Trace Id is missing

Threat Intelligence 2023 in der Rückschau: zentrale Erkenntnisse und Entwicklungen

Rote Kreise am Himmel

Es war ein beeindruckendes Jahr für Microsoft Threat Intelligence. Die schiere Menge an Bedrohungen und Angriffen, die durch die täglich über 65 Billionen überwachten Signale aufgedeckt wurden, hat uns viele Wendepunkte beschert. Fazit: Insbesondere die Art und Weise, wie Bedrohungsakteure die Unterstützung von Nationalstaaten ausweiten und für ihre Zwecke nutzen, hat sich verändert. Im vergangenen Jahr gab es mehr Angriffe als je zuvor, und die Angriffsketten werden von Tag zu Tag komplexer. Gleichzeitig verkürzen sich die Verweilzeiten. Die weiterentwickelten Taktiken, Techniken und Verfahren sind jetzt noch agiler und unauffälliger. Wenn wir uns die Vorfälle im Detail ansehen, können wir Muster erkennen. So können wir entscheiden, wie wir auf neue Bedrohungen reagieren und in welche Richtung sich diese wahrscheinlich entwickeln werden. Unsere Rückschau auf die Taktiken, Techniken und Verfahren in 2023 soll einen Gesamtüberblick über die Threat-Intelligence-Landschaft geben. Dabei stützen wir uns auf unsere Beobachtungen von Vorfällen auf der ganzen Welt. Hier sind einige der Highlights, die Sherrod DeGrippo und ich mit Ihnen teilen möchten, sowie einige Videoausschnitte unserer Diskussionsveranstaltung auf der Ignite 2023.

John Lambert,
Microsoft Corporate Vice President und Security Fellow

Benennungstaxonomie für Bedrohungsakteure

Im Jahr 2023 wechselte Microsoft zu einer neuen Benennungstaxonomie für Bedrohungsakteure, die sich am Wetter orientiert und (1) den immer komplexeren, umfangreicheren und häufigeren modernen Bedrohungen besser gerecht wird sowie (2) eine besser organisierte, einprägsamere und einfachere Möglichkeit bietet, auf Angreifergruppen zu verweisen.1

Microsoft teilt Bedrohungsakteure in fünf Hauptgruppen ein:

Nationalstaatlich alliierte Manipulationsbestrebungen: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet

In unserer neuen Taxonomie steht ein Wetterereignis oder ein Familienname für eine der oben genannten Kategorien. Bedrohungsakteure innerhalb derselben Wetterfamilie werden mit einem Adjektiv versehen, um verschiedene Gruppen zu unterscheiden. Dies gilt mit Ausnahme von Gruppen in der Entwicklungsphase, denen vierstellige Ziffernfolgen zugeordnet werden.

Trends bei Taktiken, Techniken und Verfahren in 2023

Umgehen selbst entwickelter Tools und Schadsoftware

Gruppen von Bedrohungsakteuren, die im Verborgenen agieren, vermeiden gezielt den Einsatz selbst entwickelter Schadsoftware. Stattdessen bedienen sie sich der Tools und Prozesse, die sie auf dem Gerät ihrer Opfer finden, um sich neben anderen Bedrohungsakteuren, die ähnliche Angriffsmethoden verwenden, zu tarnen. 2

John Lambert, Corporate Vice President und Security Fellow bei Microsoft, erläutert kurz, wie Bedrohungsakteure auffällige, selbst entwickelte Tools umgehen, um sich zu tarnen. Nachfolgendes Video ansehen:

Verbinden von Cyber- und Desinformationskampagnen

Im Laufe des Sommers beobachtete Microsoft, dass einige nationalstaatliche Akteure Cyber- und Desinformationskampagnen zu einer neuen Hybridform kombinierten, die wir als „cybergestützte Desinformationskampagnen“ bezeichneten. Mit dieser neuen Taktik können Akteure ihre Schwachstellen beim Netzwerkzugriff oder bei Cyberangriffen verstärken, verschleiern oder kompensieren. 3 Zu den Cybermethoden gehören Taktiken wie Datendiebstahl, Manipulation von Webseiten, DDoS und Ransomware in Kombination mit Desinformationsmethoden wie Datenlecks, Sockpuppets oder die Übernahme der Identität von Betroffenen, Benutzern sozialer Medien oder Absendern von SMS/E-Mails.
Web-geeignete, anschauliche Übersicht, die Vorgehensweisen im Cyberverbrechen sowie Methoden zur Manipulation aufzeigt

Kompromittieren von Netzwerk-Edgegeräten im SOHO-Bereich

Bedrohungsakteure bauen verdeckte Netzwerke auf, die aus Netzwerk-Edgegeräten im SOHO-Segment (Small Office/Home Office) bestehen. Sie verwenden sogar Programme, die bei der Lokalisierung anfälliger Endpunkte auf der ganzen Welt helfen. Diese Technik erschwert die Zuordnung, da die Angriffe praktisch von überall aus erfolgen können.4

In diesem 35-sekündigen Video erläutert John Lambert von Microsoft, warum Netzwerk-Edgegeräte im SOHO-Segment so attraktive Ziele für Bedrohungsakteure sind. Nachfolgendes Video ansehen:

Bedrohungsakteure, die sich über verschiedene Methoden Erstzugriff verschaffen

In der Ukraine und in anderen Ländern hat das Microsoft Threat Intelligence-Forschungsteam beobachtet, wie sich Bedrohungsakteure mit einem vielfältigen Toolkit Erstzugriff zu Zielen verschafft haben. Zu den gängigen Taktiken und Techniken gehörten Exploits, die auf Internetanwendungen abzielen, Backdoor-Raubkopien von Software und Spear-Phishing. 5 In Reaktion auf die Anschläge der Hamas haben sich Cyber- und Desinformationskampagnen gegen Israel rasch ausgeweitet.

Auftreten als betroffenes Unternehmen, um die Glaubwürdigkeit zu stärken

Ein zunehmender Trend bei cybergestützten Desinformationskampagnen besteht darin, sich als angeblich betroffenes Unternehmen oder als Führungsperson in diesem Unternehmen auszugeben, um die Auswirkungen des Cyberangriffs oder der Kompromittierung glaubwürdiger zu machen. 6

Schnelle Übernahme öffentlich zugänglicher POCs für den Erstzugriff und die Ausbreitung im System

Microsoft beobachtet zunehmend, dass bestimmte nationalstaatliche Untergruppierungen öffentlich zugänglichen Proof-of-Concept-Code (POC) kurz nach dessen Freigabe übernehmen, um Schwachstellen in Internetanwendungen auszunutzen. 7

 

Die folgende Abbildung zeigt zwei bevorzugte Angriffsketten einer von Microsoft beobachteten nationalen Untergruppierung. In beiden Ketten verwenden die Angreifer Impacket, um sich im System auszubreiten.

Illustration, die den stufenweisen Ablauf eines Angriffs zeigt

Bedrohungsakteure versuchen, Zielgruppen über massenhaft versendete SMS zu kontaktieren

Microsoft hat mehrere Akteure im Visier, die versuchen, die Ausbreitung und psychologische Wirkung ihrer Desinformationskampagnen im Cyberspace durch massenhaft versendete SMS zu verstärken. 8

Die folgende Abbildung zeigt nebeneinander zwei SMS-Nachrichten von Bedrohungsakteuren, die sich als israelisches Sportnetzwerk ausgeben. Die Nachricht auf der linken Seite enthält einen Link zu einer manipulierten Sport5-Webseite. Die Botschaft rechts lautet: „Wer am Leben hängt, sollte nicht in unsere Länder reisen.“

Telegram der Atlas-Gruppe: Bildschirmfotos von SMS, die zeigen, wie sie als israelischer Sportfernsehsender in Erscheinung treten

Aktivitäten in den sozialen Medien verstärken die effektive Einbindung der Zielgruppe

Es wird beobachtet, dass im Rahmen von verdeckten Desinformationskampagnen nun in größerem Umfang als bisher mit Zielgruppen in sozialen Medien interagiert wird. Somit handeln Angreifer noch raffinierter und können weitere Desinformationskampagnen im Netz durchführen.9

 

Unten wird eine „Black Lives Matter“-Grafik gezeigt, die ursprünglich von einem automatisierten Konto einer nationalstaatlichen Gruppierung hochgeladen wurde. Sieben Stunden später wurde sie erneut von einem Konto hochgeladen, das die Identität eines konservativen US-Wählers vortäuscht.

Unterstützer-Statement für Black Lives Matter, welches Diskriminierung und Polizeigewalt verurteilt sowie die Wichtigkeit von Wertschätzung und Sicherheit betont

Spezialisierung im Bereich „Ransomware als Geschäftsmodell“

Ransomware-Kriminelle im Jahr 2023 tendierten dazu, sich zu spezialisieren und sich auf ein kleines Spektrum an Fähigkeiten und Diensten zu konzentrieren. Diese Spezialisierung hat einen Zersplitterungseffekt, da die Elemente eines Ransomwareangriffs auf mehrere Akteure in einer komplexen Schattenwirtschaft verteilt werden. Als Reaktion darauf verfolgt Microsoft Threat Intelligence die einzelnen Akteure und stellt fest, welcher Datenverkehr beim Erstzugriff und danach bei anderen Diensten stattfindet.10

 

In einem Videobeitrag von der Ignite beschreibt Sherrod DeGrippo, Threat Intelligence Strategy Director bei Microsoft Threat Intelligence, den aktuellen Stand angebotener Dienste im Bereich „Ransomware als Geschäftsmodell“. Nachfolgendes Video ansehen:

Konsequenter Einsatz spezialisierter Tools

Während einige Gruppierungen selbst entwickelte Schadsoftware zu Tarnungszwecken aktiv vermeiden (siehe „Umgehen selbst entwickelter Tools und Schadsoftware“ weiter oben), haben sich andere von öffentlich verfügbaren Tools und einfachen Skripts abgewandt und setzen stattdessen auf eigens entwickelte Konzepte, die eine ausgefeiltere Technik erfordern.11

Angriffsziel „Infrastruktur“

Auch wenn Infrastruktureinrichtungen – Wasseraufbereitungsanlagen, Schifffahrtsunternehmen, Verkehrsbetriebe – nicht über die Art von wertvollen Daten verfügen, die für die meisten Cyberspione attraktiv sind, weil sie keinen Erkenntniswert haben, so bieten sie doch ein hohes Störpotenzial. 12

 

John Lambert von Microsoft stellt kurz das Paradoxon der Cyberspionage dar: ein scheinbar datenloses Ziel. Nachfolgendes Video ansehen:

Wie Sie den detaillierten Angaben zu den soeben besprochenen 11 Punkten aus 2023 entnehmen können, entwickelt sich die Bedrohungslandschaft ständig weiter, und Cyberangriffe werden immer raffinierter und zahlreicher. Es besteht kein Zweifel daran, dass die über 300 von uns beobachteten Bedrohungsakteure immer wieder neue Methoden ausprobieren und diese mit den bewährten Taktiken, Techniken und Verfahren kombinieren. Genau das schätzen wir an diesen Bedrohungsakteuren: Wenn wir sie analysieren und ihre Persönlichkeit verstehen, können wir ihre nächsten Schritte vorhersagen. Mit der generativen KI gelingt uns dies noch schneller, und wir können Angreifer früher abwehren.

 

Lassen Sie uns also ins Jahr 2024 blicken.

 

Wenn Sie sich für Neuheiten und Informationen im Bereich Threat Intelligence interessieren, die Sie unterwegs abrufen können, hören Sie sich den von Sherrod DeGrippo moderierten Microsoft Threat Intelligence Podcast an.

  1. [5]

    Ein Jahr russische hybride Kriegsführung in der Ukraine. Seite 14

  2. [6]

    Iran setzt für eine höhere Wirksamkeit auf cybergestützte Desinformationskampagnen. Seite 11.

  3. [8]

    Iran setzt für eine höhere Wirksamkeit auf cybergestützte Desinformationskampagnen. Seite 11.

  4. [9]

    Digitale Bedrohungen aus Ostasien gewinnen an Reichweite und Effektivität. Seite 6.

  5. [10]

    Ein Jahr bei Intel: Weltweite Bekämpfung von APTs – die Highlights bei Microsoft

  6. [11]

    Iran setzt für eine höhere Wirksamkeit auf cybergestützte Desinformationskampagnen. Seite 12.

  7. [12]

    Ein Jahr bei Intel: Weltweite Bekämpfung von APTs – die Highlights bei Microsoft

Verwandte Artikel

Russische Bedrohungsakteure wollen Kriegsmüdigkeit ausnutzen

Die russischen Cyber- und Desinformationskampagnen dauern an, während der Krieg in der Ukraine weitergeht. Microsoft Threat Intelligence informiert über die neuesten Cyberbedrohungen und Beeinflussungsaktivitäten der letzten sechs Monate.

Volt Typhoon infiltriert kritische US-Infrastruktur mit LOTL-Techniken (Living off the Land)

Microsoft Threat Intelligence hat zunehmende Cyberdesinformationskampagnen aus dem Iran aufgedeckt. Gewinnen Sie Erkenntnisse zu Bedrohungen mit detaillierten Angaben zu neuen Techniken, und finden Sie heraus, wo das Potenzial für künftige Bedrohungen liegt.

Ransomware-as-a-Service: Das neue Gesicht des industrialisierten Cyberverbrechens

Microsoft Threat Intelligence untersucht ein Jahr Cyber- und Desinformationskampagnen in der Ukraine, deckt neue Trends bei Cyberbedrohungen auf und zeigt, womit im zweiten Jahr des Krieges zu rechnen ist.

Microsoft Security folgen