Trace Id is missing

2023. gada draudu informācijas pārskats: galvenie ieskati un izmaiņas

Kopīgot
Sarkani apļi debesīs

Microsoft draudu informācijas centrs ir aizvadījis neticamu gadu. Milzīgais apdraudējumu un uzbrukumu apjoms, kas atklāts, pateicoties vairāk nekā 65 triljoniem signālu, kurus pārraugām katru dienu, ir parādījis mums daudzus lūzumpunktus, jo īpaši vērojot pārmaiņas draudu izplatītāju darbības paplašināšanā un valstu atbalsta izmantošanā. Pagājušajā gadā tika novērots lielākais uzbrukumu skaits, kāds ir piedzīvots jebkad iepriekš, un uzbrukumu ķēdes kļuva dienu no dienas sarežģītākas. Uzturēšanās laiks ir saīsinājies. Taktika, paņēmieni un procedūras (TTP) ir attīstījušās, pēc būtības kļūstot ātrākas un agresīvākas. Atskatīšanās uz šo incidentu informāciju palīdz mums ieraudzīt shēmas. Tā mēs varam noteikt, kā reaģēt uz jauniem draudiem, un nojaust, kurā virzienā tie turpmāk varētu būt vērsti. Mūsu 2023. gada TTP pārskata mērķis ir nodrošināt visaptverošu draudu informācijas situācijas apskatu, izmantojot mūsu novērojumus incidentos visā pasaulē. Šeit sniegti daži ieskati, ar kuriem mēs ar Šerodu Degrippo vēlamies dalīties, pievienojam arī dažus videofragmentus no mūsu diskusijas pasākumā Ignite 2023.

Džons Lamberts (John Lambert),
Microsoft korporatīvais viceprezidents un drošības apvienības biedrs

Draudu izpildītāju nosaukumu taksonomija

2023. gadā Microsoft sāka izmantot jaunu, ar laikapstākļu nosaukumiem saistītu draudu izpildītāju nosaukumu taksonomiju, kas 1) labāk atbilst modernā apdraudējuma pieaugošajai sarežģītībai, mērogam un apjomam, 2) nodrošina organizētāku, labāk iegaumējamu un vienkāršāku veidu, kā atsaukties uz pretinieku grupām.1

Microsoft draudu izpildītājus iedala piecās pamatgrupās:

Nacionāla mēroga ietekmes operācijas: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Mūsu jaunajā taksonomijā laikapstākļi vai to kopums apzīmē vienu no iepriekš norādītajām kategorijām. Draudu izpildītājiem vienas laikapstākļu kopas ietvaros tiek piešķirts īpašības vārds, lai atšķirtu dažādas grupas. Izņēmums ir grupas, kas attīstās (tām tiek piešķirti četrciparu skaitļi).

2023. gada taktikas, paņēmienu un procedūru (TTP) tendences

Atteikšanās no pielāgotiem rīkiem un ļaunprogrammatūras

Lai saglabātu slepenību, draudu izpildītāju grupas atsevišķos gadījumos ir atteikušās no pielāgotas ļaunprogrammatūras izmantošanas. Tās vietā grupas izmanto rīkus un procesus, kas jau ir to upuru ierīcē, lai maskētos kopā ar citiem draudu izpildītājiem, kas izmanto līdzīgas metodes uzbrukumu veikšanai. 2

Microsoft korporatīvais viceprezidents un drošības apvienības biedrs Džons Lamberts īsi komentē to, kā draudu izpildītāji atsakās no pamanāmiem pielāgotiem rīkiem, lai saglabātu slepenību. Noskatieties tālāk redzamo videoklipu:

Kiberoperāciju un ietekmes operāciju (IO) apvienošana

Vasaras laikā Microsoft novēroja noteiktu valstu izpildorganizācijas apvienojam kiberoperāciju un ietekmes operāciju (IO) metodes jaunā hibrīdā, ko mēs dēvējam par “kibermetožu nodrošinātām ietekmes operācijām”. Jaunā taktika palīdz izpildītājiem paplašināt, pārspīlēt tīklu piekļuves vai kiberuzbrukumu iespējas vai kompensēt to trūkumus. 3 Kibermetodes ietver tādas taktikas kā zādzība, datu izkropļošana, DDoS un izspiedējprogrammatūra, kas tiek apvienotas ar tādām ietekmes metodēm kā datu noplūde, viltus profili, uzdošanās par upuriem, sociālie tīkli un saziņa, izmantojot īsziņas/e-pastu.
Tīmeklim draudzīgs kibermetožu un ietekmes metožu masīvs

Mazbiroju (SOHO) tīkla robežierīču apdraudēšana

Draudu izpildītāji veido slēptus tīklus no mazbiroju (SOHO) tīklu robežierīcēm, izmantojot pat programmas, kas palīdz noteikt ievainojamus galapunktus visā pasaulē. Šī metode sarežģī uzbrukuma veicēja atklāšanu, radot iespaidu, ka uzbrukumi notiek praktiski no jebkuras vietas.4

Šajā 35 sekundes ilgajā videoklipā Džons Lamberts no Microsoft stāsta par to, kāpēc draudu izpildītāji uzskata SOHO tīklu robežierīces par tik ļoti pievilcīgu mērķi. Noskatieties tālāk redzamo videoklipu:

Draudu izpildītāji sākotnējo piekļuvi iegūst dažādos veidos

Ukrainā un citur Microsoft draudu informācijas pētnieki ir novērojuši to, ka draudu izpildītāji sākotnējo piekļuvi mērķim iegūst, izmantojot dažādas rīkkopas. Biežāk pielietotās taktikas un metodes bija internetā lietojamu programmu, pirātiskas programmatūras lūku un mērķētas pikšķerēšanas izmantošana. 5 pretdarbība, ātri izvēršot kiberoperācijas un ietekmes operācijas pēc Hamās uzbrukumiem, kas vērsti pret Izraēlu.

Uzdošanās par upuriem, lai palielinātu ticamību

Kibermetožu nodrošinātās ietekmes operācijās arvien biežāk tiek ietverta uzdošanās par domājamajām upuru organizācijām vai vadošām personām šajās organizācijās, lai palielinātu ticamību kiberuzbrukuma vai apdraudējuma sekām. 6

Publiski izpaustu koncepcijas apliecinājumu ātra izmantošana, lai iegūtu sākotnējo piekļuvi un turpinātu uzbrukumus

Microsoft arvien biežāk novēroja to, ka noteiktas valstu izpildorganizāciju apakšgrupas izmanto publiski izpausta koncepcijas apliecinājuma (proof-of-concept — POC) kodu neilgi pēc tā izlaišanas, lai izmantotu internetā darbojošos programmu ievainojamības. 7

 

Tālāk attēlā parādītas divas uzbrukumu ķēdes, kuras atbalsta valsts izpildorganizācijas apakšgrupa, ko novēroja Microsoft. Abās ķēdēs uzbrucēji izmanto Impacket, lai pārvietotos laterāli.

Uzbrukuma ķēdes ilustrācija.

Draudu izpildītāji mēģina izmantot lielapjoma SMS ziņojumapmaiņu, lai sazinātos ar mērķauditoriju

Microsoft novēroja, ka vairāki izpildītāji mēģina izmantot lielapjoma SMS ziņojumapmaiņu, lai uzlabotu izplatību un kiberietekmes operāciju psiholoģiskos rezultātus. 8

Tālāk attēlā blakus viena otrai ir parādītas divas SMS ziņas no draudu izplatītājiem, kas izliekas par Izraēlas sporta tīklu. Kreisajā pusē redzamajā ziņā ir saite uz izkropļotu Sport5 tīmekļa lapu. Labajā pusē redzamajā ziņā ir brīdinājums: “Ja jums patīk sava dzīve, neceļojiet uz mūsu valstīm”.

Atlas Group Telegram: Īsziņu ekrānuzņēmumi, kurās kāds izliekas par Izraēlas sporta tīklu.

Sociālo tīklu operācijas palielina efektīvu auditorijas iesaisti

Slēptajās ietekmes operācijās tagad vēl vairāk nekā iepriekš ir uzsākta sekmīga mērķauditorijas iesaistīšana sociālajos tīklos, demonstrējot lielāku izsmalcinātības līmeni un tiešsaistes ietekmes operāciju resursu attīstību.9

 

Tālāk ir parādīts Black Lives Matter attēls, ko sākotnēji augšupielādēja valsts izpildorganizācijas grupas automātiskais konts. Pēc septiņām stundām tas vēlreiz tika augšupielādēts no kāda konta, kas uzdevās par ASV konservatīvo atbalstītāju.

Paziņojums par atbalstu kustībai “Black Lives Matter”, diskriminācijas un policijas vardarbības nosodīšanai, cieņas aizstāvēšanai un drošībai

Specializēšanās izspiedējprogrammatūras ekonomikā

Izspiedējprogrammatūras izmantotāji 2023. gadā centās specializēties, izvēloties koncentrēšanos uz nelielu iespēju un pakalpojumu klāstu. Šādai specializācijai ir šķembu efekts, tā izplata izspiedējprogrammatūras uzbrukuma komponentes vairākiem piegādātājiem sarežģītā un nelikumīgā ekonomikā. Reaģējot uz to, Microsoft draudu informācijas centrs izseko piegādātājus pa vienam, ievērojot trafiku sākotnējā piekļuvē un pēc tam citos pakalpojumos.10

 

Videofragmentā no Ignite Microsoft draudu informācijas draudu informācijas stratēģijas direktore Šeroda Degrippo raksturo izspiedējprogrammatūras pakalpojumu ekonomikas pašreizējo stāvokli. Noskatieties tālāk redzamo videoklipu:

Pielāgotu rīku nemainīga lietošana

Lai arī dažas grupas aktīvi atsakās no pielāgotas ļaunprogrammatūras slepenības nolūkā (skatiet sadaļu “Atteikšanā no pielāgotiem rīkiem un ļaunprogrammatūras” iepriekš), citas ir novērsušās no publiski pieejamiem rīkiem un vienkāršiem skriptiem par labu iepriekš izveidotām pieejām, kam nepieciešamas sarežģītākas prasmes.11

Uzbrukumi infrastruktūrai

Infrastruktūras organizācijām — ūdens attīrīšanas iekārtu uzturētājiem, jūras operāciju veicējiem, transporta organizācijām —nav vērtīgu datu, kas piesaista lielāko daļu kiberspiegu. Šiem datiem nav informatīvas vērtības, taču noderīga ir iespēja pārtraukt šo organizāciju darbību. 12

 

Džons Lamberts no Microsoft īsi parāda kiberspiegošanas paradoksu: mērķi, kam šķietami nav datu. Noskatieties tālāk redzamo videoklipu:

Kā varat redzēt no tikko izskatītās 2023. gada informācijas par 11 tēmām, apdraudējuma situācija pastāvīgi attīstās. Gan kiberuzbrukumu sarežģītība, gan to biežums turpina pieaugt. Nav nekādu šaubu, ka vairāk nekā 300 draudu izpildītāji, ko izsekojam, vienmēr izmēģinās kaut ko jaunu un kombinēs to ar izmēģinātu un pārbaudītu taktiku, paņēmieniem un procedūrām. Mums patīk, ka, analizējot šos draudu izpildītājus un noskaidrojot viņu identitāti, mēs varam paredzēt viņu nākamās darbības. Tagad, izmantojot ģeneratīvo mākslīgo intelektu, mēs to varam paveikt ātrāk un darboties labāk, agrāk padzenot uzbrucējus.

 

Ar šādu domu turpināsim dzīvot 2024. gadā.

 

Lai uzzinātu draudu informācijas centra jaunumus un informāciju, varat izskatīt īssavilkumu, aplūkot  Microsoft draudu informācijas raidierakstu, ko vada Šeroda Degrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Krievijas sākto kiberoperāciju gads Ukrainā. 14. lpp.

  6. [6]

    Irāna pievēršas ar kibernoziegumiem saistītām ietekmes operācijām, lai panāktu lielāku efektu. 11. lpp.

  7. [7]
  8. [8]

    Irāna pievēršas ar kibernoziegumiem saistītām ietekmes operācijām, lai panāktu lielāku efektu. 11. lpp.

  9. [9]

    Digitālie draudi no Austrumāzijas kļūst arvien plašāki un efektīvāki. 6. lpp.

  10. [10]

    Gads informācijas centrā: ieskati par Microsoft globālo nostāju pret rafinētiem noturīgajiem draudiem

  11. [11]

    Irāna pievēršas ar kibernoziegumiem saistītām ietekmes operācijām, lai panāktu lielāku efektu. 12. lpp.

  12. [12]

    Gads informācijas centrā: ieskati par Microsoft globālo nostāju pret rafinētiem noturīgajiem draudiem

Kiberietekmes darbības Valstu darbības Draudu izpildītāji

Saistītie raksti

Krievijas draudu izpildītāji kāpina jaudu un gatavojas izmantot nogurumu no kara

Turpinoties karam Ukrainā, turpinās arī Krievijas darbības kiberpasaulē un ietekmes operācijas. Microsoft draudu informācija detalizēti izskaidro jaunākos kiberapdraudējumus un ietekmes operācijas pēdējo sešu mēnešu laikā.
Papildinformācija

Volt Typhoon uzbrūk kritiski svarīgai ASV infrastruktūrai, izmantojot mērķa sistēmā pieejamos resursus

Microsoft draudu informācija atklāja, ka no Irānas tiek veiktas pastiprinātas ar kibernoziegumiem saistītas ietekmes operācijas. Iegūstiet ieskatus par draudiem, uzzinot vairāk informācijas par jauniem paņēmieniem un potenciāliem draudiem nākotnē.
Papildinformācija

Izspiedējprogrammatūras pakalpojums: industriālā kibernozieguma jaunā seja

Microsoft draudu informācijas centrs analizē gadu ilgušās kiberoperācijas un ietekmes operācijas Ukrainā, atklāj jaunas tendences kiberapdraudējumu jomā un to, kas sagaidāms, karam turpinoties jau otro gadu.
Papildinformācija

Sekot korporācijai Microsoft