Trace Id is missing
Преминаване към основното съдържание
Участник в Insider за защита

Преглед на разузнаването за заплахи за 2023 г.: Ключови прозрения и разработки

Споделяне
Червени кръгове в небето

Беше невероятна година за набора от ресурси на Microsoft срещу заплахи. Големият обем от заплахи и атаки, разкрити чрез повече от 65 трилиона сигнала, които наблюдаваме ежедневно, ни даде много повратни точки, особено когато забелязваме промяна в начина, по който участниците в заплахите мащабират и използват подкрепата на националните държави. През изминалата година бяха извършени повече атаки от всякога, а веригите за атаки стават все по-сложни с всеки изминал ден. Времето за изчакване се е съкратило. Тактиките, техниките и процедурите (TTP) са се развили така, че да станат по-гъвкави и заобиколни. Прегледът на подробностите за тези инциденти ни помага да видим закономерностите, за да можем да определим как да реагираме на новите заплахи и да предвидим в каква посока могат да се движат те по-нататък. Нашият преглед на TPP от 2023 г. нататък има за цел да предостави цялостен преглед на информационния пейзаж на заплахите чрез това, което наблюдавахме при инциденти по целия свят. Ето някои от най-важните моменти, които и аз, и Sherrod DeGrippo бихме искали да споделим с вас, заедно с някои видео откъси, взети от нашата дискусия на Ignite 2023.

Джон Ламбърт,
Корпоративен вицепрезидент на Microsoft и сътрудник по сигурността

Таксономия на имената на участниците в заплахите

През 2023 г. Microsoft премина към нова таксономия на имената на участниците в заплахите, която (1) отговаря по-добре на нарастващата сложност, мащаб и обем на съвременните заплахи и (2) осигурява по-организиран, запомнящ се и лесен начин за позоваване на групите противници.1

Microsoft категоризира участниците в заплахите в пет основни групи:

Насочвани от държава операции за оказване на влияние: Снежна буря, Вихрушка, Наводнение, Цунами, Буря, Пясъчна буря, Снежната покривка.

В нашата нова таксономия дадено метеорологично събитие или фамилно име представлява една от горните категории. Извършителите, представляващи заплаха, в рамките на едно и също климатично семейство се дава прилагателно, за да се разграничат различните групи, с изключение на групите в процес на развитие, на които се дават четирицифрени числа.

Тенденции за тактиките, техниките и процедурите на заплахите (TTP) през 2023 г.

Избягване на персонализирани инструменти и злонамерен софтуер

Групите от извършители, представляващи заплаха, които наблягат на скритостта, избирателно избягват използването на персонализиран зловреден софтуер. Вместо това те използват инструменти и процеси, съществуващи в устройството на жертвата, за да се прикрият заедно с други участници в заплахи, които използват подобни методи за извършване на атаки. 2

Корпоративният вицепрезидент на Microsoft и сътрудник по сигурността Джон Ламбърт коментира накратко как участниците в заплахите избягват показните потребителски инструменти, за да се прикрият. Гледайте видеоклипа по-долу:

Комбиниране на кибернетични операции и операции за влияние (IO)

През лятото Microsoft наблюдаваше как някои национални държави съчетават методите на кибероперациите и операциите за оказване на влияние в нов хибрид, който нарекохме "кибероперации за оказване на влияние." Тази нова тактика помага на участниците да увеличат, преувеличат или компенсират недостатъците в своите възможности за достъп до мрежата или за кибератаки. 3 Кибернетичните методи включват тактики като кражба на данни, нарушаване на целостта, DDoS и рансъмуер в комбинация с методи за въздействие като изтичане на данни, сокпупети, представящи се за жертви, социални медии и SMS/електронна поща.
Подходящ за уеб масив от кибернетични методи и методи за въздействие

Компрометиране на крайните устройства на мрежата SOHO

Извършителите, представляващи заплаха, изграждат тайни мрежи от крайни устройства на мрежи за малки и домашни офиси (SOHO), като дори използват програми за подпомагане на намирането на уязвими крайни точки по целия свят. Тази техника усложнява приписването, тъй като атаките се появяват практически отвсякъде.4

В този 35-секунден видеоклип Джон Ламбърт от Microsoft обяснява защо участниците в заплахите намират крайните мрежови устройства в SOHO за толкова привлекателни цели. Гледайте видеоклипа по-долу:

Извършителите, представляващи заплаха, получават първоначален достъп чрез различни средства

В Украйна и на други места изследователите на Набор от ресурси на Microsoft срещу заплахи са наблюдавали, че участниците в заплахите получават първоначален достъп до цели, като използват разнообразен набор от инструменти. Често срещаните тактики и техники включват използване на приложения, насочени към интернет, пиратски софтуер и фишинг. 5 реагираха, като след атаките на Хамас бързо увеличиха операциите си в киберпространството и за оказване на влияние, за да противодействат на Израел.

Представяне на жертвите за по-достоверни

Все по-често срещана тенденция в операциите за оказване на влияние в киберпространството е представянето на предполагаеми организации-жертви или на водещи фигури в тези организации, за да се увеличи достоверността на ефекта от кибератаката или компрометирането. 6

Бързо приемане на публично оповестени POC за първоначален достъп и постоянство

Microsoft все по-често наблюдава, че определени подгрупи от национални държави приемат публично разкрит код за проверка на концепцията (POC) малко след публикуването му, за да използват уязвимости в приложения, насочени към интернет. 7

 

Фигурата по-долу илюстрира две вериги от атаки, предпочитани от подгрупа на национална държава, която Microsoft е наблюдавала. И в двете вериги нападателите използват Impacket, за да се движат в страни.

Илюстрация на верига на атака.

Извършителите, представляващи заплаха, се опитват да използват масови SMS съобщения, за да се свържат с целева аудитория

Microsoft наблюдаваше множество участници, които се опитваха да използват масови SMS съобщения, за да засилят усилването и психологическия ефект на своите операции за кибервлияние. 8

На фигурата по-долу са представени две съседни SMS съобщения от участници в заплахата, представящи се за израелска спортна мрежа. Съобщението вляво съдържа връзка към повредена уебстраница на Sport5. Посланието вдясно предупреждава: "Ако харесвате живота си, не пътувайте до нашите страни."

Atlas Group в Telegram: скрийншотове на SMS, представящ се за изпратен от израелска спортна мрежа.

Операциите в социалните медии увеличават ефективното ангажиране на аудиторията

Прикритите операции за оказване на влияние вече са започнали да се ангажират успешно с целевата аудитория в социалните медии в по-голяма степен, отколкото се наблюдаваше досега, което представлява по-високо ниво на усъвършенстване и култивиране на онлайн активите на операции за оказване на влияние.9

 

По-долу е представена графика на Black Lives Matter, която първоначално е била качена от автоматичен акаунт на национална група. Седем часа по-късно то беше качено отново от акаунт, представящ се за консервативен гласоподавател от САЩ.

Изявление в подкрепа на Black Lives Matter, осъждащо дискриминацията, полицейското насилие, в подкрепа на достойнството и безопасността

Специализация в икономиката на рансъмуера

Операторите на рансъмуер през 2023 г. се стремят към специализация, като избират да се съсредоточат върху малък набор от възможности и услуги. Тази специализация има ефект на раздробяване, като разпространява компонентите на атаката с рансъмуер сред множество доставчици в сложна подземна икономика. В отговор на това Набор от ресурси на Microsoft срещу заплахи проследява доставчиците поотделно, като отбелязва кой трафик при първоначален достъп и след това други услуги.10

 

Във видеоклип, заснет от Ignite, директорът на Стратегия на набор от ресурси на Microsoft срещу заплахи Шеррод ДеГрипо описва настоящото състояние на икономиката на услугите за откупване. Гледайте видеоклипа по-долу:

Постоянно използване на персонализирани инструменти

Докато някои групи активно избягват персонализирания зловреден софтуер за скрити цели (вж. „Избягване на персонализирани инструменти и злонамерен софтуер“ по-горе), други са се отклонили от публично достъпните инструменти и прости скриптове в полза на персонализирани подходи, изискващи по-сложни умения.11

Насочване към инфраструктурата

Въпреки че инфраструктурните организации - съоръжения за пречистване на вода, морски операции, транспортни организации - не разполагат с ценни данни, които привличат повечето кибершпиони поради липсата на разузнавателна стойност, те предлагат стойност за разрушаване. 12

 

Джон Ламбърт от Microsoft представя накратко парадокса на кибершпионажа: цел, която привидно не разполага с данни. Гледайте видеоклипа по-долу:

Както можете да видите от подробностите за 11-те елемента от 2023 г., които току-що разгледахме, пейзажът на заплахите непрекъснато се развива, а сложността и честотата на кибератаките продължават да нарастват. Няма съмнение, че над 300-те участници в заплахите, които следим, винаги ще опитват нещо ново и ще го комбинират с изпитани и истински TTP. Именно това ни харесва в тези участници в заплахи, тъй като ги анализираме и разбираме техните личности, можем да предвидим следващите им ходове. А сега с помощта на генеративния изкуствен интелект можем да правим това по-бързо и ще сме по-добри в извеждането на нападателите по-рано.

 

След това нека продължим напред към 2024 г.

 

За да получавате новини и информация за разузнаване за заплахи, които можете да усвоите по време на шофиране, вижте подкаста Набор от ресурси на Microsoft срещу заплахи с водещ Шеррод ДеГрипо.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Една година руска хибридна война в Украйна. Страница 14

  6. [6]

    Иран се насочва към операции за оказване на влияние с помощта на киберпространството с цел постигане на по-голям ефект. Страница 11.

  7. [7]
  8. [8]

    Иран се насочва към операции за оказване на влияние с помощта на киберпространството с цел постигане на по-голям ефект. Страница 11.

  9. [9]

    Увеличаване на обхвата и ефективността на цифровите заплахи от Източна Азия. Страница 6

  10. [10]

    Една година в Intel: Основни моменти от глобалната кампания на Microsoft срещу APT

  11. [11]

    Иран се насочва към операции за оказване на влияние с помощта на киберпространството с цел постигане на по-голям ефект. Страница 12.

  12. [12]

    Една година в Intel: Основни моменти от глобалната кампания на Microsoft срещу APT

Операции за кибервлияние Насочвани от държава Извършители, представляващи заплаха

Свързани статии

Руските действащи лица, свързани със заплахи, се окопават и се подготвят да се възползват от умората от войната

Руските кибероперации и операции за оказване на влияние продължават, докато войната в Украйна продължава. "Набор от ресурси на Microsoft срещу заплахи" предоставя подробна информация за най-новите киберзаплахи и дейности за влияние през последните шест месеца.
Научете повече

Volt Typhoon си набелязва за цели критична инфраструктура в САЩ с използване на т.н. „Living Off the Land“ (LOTL) техники

Набор от ресурси на Microsoft срещу заплахи разкриха засилени операции за оказване на влияние с помощта на киберпространството в Иран. Получете информация за заплахите с подробности за новите техники и за потенциалните бъдещи заплахи.
Научете повече

Рансъмуерът като услуга: Новото лице на индустриализираната киберпрестъпност

Наборът от ресурси на Microsoft срещу заплахи разглежда една година операции в киберпространството и за оказване на влияние в Украйна, разкрива новите тенденции в киберзаплахите и какво да очакваме, когато войната навлезе във втората си година.
Научете повече

Следвайте Microsoft