Trace Id is missing

Prehľad analýzy hrozieb za rok 2023: kľúčové poznatky a vývoj

Zdieľať
Červené kruhy na oblohe

Microsoft Analýza hrozieb má za sebou neuveriteľný rok. Obrovský objem hrozieb a útokov, ktoré sme odhalili na základe viac ako 65 biliónov signálov, ktoré každodenne monitorujeme, nám priniesol množstvo inflexných bodov, takže vnímame posun v škálovaní a využívaní podpory národných štátov aktérmi hrozieb. Minulý rok sa uskutočnilo viac útokov ako kedykoľvek predtým, pričom reťazce útokov sú každým dňom čoraz zložitejšie. Časy medzi útokmi sa skracujú. Taktiky, techniky a postupy (TTP) sa stávajú zo svojej podstaty pohotovejšími a únikovejšími. Spätný rozbor podrobností týchto incidentov nám umožňuje odhaliť vzorce, na základe čoho potom vieme reagovať na nové hrozby a predvídať ich ďalšie možné smerovanie. V tomto prehľade TTP za rok 2023 sa zameriavame na komplexný rozbor prostredia analýzy hrozieb prostredníctvom toho, čo sme vypozorovali z incidentov v rôznych častiach sveta. Tu sú najdôležitejšie informácie, o ktoré sa spolu so Sherrod DeGrippo chceme s vami podeliť, ako aj niekoľko úryvkov videí z našich diskusií na Ignite 2023.

John Lambert
viceprezident spoločnosti Microsoft a bezpečnostný odborník

Taxonómia pomenúvania aktérov hrozieb

V roku 2023 prešla spoločnosť Microsoft na novú taxonómiu pomenúvania aktérov hrozieb podľa počasia, ktorá 1. umožňuje lepšie mapovať prehlbujúcu sa zložitosť, škálu a objem moderných hrozieb a 2. predstavuje organizovanejší, zapamätateľnejší a jednoduchší spôsob odkazovania na skupiny protivníkov.1

Spoločnosť Microsoft rozdeľuje aktérov hrozieb do piatich kľúčových skupín:

Vplyvové operácie štátov: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

V našej novej taxonómii predstavujú uvedené kategórie poveternostné javy alebo názvy skupín. Aktérom hrozieb v rámci jednej skupiny poveternostného javu sa prideľuje prívlastok na odlíšenie v rámci jednotlivých skupín, s výnimkou skupín vo vývoji, ktorým sa prideľujú štvormiestne čísla.

Trendy za rok 2023 v oblasti taktík, techník a postupov (TTP)

Vyhýbanie sa vlastným nástrojom a škodlivému softvéru

Skupiny aktérov hrozieb kladúce dôraz na utajenie sa selektívne vyhýbajú používaniu vlastného škodlivého softvéru. Namiesto toho používajú nástroje a procesy, ktoré existujú v zariadení ich obete, aby sa zamaskovali za iných aktérov hrozieb používajúcich podobné metódy na spúšťanie útokov. 2

Viceprezident spoločnosti Microsoft a bezpečnostný odborník John Lambert stručne opisuje, ako sa aktéri hrozieb vyhýbajú nápadným vlastným nástrojom, aby sa mohli utajiť. Pozrite si video nižšie:

Kombinovanie kybernetických a vplyvových operácií

V priebehu leta spoločnosť Microsoft zaznamenala, že niektorí aktéri na národnej úrovni kombinujú metódy kybernetických a vplyvových operácií do nového hybridu, ktorý sme pomenovali „kybernetické vplyvové operácie“. Táto nová taktika umožňuje aktérom prekonávať, zdôrazňovať alebo kompenzovať nedostatky v prístupe k sieti alebo možnostiach kybernetických útokov. 3 Kybernetické metódy zahŕňajú taktiky ako krádež údajov, poškodenie, útoky DDoS a ransomware v kombinácii s vplyvovými metódami ako úniky údajov, sockpuppeti, vydávanie sa za obete, sociálne siete a komunikácia cez SMS/e-mail.
Množina kybernetických a vplyvových metód vhodných pre web

Napadnutie zariadení na okraji siete SOHO

Aktéri hrozieb vybudujú skryté siete z malých kancelárskych/domácich kancelárskych (SOHO) zariadení na okraji siete, a dokonca používajú programy na vyhľadávanie zraniteľných koncových bodov na celom svete. Táto technika komplikuje pripísateľnosť útokov, keďže tie zdanlivo prebiehajú prakticky odkiaľkoľvek.4

V tomto 35-sekundovom videu John Lambert zo spoločnosti Microsoft rozoberá, prečo sú pre aktérov hrozieb zariadenia na okraji siete SOHO takými lákavými cieľmi. Pozrite si video nižšie:

Aktéri hrozieb získavajúci počiatočný prístup prostredníctvom rôznych prostriedkov

Na Ukrajine aj v iných častiach sveta výskumníci z oddelenia Microsoft Analýza hrozieb zaznamenali, že aktéri hrozieb získavajú počiatočný prístup k cieľom pomocou súboru najrôznejších nástrojov. K bežným taktikám a technikám patria zneužívanie internetových aplikácií, pirátsky softvér so zadnými vrátkami a cielené neoprávnené získavanie údajov. 5 reaktívni a po útokoch Hamasu rýchlo zintenzívnili svoje kybernetické a vplyvové operácie, aby čelili Izraelu.

Vydávanie sa za obete s cieľom získať väčšiu dôveryhodnosť

Čoraz častejším trendom v kybernetických vplyvových operáciách je vydávanie sa za údajné poškodené organizácie alebo ich hlavných predstaviteľov s cieľom získať väčšiu dôveryhodnosť kybernetických útokov alebo ohrozenia. 6

Rýchle prijímanie verejne dostupných overovaní konceptov na zabezpečenie počiatočného prístupu a trvania

Spoločnosť Microsoft čoraz častejšie zaznamenáva, že niektoré podskupiny na úrovni národných štátov prijímajú verejne dostupné kódexy overovania konceptov už krátko po vydaní internetových aplikácií, aby zneužili ich zraniteľnosti. 7

 

Na obrázku nižšie sú znázornené dva reťazce útokov uprednostňované podskupinou na úrovni národného štátu, ktoré zaznamenala spoločnosť Microsoft. V oboch reťazcoch útočníci využívajú na bočný postup Impacket.

Obrázok reťazca útoku.

Aktéri hrozieb sa pokúšajú využívať hromadné rozposielanie SMS správ na oslovenie cieľovej skupiny

Spoločnosť Microsoft zaznamenala viacerých aktérov, ktorí sa pokúšali využiť hromadné rozposielanie SMS správ na prehĺbenie psychologických účinkov svojich kybernetických vplyvových operácií. 8

Na obrázku nižšie sú znázornené dve SMS správy vedľa seba od aktérov hrozieb, ktorí sa vydávajú za izraelskú športovú sieť. Správa naľavo obsahuje prepojenie na poškodenú webovú stránku Sport 5. Správa napravo hovorí: „Ak je Vám život milý, necestujte do našich krajín.“

Atlas Group Telegram: Snímky obrazovky SMS, ktoré sa vydávajú za izraelskú športovú sieť.

Ovplyvňovanie na sociálnych sieťach má rastúci dosah na cieľové skupiny

Skrytým vplyvovým operáciám sa v súčasnosti začalo dariť oslovovať cieľové skupiny na sociálnych sieťach vo väčšej miere než doteraz, čo poukazuje na vyššiu sofistikovanosť a zdokonaľovanie online prostriedkov vplyvových operácií.9

 

Nižšie je znázornený plagát hnutia Black Lives Matter, ktorý bol pôvodne nahratý z automatického konta skupiny na národnej úrovni. O sedem hodín nato bol znovu nahratý z konta vydávajúceho sa za konzervatívneho voliča z USA.

Vyhlásenie na podporu hnutia Black Lives Matter odsudzujúce diskrimináciu, policajné násilie a obhajujúce dôstojnosť a bezpečnosť

Špecializácia v ekonomike ransomwaru

Operátori ransomwaru v roku 2023 pristúpili k špecializácii a vybrali si zameranie na malý rozsah funkcií a služieb. Táto špecializácia má trieštiaci účinok, keďže rozhodí prvky útoku ransomwaru medzi viacerých poskytovateľov v zložitej podzemnej ekonomike. V reakcii na to sleduje oddelenie Microsoft Analýza hrozieb poskytovateľov individuálne tak, že si všíma prenos údajov pri počiatočnom prístupe a potom v ostatných službách.10

 

Vo videosegmente z Ignite opisuje riaditeľka pre stratégiu analýzy hrozieb oddelenia Microsoft Analýza hrozieb, Sherrod DeGrippo, aktuálny stav ekonomiky služieb ransomwaru. Pozrite si video nižšie:

Stabilné využívanie vlastných nástrojov

Zatiaľ čo niektoré skupiny sa aktívne vyhýbajú vlastnému škodlivému softvéru, aby zostali utajené (pozri vyššie časť Vyhýbanie sa vlastným nástrojom a škodlivému softvéru), iné postúpili od využívania verejne dostupných nástrojov a jednoduchých skriptov k prístupom šitým na mieru, ktoré si vyžadujú sofistikovanejšie obchodné postupy.11

Zacielenie na infraštruktúru

Hoci organizácie s infraštruktúrou, ako napríklad vodohospodárske zariadenia, organizácie vykonávajúce námorné činnosti alebo dopravné organizácie, nemajú údaje, ktoré lákajú ku kybernetickej špionáži, keďže tieto údaje nemajú spravodajskú hodnotu, ponúkajú hodnotu narušenia. 12

 

John Lambert zo spoločnosti Microsoft stručne predstavuje paradox kybernetickej špionáže: cieľ, ktorý zdanlivo nemá žiadne údaje. Pozrite si video nižšie:

Ako je to zjavné z podrobností o 11 prípadoch z roku 2023, ktoré sme preskúmali, prostredie hrozieb sa neustále vyvíja a sofistikovanosť a frekvencia kybernetických útokov sa zvyšujú. Je nepochybné, že tých viac ako 300 aktérov hrozieb, ktorých sledujeme, bude stále skúšať niečo nové a kombinovať to s odskúšanými a fungujúcimi TTP. To máme na týchto aktéroch hrozieb najradšej: analyzujeme ich, snažíme sa pochopiť ich osobnosti a na základe toho dokážeme predvídať ich ďalšie kroky. A teraz to s pomocou generatívnej AI môžeme robiť ešte rýchlejšie, takže budeme môcť útočníkov odstraňovať skôr.

 

A s týmto záväzkom vstupujeme do roku 2024.

 

Ak chcete získavať správy a informácie o analýze hrozieb, ktoré zhltnete na posedenie, nalaďte si podcast Microsoft Analýza hrozieb moderovaný Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Rok ruskej hybridnej vojny na Ukrajine. Strana 14

  6. [6]

    Irán začína používať kybernetické vplyvové operácie s cieľom širšieho dosahu. Strana 11.

  7. [7]
  8. [8]

    Irán začína používať kybernetické vplyvové operácie s cieľom širšieho dosahu. Strana 11.

  9. [9]

    Rozsah a efektivita digitálnych hrozieb z východnej Ázie rastú. Strana 6

  10. [10]

    Rok v spravodajstve: novinky v oblasti globálneho prístupu spoločnosti Microsoft k rozšíreným trvalým hrozbám

  11. [11]

    Irán začína používať kybernetické vplyvové operácie s cieľom širšieho dosahu. Strana 12.

  12. [12]

    Rok v spravodajstve: novinky v oblasti globálneho prístupu spoločnosti Microsoft k rozšíreným trvalým hrozbám

Kybernetické vplyvové operácie Národný štát Aktéri hrozieb

Súvisiace články

Ruskí aktéri hrozieb neustupujú a pripravujú sa na využitie únavy z vojny

Ruské kybernetické a vplyvové operácie s pokračujúcou vojnou na Ukrajine pretrvávajú. Platforma Microsoft Analýza hrozieb opisuje podrobnosti najnovších kybernetických hrozieb a vplyvových aktivít za posledných šesť mesiacov.
Ďalšie informácie

Skupina Volt Typhoon sa zameriava na kritickú infraštruktúru USA pomocou techník LOTL (living-off-the-land)

Platforma Microsoft Analýza hrozieb odkryla nárast mienkotvorných operácií s podporou kybernetického šírenia z Iránu. Získajte podrobné informácie o hrozbách, ktoré prinášajú nové metódy a zistite, aké hrozby môže priniesť budúcnosť.
Ďalšie informácie

Ransomware ako služba: Nová tvár industrializovaného počítačového zločinu

Microsoft Analýza hrozieb skúma rok kybernetických a vplyvových operácií na Ukrajine, odhaľuje nové trendy v oblasti kybernetických hrozieb a očakávania spojené s druhým rokom vojny.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft