Trace Id is missing

Obavještavanje o prijetnjama, pregled godine, 2023.: Ključni uvidi i razvoji

Crveni krugovi na nebu

Ovo je bila izvanredna godina za Microsoftovo obavještavanje o prijetnjama. Sâm obujam prijetnji i napada koje smo otkrili kroz više od 65 bilijuna signala koje svakodnevno pratimo doveo nas je do mnogo prijelomnih točaka, posebno kada opazimo promjenu u načinu na koji zlonamjerni akteri povećavaju i koriste podršku nacionalne države. Prošla godina bila je puna napada no ikada prije, a lanci napada postaju sve složeniji sa svakim danom. Vremena zadržavanja su se skratila. Taktike, tehnike i procedure (TTP) razvili su se i postale snalažljivije i izbjegavajuće po prirodi. Ako gledamo unatrag na pojedinosti ovih incidenata, to nam pomaže vidjeti obrasce tako da možemo odrediti kako odgovoriti na nove prijetnje i predvidjeti u kojem će se smjeru dalje kretati. Cilj našeg pregleda TTP-ova za 2023. je pružiti sveobuhvatan pregled krajolika obavještavanja o prijetnjama preko onog što smo uočili u incidentima diljem svijeta. Slijedi nekoliko istaknutih značajki koje Sherrod DeGrippo i ja želimo podijeliti s vama uz nekoliko video isječaka iz naše rasprave na konferenciji Ignite 2023.

John Lambert,
Microsoftov korporativni potpredsjednik i suradnik za sigurnost

Taksonomija imenovanja zlonamjernih aktera

Microsoft se 2023. godine prebacio na novu taksonomiju imenovanja zlonamjernih aktera na temu vremena koja (1) bolje odgovara sve većoj složenosti i opsegu modernih prijetnji te (2) pruža organiziraniji, pamtljiv i jednostavan način spominjanja zlonamjernih grupa.1

Microsoft kategorizira zlonamjerne aktera u pet ključnih grupa:

Operacije utjecaja nacionalne države: Mećava, nevrijeme, poplava, tsunami, oluja, pješčana oluja, susnježica.

U našoj novoj taksonomiji, vremenska pojava ili naziv skupine predstavljaju jednu od gore navedenih kategorija. Zlonamjerni akteri u istoj vremenskoj skupini dobivaju pridjev kako bi se razlikovale različite grupe, osim grupa u razvoju, a koje dobivaju četiri znamenke.

Trendovi u 2023. za zlonamjerne, taktike, tehnike i procedure (TTP)

Izbjegavanje prilagođenih alata i zlonamjernih softvera

Grupe zlonamjernih aktera koje naglašavaju nevidljivost selektivno su izbjegavale korištenje prilagođenih zlonamjernih softvera. Umjesto toga, koriste alate i procese koje postoje na uređaju žrtve kako bi se zamračile uz druge zlonamjerne aktere koristeći slične metode za pokretanje napada. 2

Microsoft korporativni potpredsjednik i suradnik za sigurnost John Lambert kratko komentira kako zlonamjerni akteri izbjegavaju prenapadne prilagođene alate radi postizanja nevidljivosti. Pogledajte videozapis u nastavku:

Kombiniranje kibernetičkih operacija i operacija utjecaja (IO)

Preko ljeta Microsoft je uočio da određeni državni akteri kombiniraju metode kibernetičkih operacija i operacije utjecaja (IO) u novi hibrid koji smo nazvali „kibernetički omogućene operacije utjecaja.” Ova nova taktika pomaže akterima da pojačaju, pretjeraju ili kompenziraju nedostatke u svom mrežnom pristupu ili sposobnosti računalnog napada. 3 Tri kibernetičke metode uključuju taktiku poput krađe podataka, brisanja DDoS-ova i ucjenjivačkog softvera u kombinaciji s metodama utjecaja poput curenja podataka, lutaka od čarapa, oponašanja žrtava, društvenih mreža i komunikacije SMS-om i e-poštom.
Polje kibernetičkih metoda i metoda utjecaja, prihvatljivo za web

Ugrožavanje uređaja na rubu mreže SOHO

Zlonamjerni akteri okupljaju skrivene mreže iz uređaja na rubu mreža malih ureda/kućnih ureda (SOHO), čak koristeći programe kako bi pomogli u lociranju ranjivih krajnjih točaka u svijetu. Ova tehnika komplicira pripisivanje, zbog čega se napadi pojavljuju od praktički bilo gdje.4

U ovom videozapisu od 35 sekunda, Microsoftov John Lambert razjašnjava zašto su zlonamjernim akterima uređaji na rubu SOHO mreže tako primamljive mete. Pogledajte videozapis u nastavku:

Zlonamjerni akteri dobivaju inicijalni pristup preko različitih načina

U Ukrajini i drugdje, istraživači u Microsoftovu obavještavanju o prijetnjama uočili su da zlonamjerni akteri dobivaju inicijalni pristup metama koristeći različite komplete alata. Česte taktike i tehnike uključivale su iskorištavanje internetskih aplikacija, piratski softver za neovlašten ulazak u sustav i individualiziranu krađu identiteta. 5 reaktivni, brzo povećavaju svoje kibernetičke operacije i operacije utjecaja nakon Hamasovi napada kako bi se suprotstavili Izraelu.

Oponašanje žrtava za dodavanje vjerodostojnosti

Sve veći trend u kibernetički omogućenim operacijama utjecaja koje uključuje oponašanje navodnih organizacija žrtava ili vodećih ljudi u tim organizacijama kako bi se dodala vjerodostojnost učincima računalnog napada ili kompromis. 6

Brzo usvajanje javno otkrivenih POC-ova za inicijalni pristup i upornost

Microsoft sve više uočava određene državne podgrupe koje usvajaju javno otkriven kôd provjere koncepta (POC) nedugo nakon što je objavljen kako bi se iskorištavale ranjivosti u internetskim aplikacijama. 7

 

Slika u nastavku prikazuje dva lanca napada koje favorizira državna podgrupa koju Microsoft prati. U oba lanca napadači koriste Impacket za bočno kretanje.

Ilustracija lanca napada.

Zlonamjerni akteri pokušavaju koristiti masovne SMS poruke kako bi stupili u kontakt s ciljnom publikom

Microsoft je uočio više aktera koji pokušavaju koristiti masovne SMS poruke za povećanja jačanja i psiholoških učinaka njihovih kibernetičkih operacija. 8

Slika u nastavku daje usporedni prikaz SMS poruka od zlonamjernih aktera koji oponašaju izraelsku sportsku mrežu. Poruka s lijeve strane sadrži vezu na obrisanu web-stranicu Sport5. Poruka na desnoj strani glasila je: „Ako volite svoj život, nemojte putovati u naše zemlje.”

Atlas Group Telegram: Snimke zaslona SMS-ova u kojima se pošiljatelj predstavlja kao izraelska sportska mreža.

Operacije na društvenim mrežama povećavaju učinkovit angažman korisnika

Operacije tajnog utjecaja počele su sada u većoj mjeri nego prije uspješno surađivati s ciljnim grupama korisnika na društvenim mrežama, što predstavlja više razine sofisticiranosti i obrađivanja sredstava za IO na mreži.9

 

U nastavku je grafika Black Lives Matter koju je inicijalno prenio automatizirani račun državne grupe. Sedam sati kasnije ponovo ju je prenio račun koji je oponašao američkog konzervativnog glasača.

Izjava kojom se podupire pokret Black Lives Matter, osuđuje diskriminaciju, policijsko nasilje, zagovara dostojanstvo i sigurnost

Specijalizacija u okviru ekonomije ucjenjivačkog softvera

Operatori ucjenjivačkog softvera u 2023. usmjeravali su se prema specijalizaciji i odlučili se fokusirati na mali raspon sposobnosti u usluga. Ova specijalizacija ima razarajući učinak i širi komponente ucjenjivačkog softvera na više pružatelja usluga u složenoj underground ekonomiji. Kao odgovor na to, Microsoftovo obavještavanje o prijetnjama prati pružatelje usluga pojedinačno i bilježi koji promet u inicijalnom pristupu i zatim druge usluge.10

 

U video segmentu s konferencije Ignite, direktor strategije obavještavanja o prijetnjama u Microsoftovu obavještavanje o prijetnjama, Sherrod DeGrippo, opisuje trenutačno stanje ekonomije usluge ucjenjivačkog softvera. Pogledajte videozapis u nastavku:

Stabilna upotreba prilagođenih alata

Dok neke grupe aktivno izbjegavaju prilagođeni zlonamjerni softver u svrhe ostvarivanja nevidljivosti (vidjeti „Izbjegavanje prilagođenih alata i zlonamjernog softvera” iznad), drugi su se prebacili s javno dostupnih alata i jednostavnih skripti u ime prilagođenih pristupa koji zahtijevaju sofisticiranije trgovačke vještine.11

Ciljanje infrastrukture

Iako infrastrukturne organizacije – objekti za obradu voda, pomorske operacije, organizacije za prijevoz – nemaju vrstu dragocjenih podataka koja privlači najviše špijunaže zbog nedostatka obavještajne vrijednosti, nude vrijednost ometanja. 12

 

Microsoftov John Lambert predstavlja paradoks u kibernetičkoj špijunaži: cilj koji naizgled nema podatke. Pogledajte videozapis u nastavku:

Kao što možete vidjeti iz pojedinosti 11 stavki iz 2023. koje smo upravo pregledali, krajolik prijetnji stalno se razvija, a sofisticiranost i učestalost računalnih napada i dalje je u porastu. Nesumnjivo je da će 300+ aktera koje pratimo uvijek pokušati napraviti nešto novo i to kombinirati s isprobanim TTP-ovima. To je ono što volimo u vezi ovih zlonamjernih aktera kako ih analiziramo i razumijemo njihove persone, možemo predvidjeti njihove sljedeće korake. A sada uz generativni AI to možemo učiniti brže i biti ćemo bolji u ranijem izbacivanju napadača.

 

Krenimo u 2024.

 

Za primanje vijesti i informacija o obavještavanju o prijetnjama  koje možete slušati u vožnji poslušajte naš Podcast Microsoftova obavještavanja o prijetnjama koji vodi Sherrod DeGrippo.

  1. [5]

    Godina ruskog hibridnog ratovanja u Ukrajini. Stranica 14.

  2. [6]

    Iran se okreće računalno omogućenima operacijama utjecaja radi većeg učinka. Stranica 11.

  3. [8]

    Iran se okreće računalno omogućenima operacijama utjecaja radi većeg učinka. Stranica 11.

  4. [9]

    Digitalne prijetnje iz Istočne Azije rastu u širini i učinkovitošću. Stranica 6.

  5. [10]

    Godina u Intelu: najvažnija zbivanja u vezi Microsoftova globalnog stajališta protiv APT-ova

  6. [11]

    Iran se okreće računalno omogućenima operacijama utjecaja radi većeg učinka. Stranica 12.

  7. [12]

    Godina u Intelu: najvažnija zbivanja u vezi Microsoftova globalnog stajališta protiv APT-ova

Povezani članci

Ruski zlonamjerni akteri jače napadaju, spremaju se iskoristiti ratni zamor

Ruske kibernetičke operacije i operacije utjecaja i dalje traju s nastavkom rata u Ukrajini. Microsoftovo obavještavanje o prijetnjama navodi najnovije aktivnosti računalnih prijetnji i utjecaja u zadnjih šest mjeseci.

Volt Typhoon cilja na američku ključnu infrastrukturu s raspoloživim tehnikama

Microsoftovo obavještavanje o prijetnjama otkrilo je računalno omogućene operacije utjecaja izvan Irana. Dobijte uvide o prijetnjama s pojedinostima o novim tehnikama te gdje postoji potencijal za buduće prijetnje.

Ucjenjivački softver kao usluga: Novo lice industrijaliziranog računalnog zločina

Microsoftovo obavještavanje o prijetnjama ispituje godinu dana računalnih operacija i operacija utjecaja u Ukrajini, otkriva nove trendove u računalnim prijetnjama i što očekivati dok rat ulazi u drugu godinu.

Pratite Microsoft Security