Trace Id is missing

Přehled roku 2023 z pohledu Analýzy hrozeb Microsoft: Klíčové poznatky a události

Sdílet
Červené kruhy na obloze

Pro Analýzu hrozeb Microsoft to byl neuvěřitelný rok. Obrovský objem hrozeb a útoků odhalených prostřednictvím více než 65 bilionů signálů, které denně monitorujeme, nám přinesl mnoho zajímavých poznatků, zejména proto, že jsme zaznamenali posun ve způsobu, jakým aktéři hrozeb rozšiřují a využívají podporu národních států. Poslední rok přinesl víc útoků než kdykoli předtím a řetězce útoků jsou každým dnem složitější. Doba, po kterou trvají jednotlivé útoky, se zkrátila. Taktika, techniky a postupy (TTP) se vyvinuly tak, aby byly ve své podstatě pohotovější a úhybnější. Když se na detaily těchto incidentů podíváme zpětně, snadněji rozpoznáme vzorce, pomocí kterých můžeme určit, jak reagovat na nové hrozby, a předvídat, jakým směrem se mohou ubírat příště. Cílem našeho přehledu TPP od roku 2023 je poskytnout ucelený přehled zpravodajských informací o hrozbách na základě našeho pozorování incidentů po celém světě. Tady je výběr toho nejdůležitějšího, o co bychom se s vámi rádi podělili já i Sherrod DeGrippo, spolu s několika videoukázkami z naší diskuse na konferenci Ignite 2023.

John Lambert,
korporátní viceprezident společnosti Microsoft a odborník na bezpečnost

Taxonomie pojmenování aktérů hrozeb

V roce 2023 přešla společnost Microsoft na novou taxonomii pojmenování aktérů hrozeb s motivem počasí, která (1) lépe odpovídá rostoucí složitosti, rozsahu a objemu moderních hrozeb a (2) poskytuje organizovanější, zapamatovatelnější a snadnější způsob odkazování na skupiny protivníků.1

Microsoft rozděluje aktéry hrozeb do pěti klíčových skupin:

Operace ovlivňování národními státy: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

V naší nové taxonomii představuje meteorologická událost nebo rodové jméno jednu z výše uvedených kategorií. Aktéři hrozeb v rámci stejné meteorologické skupiny jsou označeni přídavným jménem, aby se odlišily jednotlivé skupiny, s výjimkou skupin ve vývoji, které jsou označeny čtyřmístným číslem.

Taktiky, techniky a postupy (TTP) pro rok 2023

Vyhýbání se vlastním nástrojům a malwaru

Skupiny aktérů hrozeb, kteří kladou důraz na utajení, se selektivně vyhýbají používání vlastního malwaru. Místo toho využívají nástroje a procesy existující v zařízení oběti, aby byli hůře odlišitelní od jiných aktérů hrozeb, kteří k provádění útoků používají podobné metody. 2

Viceprezident společnosti Microsoft a spolupracovník v oblasti bezpečnosti John Lambert stručně komentuje, jak se aktéři hrozeb vyhýbají nápadným vlastním nástrojům, aby dosáhli utajení. Podívejte se na níže uvedené video:

Propojení kybernetických a vlivových operací

V létě společnost Microsoft zaznamenala, že někteří aktéři z národních států kombinují metody kybernetických operací a vlivových operací do nové hybridní formy, kterou jsme nazvali „kybernetické vlivové operace“. Tato nová taktika pomáhá aktérům zvýšit, zveličit nebo kompenzovat nedostatky v přístupu k síti nebo ve schopnostech kybernetických útoků. 3 Kybernetické metody zahrnují taktiky jako krádež dat, podvržené stránky, DDoS a ransomware v kombinaci s metodami ovlivňování, jako jsou úniky dat, sockpuppets, vydávání se za oběti, sociální média a SMS/emailová komunikace.
Skupina webových nástrojů pro metody kybernetických útoků a vlivových operací

Napadání hraničních zařízení sítě v prostředí domácností a malých firem

Aktéři hrozeb vytvářejí z hraničních zařízení v sítích domácností a malých kanceláří skryté sítě, a dokonce používají programy, které pomáhají lokalizovat zranitelné koncové body po celém světě. Tato technika komplikuje atribuci útoků a umožňuje, aby se útoky mohly objevit prakticky odkudkoli.4

V tomto 35sekundovém videu John Lambert ze společnosti Microsoft vysvětluje, proč jsou pro aktéry hrozeb hraniční zařízení domácností a malých kanceláří tak atraktivním cílem. Podívejte se na níže uvedené video:

Aktéři hrozeb získávají počáteční přístup pomocí různých metod

Výzkumníci Analýzy hrozeb Microsoft na Ukrajině i jinde zaznamenali, že aktéři hrozeb získávají počáteční přístup k cílům pomocí různorodých nástrojů. Mezi běžné taktiky a techniky patří zneužívání internetových aplikací, pirátského softwaru a spear phishingu. 5 rychle reagovali a po útocích Hamásu pohotově rozšířili svoje kybernetické a vlivové operace s cílem čelit Izraeli.

Vydávání se za oběti s cílem zvýšit důvěryhodnost

Stále častějším trendem v oblasti kybernetických vlivových operací je vydávání se za údajné oběti nebo vedoucí představitele těchto organizací, aby se zvýšila důvěryhodnost účinků kybernetického útoku nebo kompromitace. 6

Rychlé převzetí zveřejněného kódu POC pro počáteční přístup a perzistenci

Společnost Microsoft stále častěji pozoruje, že některé podskupiny státních aktérů přebírají veřejně dostupný kód POC (proof-of-concept) krátce po jeho zveřejnění, aby zneužily zranitelná místa v internetových aplikacích. 7

 

Níže uvedený obrázek znázorňuje dva řetězce útoku oblíbené podskupinou národních států, které společnost Microsoft zaznamenala. V obou řetězcích útočníci používají Impacket k laterálnímu pohybu.

Ilustrace řetězce útoku.

Aktéři hrozeb se pokoušejí využít hromadné zasílání SMS zpráv ke kontaktování cílové skupiny

Společnost Microsoft zaznamenala několik aktérů, kteří se pokoušeli využít hromadné zasílání SMS zpráv k posílení a znásobení psychologických účinků svých kybernetických vlivových operací. 8

Na obrázku dole jsou vedle sebe zobrazeny dvě zprávy SMS od aktérů hrozeb, kteří se vydávají za izraelskou sportovní síť. Zpráva vlevo obsahuje odkaz na podvrženou webovou stránku Sport5. Vzkaz vpravo varuje: „Jestli máte rádi svůj život, necestujte do našich zemí.“

Telegramový kanál Atlas Group: Snímek obrazovky SMS, která se tváří, jako by byla od izraelské sportovní sítě.

Operace v sociálních médiích zvyšují efektivní zapojení cílových skupin

Skryté operace ovlivňování nyní začaly úspěšně zapojovat cílové skupiny na sociálních sítích ve větší míře, než jsme mohli pozorovat dříve. To představuje vyšší úroveň sofistikovanosti a kultivace online prostředků operací ovlivňování.9

 

Níže je motiv Black Lives Matter, který byl původně nahrán automatickým účtem skupiny národního státu. O sedm hodin později ho znovu nahrál účet vydávající se za amerického konzervativního voliče.

Prohlášení podporující hnutí Black Lives Matter, odsuzující diskriminaci a policejní násilí a hájící důstojnost a bezpečnost

Specializace v rámci ransomwarové ekonomiky

Provozovatelé ransomwaru v roce 2023 mají tendenci se specializovat a zaměřovat se na malý rozsah schopností a služeb. Tato specializace má tříštivý účinek a rozděluje složky ransomwarového útoku mezi více poskytovatelů v rámci komplexní šedé ekonomiky. V reakci na to služba Analýza hrozeb Microsoftu sleduje poskytovatele individuálně a zaznamenává, který provoz je v počátečním přístupu a který pak v dalších službách.10

 

Ve videu z konference Ignite popisuje Sherrod DeGrippo, ředitel divize strategie analýzy hrozeb společnosti Microsoft, současný stav ekonomiky ransomwarových služeb. Podívejte se na níže uvedené video:

Stálé používání nástrojů na zakázku

Zatímco některé skupiny se aktivně vyhýbají vlastnímu malwaru pro skryté účely (viz výše „Vyhýbání se vlastním nástrojům a malwaru“), jiné se odklonily od veřejně dostupných nástrojů a jednoduchých skriptů ve prospěch individuálních přístupů vyžadujících sofistikovanější špionážní postupy.11

Cílení na infrastrukturu

Organizace, které jsou součástí infrastruktury – zařízení na úpravu vody, námořní provozy, dopravní podniky – sice nedisponují tak cennými daty s takovou zpravodajskou hodnotou, která by přitahovala většinu kybernetické špionáže, mají i tak pro útočníky svou hodnotu. 12

 

John Lambert ze společnosti Microsoft stručně představuje paradox kybernetické špionáže: cíl, který zdánlivě nemá data. Podívejte se na níže uvedené video:

Jak ukazují detaily 11 položek z roku 2023, které jsme si právě prohlédli, prostředí hrozeb se neustále vyvíjí a sofistikovanost a četnost kybernetických útoků neustále roste. Není pochyb o tom, že více než 300 aktérů hrozeb, které sledujeme, bude vždy zkoušet něco nového a zkombinovat to s osvědčenými TTP. To se nám na těchto aktérech hrozeb líbí, protože když je analyzujeme a pochopíme jejich osobní charakteristiku, můžeme předvídat jejich další kroky. A díky generativní umělé inteligenci to teď můžeme dělat rychleji a budeme úspěšnější ve včasném vyřazení útočníků z provozu.

 

S těmito slovy se můžeme přesunout do roku 2024.

 

Pokud se chcete dozvídat novinky a informace z oblasti analýzy hrozeb třeba během jízdy, vyzkoušejte podcast Microsoft Threat Intelligence, který moderuje Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Rok ruské hybridní války na Ukrajině. Strana 14

  6. [6]

    Írán začíná používat operace kybernetického ovlivňování za účelem dosažení většího efektu. Strana 11

  7. [7]
  8. [8]

    Írán začíná používat operace kybernetického ovlivňování za účelem dosažení většího efektu. Strana 11

  9. [9]

    Rozsah a účinnost digitálních hrozeb z východní Asie roste. Strana 6

  10. [10]

    Rok ve zpravodajské komunitě: To nejdůležitější z globální kampaně Microsoftu proti útokům APT (pokročilé trvalé hrozby)

  11. [11]

    Írán začíná používat operace kybernetického ovlivňování za účelem dosažení většího efektu. Strana 12

  12. [12]

    Rok ve zpravodajské komunitě: To nejdůležitější z globální kampaně Microsoftu proti útokům APT (pokročilé trvalé hrozby)

Operace kybernetického ovlivňování Státní aktéři Aktéři hrozeb

Související články

Ruští aktéři hrozeb se připravují využít únavu z války

Ruské kybernetické operace a operace ovlivňování pokračují i během války na Ukrajině. Analýza hrozeb Microsoft podrobně informuje o nejnovějších kybernetických hrozbách a aktivitách v oblasti ovlivňování za posledních šest měsíců.
Další informace

Volt Typhoon útočí na kritickou infrastrukturu USA pomocí technik „living-off-the-land“

Tým Analýzy hrozeb Microsoft odhalil zvýšený počet kybernetických operací ovlivňování z Íránu. Získejte přehled o hrozbách s podrobnostmi o nových technikách a o tom, kde existuje potenciál budoucích hrozeb.
Další informace

Ransomware jako služba: Nová tvář industrializované kyberkriminality

Tým Analýzy hrozeb Microsoft zkoumá kybernetické operace a operace ovlivňování na Ukrajině v uplynulém roce, odhaluje nové trendy v kybernetických hrozbách a informuje o tom, co lze očekávat, až válka postoupí do druhého roku.
Další informace

Sledujte zabezpečení od Microsoftu