Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

2023 Έτος ανασκόπησης των πληροφοριών για απειλές: Βασικές πληροφορίες και αναπτύξεις

Κοινοποίηση
Ένας κόκκινος κύκλος στον ουρανό

Ήταν μια απίστευτη χρονιά για την υπηρεσία "Πληροφορίες της Microsoft σχετικά με απειλές". Ο τεράστιος όγκος των απειλών και των επιθέσεων που αποκαλύπτονται μέσα από τα περισσότερα από 65 τρισεκατομμύρια σήματα που παρακολουθούμε καθημερινά, μας έχει δώσει πολλά σημεία καμπής, ειδικά καθώς παρατηρούμε μια αλλαγή στον τρόπο με τον οποίο οι παράγοντες απειλής κλιμακώνονται και αξιοποιούν την υποστήριξη των εθνικών κρατών. Το τελευταίο έτος εκδηλώθηκαν περισσότερες επιθέσεις από ποτέ και οι αλυσίδες επιθέσεων γίνονται όλο και πιο πολύπλοκες κάθε μέρα που περνάει. Οι χρόνοι παραμονής έχουν μειωθεί. Οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) έχουν εξελιχθεί και έχουν γίνει πιο ευέλικτες και πιο δύσκολα εντοπίσιμες στη φύση τους. Εξετάζοντας αναλυτικά τις λεπτομέρειες αυτών των περιστατικών, μπορούμε να διακρίνουμε τα μοτίβα, ώστε να καθορίσουμε πώς να αντιμετωπίσουμε νέες απειλές και να προβλέψουμε προς ποια κατεύθυνση μπορεί να κινηθούν στη συνέχεια. Η ανασκόπηση των TTP του 2023 αποσκοπεί στη δημιουργία μιας ολοκληρωμένης επισκόπησης του τοπίου πληροφοριών για τις απειλές, αξιοποιώντας τις παρατηρήσεις μας από περιστατικά σε όλο τον κόσμο. Ακολουθούν μερικά από τα σημαντικότερα σημεία που τόσο η Sherrod DeGrippo όσο και εγώ θα θέλαμε να μοιραστούμε μαζί σας μαζί με μερικά αποσπάσματα βίντεο από τη συζήτησή μας στο Ignite 2023.

John Lambert,
Εταιρικός αντιπρόεδρος της Microsoft και συνεργάτης σε θέματα ασφάλειας

Ταξινόμηση ονοματοδοσίας παραγόντων απειλής

Το 2023, η Microsoft υιοθέτησε μια νέα ταξινόμηση ονοματοδοσίας παραγόντων απειλής με θέμα τον καιρό, η οποία (1) ανταποκρίνεται καλύτερα στην αυξανόμενη πολυπλοκότητα, κλίμακα και όγκο των σύγχρονων απειλών και (2) παρέχει έναν πιο οργανωμένο, αξιομνημόνευτο και εύκολο τρόπο αναφοράς σε ομάδες αντιπάλων.1

Η Microsoft κατηγοριοποιεί τους παράγοντες απειλής σε πέντε βασικές ομάδες:

Επιχειρήσεις επιρροής εθνών-κρατών: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Στη νέα μας ταξινόμηση, ένα καιρικό φαινόμενο ή ένα οικογενειακό όνομα αντιπροσωπεύει μία από τις παραπάνω κατηγορίες. Οι παράγοντες απειλής εντός της ίδιας οικογένειας καιρικών φαινομένων διαφοροποιούνται μεταξύ τους με την προσθήκη ενός επιθέτου, εκτός από τις ομάδες υπό ανάπτυξη, στις οποίες αποδίδεται ένας τετραψήφιος αριθμός.

Τάσεις του 2023 για τακτικές, τεχνικές και διαδικασίες (TTP)

Αποφυγή προσαρμοσμένων εργαλείων και κακόβουλου λογισμικού

Οι ομάδες παραγόντων απειλής που δίνουν έμφαση στη μυστικότητα έχουν αποφύγει επιλεκτικά τη χρήση προσαρμοσμένου κακόβουλου λογισμικού. Αντιθέτως, χρησιμοποιούν εργαλεία και διαδικασίες που ήδη υπάρχουν στη συσκευή του θύματός τους, με σκοπό να αποκρύψουν τη δράση τους, ενώ παράλληλα άλλοι παράγοντες απειλής χρησιμοποιούν παρόμοιες μεθόδους για να εξαπολύσουν επιθέσεις. 2

Ο εταιρικός αντιπρόεδρος της Microsoft και συνεργάτης σε θέματα ασφάλειας John Lambert σχολιάζει εν συντομία τον τρόπο με τον οποίο οι φορείς απειλών αποφεύγουν τα επιδεικτικά προσαρμοσμένα εργαλεία για να επιτύχουν μυστικότητα. Παρακολουθήστε το βίντεο τώρα:

Συνδυασμός δραστηριοτήτων στον κυβερνοχώρο και επιχειρήσεων επιρροής (IO)

Κατά τη διάρκεια του καλοκαιριού, η Microsoft παρατήρησε ορισμένους εθνικούς κρατικούς φορείς να συνδυάζουν τις μεθόδους των επιχειρήσεων στον κυβερνοχώρο και των επιχειρήσεων επιρροής (IO) σε ένα νέο υβρίδιο που ονομάσαμε "επιχειρήσεις επιρροής με χρήση του κυβερνοχώρου". Αυτή η νέα τακτική βοηθά τους παράγοντες απειλής να ενισχύσουν, να υπερβάλλουν ή να αντισταθμίσουν τις αδυναμίες τους στην πρόσβαση σε δίκτυα ή στις δυνατότητες των κυβερνοεπιθέσεων τους. 3 Οι μέθοδοι επίθεσης στον κυβερνοχώρο περιλαμβάνουν τακτικές όπως κλοπή δεδομένων, παραποίηση, επιθέσεις άρνησης υπηρεσίας (DDoS) και ransomware, σε συνδυασμό με μεθόδους επηρεασμού όπως διαρροές δεδομένων, λογαριασμούς-φαντάσματα, πλαστοπροσωπία θυμάτων, μέσα κοινωνικής δικτύωσης και επικοινωνία μέσω SMS/email.
Φιλική προς το web συστοιχία μεθόδων κυβερνοχώρου και επιρροής

Υπονόμευση αποκεντρωμένων συσκευών δικτύου SOHO

Οι παράγοντες απειλής δημιουργούν κρυφά δίκτυα χρησιμοποιώντας συσκευές στα όρια δικτύων μικρών γραφείων/οικιακών γραφείων (SOHO), αξιοποιώντας μάλιστα και προγράμματα που τους βοηθούν να εντοπίζουν ευάλωτα σημεία σε όλο τον κόσμο. Αυτή η τεχνική περιπλέκει την απόδοση, κάνοντας τις επιθέσεις να εμφανίζονται ουσιαστικά από οπουδήποτε.4

Στον σύντομο αυτό βίντεο των 35 δευτερολέπτων, ο John Lambert της Microsoft εξηγεί γιατί οι παράγοντες απειλής θεωρούν ελκυστικούς στόχους τις αποκεντρωμένες συσκευές στα όρια δικτύων μικρών γραφείων/οικιακών γραφείων (SOHO). Παρακολουθήστε το βίντεο τώρα:

Οι παράγοντες απειλής αποκτούν αρχική πρόσβαση με διάφορα μέσα

Στην Ουκρανία και αλλού, οι ερευνητές της υπηρεσίας "Πληροφορίες της Microsoft σχετικά με απειλές" παρατήρησαν ότι οι παράγοντες απειλής αποκτούν αρχική πρόσβαση σε στόχους χρησιμοποιώντας μια ποικιλία εργαλείων. Οι συνήθεις τακτικές και τεχνικές περιλάμβαναν την εκμετάλλευση εφαρμογών που έχουν πρόσβαση στο διαδίκτυο, το πειρατικό λογισμικό παράνομης πρόσβασης και το εστιασμένο ηλεκτρονικό "ψάρεμα". 5 αντιδραστική, αυξάνοντας γρήγορα τις επιχειρήσεις στον κυβερνοχώρο και την επιρροή τους μετά τις επιθέσεις της Χαμάς για την αντιμετώπιση του Ισραήλ.

Απομίμηση ταυτότητας θυμάτων για την προσθήκη αξιοπιστίας

Μια αυξανόμενη τάση στις επιχειρήσεις κυβερνο-επιρροής (CIO) περιλαμβάνει την απομίμηση των φερόμενων ως θύματα οργανισμών ή των επικεφαλής τους, για να προσδώσει αξιοπιστία στις επιπτώσεις της επίθεσης στον κυβερνοχώρο ή της παραβίασης. 6

Ταχύτατη υιοθέτηση δημόσια γνωστοποιούμενων POC για αρχική πρόσβαση και διατήρηση

Η Microsoft παρατηρεί ολοένα και περισσότερο ότι ορισμένες υποομάδες εθνικών κρατών υιοθετούν δημόσια γνωστοποιούμενων (POC) αμέσως μετά τη δημοσίευσή του για να εκμεταλλευτούν ευπάθειες σε εφαρμογές που έχουν πρόσβαση στο διαδίκτυο. 7

 

Το παρακάτω σχήμα απεικονίζει δύο αλυσίδες επιθέσεων που ευνοούνται από μια υποομάδα εθνικών κρατών που έχει παρατηρήσει η Microsoft. Και στις δύο αλυσίδες, οι επιτιθέμενοι χρησιμοποιούν Impacket για να κινηθούν πλευρικά.

Απεικόνιση αλυσίδας επιθέσεων.

Οι παράγοντες απειλής επιχειρούν να χρησιμοποιήσουν μαζικά μηνύματα SMS για να έρθουν σε επαφή με το κοινό-στόχο

Η Microsoft παρατήρησε ότι πολλοί φορείς προσπαθούσαν να χρησιμοποιήσουν μαζικά μηνύματα SMS για να βελτιώσουν την ενίσχυση και τα ψυχολογικά αποτελέσματα των επιχειρήσεών τους στον κυβερνοχώρο. 8

Στο παρακάτω σχήμα παρουσιάζονται δύο διαδοχικά μηνύματα SMS από παράγοντες απειλής που παριστάνουν το ισραηλινό αθλητικό δίκτυο. Το μήνυμα στα αριστερά περιέχει έναν σύνδεσμο προς μια παραποιημένη ιστοσελίδα του Sport5. Το μήνυμα στα δεξιά προειδοποιεί: "Αν αγαπάτε τη ζωή σας, μην ταξιδεύετε στις χώρες μας".

Atlas Group Telegram: Στιγμιότυπα SMS που παριστάνουν το ισραηλινό αθλητικό δίκτυο.

Οι λειτουργίες των κοινωνικών μέσων αυξάνουν την αποτελεσματική εμπλοκή του κοινού

Οι επιχειρήσεις μυστικής επιρροής έχουν πλέον αρχίσει να αλληλεπιδρούν με επιτυχία με το κοινό-στόχο στα κοινωνικά μέσα σε μεγαλύτερο βαθμό από ό,τι είχε παρατηρηθεί στο παρελθόν, αντιπροσωπεύοντας υψηλότερα επίπεδα πολυπλοκότητας και καλλιέργειας διαδικτυακών στοιχείων IO.9

 

Ακολουθεί ένα γραφικό του Black Lives Matter που ανέβηκε αρχικά από τον αυτοματοποιημένο λογαριασμό μιας εθνικής-κρατικής ομάδας. Επτά ώρες αργότερα, επαναφορτώθηκε από έναν λογαριασμό που παρίστανε έναν συντηρητικό ψηφοφόρο των ΗΠΑ.

Δήλωση για την υποστήριξη του Black Lives Matter, η οποία καταδικάζει τις διακρίσεις, την αστυνομική βία, την υπεράσπιση της αξιοπρέπειας και της ασφάλειας

Εξειδίκευση στην οικονομία του ransomware

Οι παράγοντες απειλής με ransomware το 2023 τείνουν προς την εξειδίκευση, επιλέγοντας να επικεντρωθούν σε ένα μικρό εύρος δυνατοτήτων και υπηρεσιών. Αυτή η εξειδίκευση έχει μια διασπορά, εξαπλώνοντας τα συστατικά μιας επίθεσης ransomware σε πολλούς παρόχους σε μια πολύπλοκη παραοικονομία. Σε απάντηση, η υπηρεσία "Πληροφορίες της Microsoft σχετικά με απειλές" παρακολουθεί μεμονωμένα τους παρόχους, σημειώνοντας ποιοι διακινούν υπηρεσίες αρχικής πρόσβασης και, στη συνέχεια, και άλλες υπηρεσίες.10

 

Σε ένα βίντεο από το Ignite, η Sherrod DeGrippo, Υπεύθυνη Στρατηγικής Πληροφοριών Απειλών της υπηρεσίας "Πληροφορίες της Microsoft σχετικά με απειλές", περιγράφει την τρέχουσα κατάσταση της οικονομίας υπηρεσιών ransomware. Παρακολουθήστε το βίντεο τώρα:

Σταθερή χρήση προσαρμοσμένων εργαλείων

Ενώ ορισμένες ομάδες αποφεύγουν ενεργά το προσαρμοσμένο κακόβουλο λογισμικό για μυστικούς σκοπούς (βλ. "Αποφυγή προσαρμοσμένων εργαλείων και κακόβουλου λογισμικού" παραπάνω), άλλες έχουν απομακρυνθεί από τα δημόσια διαθέσιμα εργαλεία και τις απλές δέσμες ενεργειών υπέρ εξειδικευμένων προσεγγίσεων που απαιτούν πιο εξελιγμένη τεχνική.11

Στόχευση των υποδομών

Παρόλο που οι οργανισμοί υποδομών—εγκαταστάσεις επεξεργασίας νερού, ναυτιλιακές επιχειρήσεις, οργανισμοί μεταφορών—δεν διαθέτουν τα πολύτιμα δεδομένα που προσελκύουν την μεγαλύτερη κατασκοπεία στον κυβερνοχώρο λόγω έλλειψης πληροφοριακής αξίας, ενέχουν ωστόσο αξία διατάραξης της λειτουργίας τους. 12

 

Ο John Lambert της Microsoft παρουσιάζει εν συντομία το παράδοξο της κυβερνοκατασκοπείας: ένας στόχος που φαινομενικά δεν έχει δεδομένα. Παρακολουθήστε το βίντεο τώρα:

Όπως μπορείτε να δείτε από τις λεπτομέρειες των 11 στοιχείων από το 2023 που μόλις εξετάσαμε, το τοπίο των απειλών εξελίσσεται συνεχώς και η πολυπλοκότητα και η συχνότητα των κυβερνοεπιθέσεων συνεχίζει να αυξάνεται. Δεν υπάρχει καμία αμφιβολία ότι οι 300+ παράγοντες απειλής που παρακολουθούμε θα δοκιμάζουν πάντα κάτι νέο και θα το συνδυάζουν με τις δοκιμασμένες και αληθινές TTP. Αυτό είναι που μας αρέσει σε αυτούς τους παράγοντες απειλής, καθώς τους αναλύουμε και κατανοούμε τις προσωπικότητές τους, είναι ότι μπορούμε να προβλέψουμε τις επόμενες κινήσεις τους. Και τώρα με το παραγωγικό AI, μπορούμε να το κάνουμε αυτό γρηγορότερα και θα είμαστε καλύτεροι στο να διώχνουμε τους επιτιθέμενους νωρίτερα.

 

Με αυτά τα λόγια, ας προχωρήσουμε στο 2024.

 

Για να λαμβάνετε ειδήσεις και πληροφορίες για την ευφυΐα προστασίας από απειλές στον κυβερνοχώρο κατευθείαν από την πηγή, ρίξετε μια ματιά στο Podcast "Πληροφορίες της Microsoft σχετικά με απειλές" με οικοδεσπότη τη Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Ένας χρόνος ρωσικού υβριδικού πολέμου στην Ουκρανία. Σελίδα 14

  6. [6]

    Το Ιράν στρέφεται σε επιχειρήσεις επιρροής που ενεργοποιούνται από τον κυβερνοχώρο για μεγαλύτερο αποτέλεσμα. Σελίδα 11.

  7. [7]
  8. [8]

    Το Ιράν στρέφεται σε επιχειρήσεις επιρροής που ενεργοποιούνται από τον κυβερνοχώρο για μεγαλύτερο αποτέλεσμα. Σελίδα 11.

  9. [9]

    Οι ψηφιακές απειλές από την Ανατολική Ασία αυξάνονται σε εύρος και αποτελεσματικότητα. Σελίδα 6

  10. [10]

    Ένας χρόνος στην Intel: Στιγμιότυπα από την παγκόσμια στάση της Microsoft κατά των APT

  11. [11]

    Το Ιράν στρέφεται σε επιχειρήσεις επιρροής που ενεργοποιούνται από τον κυβερνοχώρο για μεγαλύτερο αποτέλεσμα. Σελίδα 12.

  12. [12]

    Ένας χρόνος στην Intel: Στιγμιότυπα από την παγκόσμια στάση της Microsoft κατά των APT

Δραστηριότητες επιρροής στον κυβερνοχώρο Εθνικό κράτος Παράγοντες απειλής

Σχετικά άρθρα

Οι ρωσικοί παράγοντες απειλής πιέζουν και προετοιμάζονται για αρπαγές εν μέσω της πολεμικής εξουθένωσης

Οι ρωσικές επιχειρήσεις κυβερνοχώρου και επιρροής επιμένουν καθώς ο πόλεμος στην Ουκρανία συνεχίζεται. Οι Πληροφορίες της Microsoft σχετικά με απειλές παρουσιάζουν λεπτομερώς τις πιο πρόσφατες δραστηριότητες απειλής και επιρροής στον κυβερνοχώρο τους τελευταίους έξι μήνες.
Μάθετε περισσότερα

Το Volt Typhoon στοχεύει τις κρίσιμες υποδομές των ΗΠΑ με τεχνικές living-off-the-land

Οι Πληροφορίες της Microsoft σχετικά με απειλές αποκάλυψαν αυξημένες επιχειρήσεις επιρροής μέσω κυβερνοχώρου εκτός Ιράν. Λάβετε πληροφορίες για τις απειλές με λεπτομέρειες για νέες τεχνικές και πού υπάρχει η πιθανότητα για μελλοντικές απειλές.
Μάθετε περισσότερα

Το Ransomware ως υπηρεσία: Το νέο πρόσωπο του εγκλήματος στον κυβερνοχώρο

Οι Πληροφορίες της Microsoft σχετικά με απειλές εξετάζουν ένα έτος επιχειρήσεων στον κυβερνοχώρο και επιρροής στην Ουκρανία, αποκαλύπτουν νέες τάσεις στις απειλές στον κυβερνοχώρο και τι να περιμένουμε καθώς ο πόλεμος μπαίνει στο δεύτερο έτος.
Μάθετε περισσότερα

Ακολουθήστε την Ασφάλεια της Microsoft