Trace Id is missing

Vuoden 2023 uhkatietokatsaus: Tärkeitä merkityksellisiä tietoja ja kehityskulkuja

Punaisia ympyröitä taivaalla

Tämä on ollut uskomaton vuosi Microsoft Threat Intelligencelle. Päivittäin seuraamiemme yli 65 biljoonan signaalin kautta paljastuvien uhkien ja hyökkäysten valtava määrä on antanut meille monia käännekohtia, etenkin kun huomaamme muutoksen siinä, miten uhkaavat toimijat skaalautuvat ja käyttävät kansallisvaltioiden tukea. Viime vuonna hyökkäyksiä oli enemmän kuin koskaan. Lisäksi hyökkäysketjut muuttuvat päivä päivältä monimutkaisemmiksi. Odotusajat ovat lyhentyneet. Taktiikat, tekniikat ja menettelytavat (TTP) ovat muuttuneet entistä ketterämmiksi ja välttelevämmiksi. Tapausten tietoja tarkastelemalla voimme havaita malleja, jotta uusiin uhkiin reagoimisen tapa voidaan määrittää sekä ennakoida seuraavia liikkeitä. Vuoden 2023 TTP-katsauksen tarkoitus on tarjota kattava yleisnäkymä uhkatietoympäristöön eri puolilla maailmaa havaittujen tapausten kautta. Tässä on joitakin kohokohtia, joita minä ja Sherrod DeGrippo haluamme jakaa kanssanne, sekä videoleikkeitä keskustelustamme vuoden 2023 Ignite-tapahtumassa.

John Lambert,
Microsoft Corporate Vice President and Security Fellow

Uhkaavien toimijoiden nimeämistaksonomia

Vuonna 2023 Microsoft siirtyi uuteen, sääteemaiseen uhkaavien toimijoiden nimeämistaksonomiaan, joka (1) vastaa entistä paremmin modernien uhkien monimutkaisuutta, laajuutta ja määrää sekä (2) tarjoaa järjestetyn, muistettavan ja helpon tavan viitata vastustajaryhmiin.1

Microsoft luokittelee uhkaavat toimijat viiteen pääryhmään:

Valtioiden tukemat vaikuttamisoperaatiot: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Uudessa taksonomiassa sääilmiön tai -perheen nimi edustaa yhtä yllä olevista luokista. Samaan sääperheeseen kuuluville uhkaaville toimijoille annetaan adjektiivi, jonka avulla eri ryhmät erotetaan toisistaan. Tästä poikkeuksena ovat kehittyvät ryhmät, joille annetaan nelinumeroinen luku.

Vuoden 2023 uhkaavien taktiikoiden, tekniikoiden ja menettelytapojen (TTP) suuntaukset

Mukautettujen työkalujen ja haittaohjelmistojen välttäminen

Uhkaavien toimijoiden ryhmät, jotka korostavat häivetekniikoita, ovat valikoiden välttäneet mukautettujen haittaohjelmistojen käyttöä. Niiden sijaan ryhmät käyttävät uhrin laitteella olevia työkaluja ja prosesseja, jotta heidän toimintansa voidaan piilottaa. Myös muut hyökkäyksiä käynnistävät uhkaavat toimijat käyttävät vastaavia menetelmiä. 2

John Lambert, Microsoft Corporate Vice President and Security Fellow, kommentoi lyhyesti uhkaavien toimijoiden tapaa välttää huomattavia mukautettuja työkaluja häivevaikutuksen saavuttamiseksi. Katso video alla:

Kyber- ja vaikuttamisoperaatioiden (IO) yhdistäminen

Kesän aikana Microsoft havaitsi, että tietyt valtioiden tukemat uhkaavat toimijat yhdistivät kyberoperaatioiden ja vaikuttamisoperaatioiden (IO) menetelmiä. Tuloksena oli hybridi, jonka olemme nimenneet kyberavusteiseksi vaikuttamisoperaatioksi. Uusi taktiikka mahdollistaa sen, että toimijat voivat tehostaa tai liioitella verkon käytön tai kyberhyökkäysten osaamistaan tai paikata sen puutteita. 3 Kybermenetelmiin kuuluvat tietovarkauden, mitätöimisen, palvelunestohyökkäyksen ja kiristysohjelman kaltaiset taktiikat, jotka yhdistetään vaikuttamismenetelmiin, joita ovat esimerkiksi tietovuodot, haamuhenkilöt, uhriksi tekeytyminen, sosiaalinen media sekä teksti- ja sähköpostiviestit.
Verkkokäyttöön sopiva taulukko kyber- ja vaikuttamistavoista

SOHO-verkon reunalaitteiden vaarantuminen

Uhkaavat toimijat kokoavat peitettyjä verkkoja pientoimistojen ja kotitoimistojen (SOHO) verkon reunalaitteista jopa hyödyntämällä ohjelmia haavoittuvien päätepisteiden paikantamiseksi eri puolilta maailmaa. Tämä tekniikka hankaloittaa syyksi lukemista, mikä saa hyökkäykset vaikuttamaan siltä, että ne voivat olla peräisin mistä tahansa.4

Tässä 35 sekunnin videossa Microsoftin John Lambert kertoo, miksi SOHO-verkon reunalaitteet ovat houkuttelevia kohteita uhkaaville toimijoille. Katso video alla:

Uhkaavat toimijat hankkivat ensimmäisen käytön eri keinoin

Niin Ukrainassa kuin muuallakin Microsoft Threat Intelligencen tutkijat ovat havainneet, että uhkaavat toimijat hankkivat kohteidensa ensimmäisen käytön laajan työkalupaketin avulla. Yleisiä taktiikoita ja tekniikoita ovat olleet Internet-käyttöiset sovellukset, takaportin piraattiohjelmistot sekä kohdennettu verkkourkinta. 5 reagoivia ja lisäsivät nopeasti kyber- ja vaikuttamisoperaatioita Hamasin Israeliin kohdistuneiden hyökkäysten jälkeen.

Uhreiksi tekeytyminen uskottavuuden lisäämiseksi

Kasvava trendi kyberavusteisissa vaikuttamisoperaatioissa on uhriorganisaatioiksi tai niiden johtohahmoiksi tekeytyminen, jotta kyberhyökkäyksen tai vaarantumisen vaikutusten uskottavuutta voidaan lisätä. 6

Julkisten soveltuvuusselvitysten nopea käyttöönotto ensimmäistä käyttöä ja pysyvyyttä varten

Microsoft on enenevissä määrin havainnut tiettyjen valtioiden tukemien aliryhmien ottavan käyttöön julkisten soveltuvuusselvitysten (POC) koodia pian julkaisemisen jälkeen hyödyntääkseen Internet-käyttöisten sovellusten haavoittuvuuksia. 7

 

Alla oleva kuva esittää Microsoftin havaitseman valtion tukeman aliryhmän käyttämää kahta hyökkäysketjua. Molemmissa ketjuissa hyökkääjät liikkuvat sivusuuntaisesti Impacketin avulla.

Kuvassa on hyökkäysketju.

Uhkaavat toimijat yrittävät käyttää joukkotekstiviestejä kohderyhmän tavoittamiseksi

Microsoft havaitsi, että useat uhkaavat toimijat yrittävät käyttää joukkotekstiviestejä lisätäkseen kybervaikuttamisoperaatioidensa laajuutta ja psykologista vaikutusta. 8

Alla oleva kuvio edustaa kahta rinnakkaista tekstiviestiä uhkaavilta toimijoilta, jotka esiintyvät israelilaisena urheilukanavana. Vasemmalla oleva viesti sisältää linkin turmeltuun Sport5-verkkosivuun. Oikealla olevassa viestissä lukee: "Jos pidät elämästäsi, älä matkusta maihimme."

Atlas Group Telegram: Näyttökuvia tekstiviestistä, jossa esiinnytään israelilaisena urheilukanavana.

Sosiaalisen median toimet lisäävät tehokkaasti yleisön osallistamista

Salaiset vaikuttamisoperaatiot ovat nyt alkaneet menestyksekkäästi ottaa yhteyttä kohdeyleisöihin sosiaalisessa mediassa laajemmin kuin aiemmin on havaittu, mikä on osoitus verkon vaikuttamisoperaatioiden kehittyneisyydestä ja kasvattamisesta.9

 

Alla on Black Lives Matter -grafiikka, joka lähetettiin alun perin valtion tukeman ryhmän automatisoidulta tililtä. Seitsemän tuntia myöhemmin se lähetettiin uudelleen tililtä, joka tekeytyi yhdysvaltalaiseksi konservatiiviäänestäjäksi.

Lausunto, joka tukee Black Lives Matter -liikettä, tuomitaan syrjintä ja poliisiväkivalta sekä puolustetaan ihmisarvoa ja turvallisuutta

Erikoistuminen kiristysohjelmien talousjärjestelmässä

Vuonna 2023 kiristysohjelmaoperaattorit ovat suuntautuneet erikoistumiseen ja valinneet pieneen ominaisuuksien ja palveluiden joukkoon keskittymisen. Erikoistumisella on pirstaloiva vaikutus, sillä kiristysohjelmahyökkäyksen osat leviävät monimutkaisen maanalaisen talousjärjestelmän eri palveluntarjoajille. Vastauksena tähän Microsoft Threat Intelligence seuraa palveluntarjoajia yksitellen ja havainnoi, mitkä niistä liikkuvat ensimmäisessä käytössä ja mitkä muissa palveluissa.10

 

Ignite-tapahtuman videosegmentissä Microsoft Threat Intelligencen Sherrod DeGrippo, Director of Threat Intelligence Strategy, kuvailee kiristysohjelmien palvelujärjestelmän tämänhetkistä tilaa. Katso video alla:

Mukautettujen työkalujen vakaa käyttö

Vaikka jotkut ryhmät välttelevät aktiivisesti mukautettuja haittaohjelmistoja häivetarkoituksissa (katso yllä kohta Mukautettujen työkalujen ja haittaohjelmistojen välttäminen), muut ovat lopettaneet julkisesti saatavilla olevien työkalujen ja yksinkertaisten komentosarjojen käytön ja räätälöityihin menettelytapoihin, jotka vaativat kehittyneisyyttä.11

Kohteena infrastruktuuri

Vaikka infrastruktuuriorganisaatioilla – vedenkäsittelylaitokset, merenkulkuyritykset ja kuljetusorganisaatiot – ei ole sellaista arvokasta dataa, joka vetäisi puoleensa kybervakoilua, niillä on häirintäarvoa. 12

 

Microsoftin John Lambert esittelee lyhyesti kybervakoilun paradoksin: kohde, jolla ei nähtävästi ole dataa. Katso video alla:

Kuten tarkastelemistamme 11 kohteesta vuodelta 2023 voi nähdä, uhkaympäristö kehittyy ja kyberhyökkäysten monimutkaisuus ja toistuvuus nousevat jatkuvasti. Seuraamamme yli 300 uhkaavaa toimijaa tulevat varmasti aina kokeilemaan jotakin uutta ja yhdistämään sen kokeiltuihin ja hyväksi todettuihin taktiikoihin, tekniikoihin ja menettelytapoihin. Parasta uhkaavien toimijoiden analysoinnissa ja henkilötyyppien ymmärtämisessä on se, että voimme ennustaa heidän seuraavia liikkeitään. Lisäksi generatiivisen tekoälyn avulla voimme tehdä tämän entistä nopeammin, ja hyökkääjien häätäminen sujuu paremmin.

 

Siirrytäänpä siis vuoteen 2024.

 

Saadaksesi helposti sulatettavia Threat Intelligence -uutisia ja -tietoja, tutustu  Microsoft Threat Intelligence -podcastiin, jonka juontaa Sherrod DeGrippo.

  1. [5]

    Vuosi Venäjän hybridisodankäyntiä Ukrainassa. Sivu 14

  2. [6]

    Iran pyrkii toteuttamaan entistä tehokkaampia vaikuttamisoperaatioita kybertoimien avulla. Sivu 11.

  3. [8]

    Iran pyrkii toteuttamaan entistä tehokkaampia vaikuttamisoperaatioita kybertoimien avulla. Sivu 11.

  4. [9]

    Itä-Aasian digitaalisten uhkien laajuus ja tehokkuus kasvavat. Sivu 6

  5. [10]

    Intelin vuosi: Kohokohdat Microsoftin yleisestä kannasta pitkäkestoisia uhkia vastaan

  6. [11]

    Iran pyrkii toteuttamaan entistä tehokkaampia vaikuttamisoperaatioita kybertoimien avulla. Sivu 12.

  7. [12]

    Intelin vuosi: Kohokohdat Microsoftin yleisestä kannasta pitkäkestoisia uhkia vastaan

Aiheeseen liittyviä artikkeleita

Venäläiset uhkatoimijat valmistautuvat hyödyntämään sotaväsymystä

Venäjän kyber- ja vaikuttamistoimet jatkuvat Ukrainan sodan jatkuessa. Microsoft Threat Intelligence kertoo yksityiskohtaisesti viimeisimmistä kyberuhista ja vaikutustoimista viimeisten kuuden kuukauden ajalta.

Volt Typhoon kohdistaa LOTL-tekniikoita Yhdysvaltojen kriittiseen infrastruktuuriin

Microsoft Threat Intelligence paljasti Iranista käsin tapahtuvan lisääntyneen kyberpohjaisen vaikuttamistoiminnan. Tutustu uhkiin ja lue yksityiskohtaisia tietoja uusista tekniikoista ja tulevista uhkista.

Kiristysohjelma palveluna: Teollistuneen kyberrikollisuuden uudet kasvot

Microsoft Threat Intelligence tarkastelee Ukrainan kyber- ja vaikuttamisoperaatioiden kulunutta vuotta, paljastaa kyberuhkien uusia suuntauksia ja kertoo, mitä on odotettavissa, kun sodan toinen vuosi alkaa.

Seuraa Microsoft Securitya