لمخاطر الإنترنت الذي يمكنك استيعابها أثناء القيادة، راجع بودكاست التحليل الذكي للمخاطر من Microsoft الذي يستضيفه Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    عام من الحرب الروسية الهجينة في أوكرانيا. الصفحة 14

  6. [6]

    إيران تلجأ إلى عمليات التأثير عبر الإنترنت لتحقيق تأثير أكبر. الصفحة 11.

  7. [7]
  8. [8]

    إيران تلجأ إلى عمليات التأثير عبر الإنترنت لتحقيق تأثير أكبر. الصفحة 11.

  9. [9]

    المخاطر الرقمية القادمة من شرق آسيا تتزايد من حيث اتساعها وفعاليتها. الصفحة 6

  10. [10]

    عام في Intel: أبرز النقاط في موقف Microsoft العالمي ضد المخاطر المستمرة المتقدمة

  11. [11]

    إيران تلجأ إلى عمليات التأثير عبر الإنترنت لتحقيق تأثير أكبر. الصفحة 12.

  12. [12]

    عام في Intel: أبرز النقاط في موقف Microsoft العالمي ضد المخاطر المستمرة المتقدمة

عمليات الهجمات عبر الإنترنت المؤثرة الدولة القومية ممثلو المخاطر

المقالات ذات الصلة

الجهات الفاعلة الروسية في مجال الخطر تحفر وتستعد للاستفادة من إرهاق الحرب

تستمر العمليات عبر الإنترنت وعمليات التأثير الروسية مع استمرار الحرب في أوكرانيا. يعرض التحليل الذكي للمخاطر من Microsoft تفاصيل أحدث المخاطر عبر الإنترنت وأنشطة التأثير على مدار الأشهر الستة الماضية.
تعرّف على المزيد

استكشف هجمات Volt Typhoon الإلكترونية على البنية التحتية الحيوية للولايات المتحدة باستخدام تقنيات التخفي خلف الأساليب الشرعية

كشفت شركة التحليل الذكي للمخاطر من Microsoft عن عمليات نفوذ متزايدة عبر الإنترنت انطلاقًا من إيران. احصل على نتائج تحليلات عن التهديدات مع تفاصيل التقنيات الجديدة ومكان وجود التهديدات المستقبلية المحتملة.
تعرّف على المزيد

برامج الفدية الضارة كخدمة: الوجه الجديد للجرائم الإلكترونية الصناعية

يفحص التحليل الذكي للمخاطر من Microsoft عاماً من العمليات عبر الإنترنت وعمليات التأثير في أوكرانيا، ويكشف عن اتجاهات جديدة في المخاطر عبر الإنترنت، وما يمكن توقعه مع دخول الحرب عامها الثاني.
تعرّف على المزيد

متابعة Microsoft