Trace Id is missing

Az intelligens veszélyforrás-felderítés 2023-as évének áttekintése: Főbb megállapítások és fejlemények

Megosztás
Piros kör az égen

Hihetetlen év volt ez a Microsoft Veszélyforrás-intelligencia számára. A fenyegetések és támadások puszta mennyisége, amelyet az általunk naponta megfigyelt több mint 65 billió jelből feltártunk, számos fordulóponthoz vezetett, különösen mivel változást észlelünk abban, hogy a fenyegető szereplők hogyan növelik és használják ki a nemzetállami támogatást. Az elmúlt évben minden eddiginél több támadás történt, és a támadási láncok napról napra összetettebbek. A tartózkodási idők lerövidültek. A taktikák, technikák és eljárások (TTP-k) fejlődtek, így egyre ügyesebbek és egyre nehezebben észlelhetőkké váltak. Ha áttekintjük ezeknek az incidenseknek a részleteit, könnyebben megismerhetjük a mintákat, így meghatározhatjuk, hogyan reagáljunk az új fenyegetésekre, és előre láthatjuk, milyen irányba mozdulhatnak el legközelebb. A 2023-as TTP-k áttekintésének célja, hogy átfogó képet adjon a fenyegetésekkel kapcsolatos információkról a világ különböző pontjain megfigyelt incidenseken keresztül. Az alábbiakban bemutatunk néhány fontosabb pontot, amelyet Sherrod DeGrippo és én szeretnénk megosztani Önökkel, és megnézhetnek néhány videórészletet is az Ignite 2023-as konferencián folytatott megbeszélésünkből.

John Lambert,
a Microsoft vállalati alelnöke és biztonsági munkatársa

A fenyegető szereplők elnevezési taxonómiája

2023-ban a Microsoft áttért egy új, időjárás tematikájú elnevezési taxonómiára a fenyegető szereplők nevét illetően, amely (1) jobban megfelel a modern fenyegetések növekvő összetettségének, méretének és mennyiségének, és (2) szervezettebb, megjegyezhetőbb és egyszerűbb módot biztosít a támadókra való hivatkozásra.1

A Microsoft a fenyegető szereplőket öt alapvető csoportba sorolja be:

Nemzetállami befolyásolási műveletek: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet

Taxonómiánkban az időjárási esemény, avagy családnév a fenti kategóriák egyikét jelöli. Az ugyanazon időjárási esemény nevű családon belüli fenyegető szereplőket egy melléknévvel jelöljük a különböző csoportok megkülönböztetése érdekében, kivéve a kialakulóban lévő csoportokat, amelyek egy-egy négyjegyű számot kapnak.

A taktikák, technikák és eljárások (TTP-k) trendjei 2023-ban

Az egyéni eszközök és a kártevők elkerülése

Az észrevétlenségre hangsúlyt fektető fenyegető csoportok tudatosan kerülik az egyéni kártevők használatát. Ehelyett az áldozat eszközén már meglévő eszközöket és folyamatokat használják arra, hogy más, hasonló módszereket használó fenyegető szereplőkkel együtt leplezzék magukat a támadások indítása érdekében. 2

John Lambert, a Microsoft vállalati alelnöke és biztonsági munkatársa röviden kifejti, hogy a fenyegető szereplők hogyan kerülik a feltűnő egyéni eszközöket a rejtőzködés érdekében. A videót alább tekintheti meg:

A kiberalapú és befolyásolási műveletek (IO) kombinálása

A nyár folyamán a Microsoft megfigyelte, hogy egyes nemzetállami szereplők a kiberműveletek és a befolyásolási műveletek (IO) módszereit egy új, általunk kiberalapú befolyásolási műveleteknek nevezett hibriddé kombinálják. Ez az új taktika segíti a szereplőket abban, hogy növeljék vagy eltúlozzák a hálózati hozzáférési vagy kibertámadási képességeiket, illetve kompenzálják azok hiányosságait. 3 A kiberalapú módszerek közé tartoznak az olyan taktikák, mint az adatlopás, az adatrongálás, a DDoS és a zsarolóvírus, olyan befolyásolási módszerekkel kombinálva, mint az adatok kiszivárogtatása, a zoknibábok, az áldozatok megszemélyesítése, a közösségi média, valamint az SMS-es vagy e-mailes kommunikáció.
Kibermódszerek és befolyásolási módszerek webes használatra alkalmas választéka

A SOHO-hálózatok peremeszközeinek veszélyeztetése

A fenyegető szereplők titkos hálózatokat állítanak össze a kis irodai/otthoni irodai (small office/home office, betűszóval SOHO) hálózati peremeszközökből, sőt olyan programokat is használnak, amelyek segítenek a sebezhető végpontok felkutatásában világszerte. Ez a technika megnehezíti a beazonosítást, mivel a támadások látszólag gyakorlatilag bármilyen helyről érkezhetnek.4

Ebben a 35 másodperces videóban John Lambert, a Microsoft munkatársa kifejti, hogy miért találják a SOHO-hálózatok peremeszközeit olyan vonzó célpontoknak a fenyegető szereplők. A videót alább tekintheti meg:

A fenyegető szereplők különböző módszerekkel szereznek kezdeti hozzáférést

A Microsoft Veszélyforrás-intelligencia kutatói Ukrajnában és máshol is megfigyelték, hogy a fenyegető szereplők változatos eszköztárral szereztek kezdeti hozzáférést a célpontokhoz. A leggyakoribb taktikák és technikák közé tartozik az internetről elérhető alkalmazások kihasználása, a backdoorral felszerelt kalózszoftverek és a célzott adathalászat. 5 reaktívak, és a Hamász-támadások után gyorsan felgyorsították kiber- és befolyásolási műveleteiket, hogy Izrael ellen lépjenek fel.

Az áldozatok megszemélyesítése a hitelesség érdekében

A kiberalapú befolyásolási műveletek egyre erősödő tendenciája a megcélzott áldozati szervezetek vagy a szervezetek vezetőinek megszemélyesítése, hogy a kibertámadás vagy a veszélyeztetés hatásait hitelesebbé tegyék. 6

A nyilvánosan közzétett megvalósíthatósági vizsgálatok gyors átvétele a kezdeti hozzáférés és a fennmaradás érdekében

A Microsoft egyre gyakrabban tapasztalja, hogy egyes nemzetállami alcsoportok a nyilvánosságra hozott megvalósíthatósági vizsgálatok kódját röviddel annak kiadása után átveszik, hogy kihasználják az internethez csatlakozó alkalmazások sebezhetőségeit. 7

 

Az alábbi ábra két olyan támadási láncot mutat be, amelyet a Microsoft által megfigyelt egyik nemzetállami alcsoport részesít előnyben. Mindkét láncban a támadók az Impacket segítségével végeznek oldalirányú mozgást.

Támadási lánc illusztrációja

A fenyegető szereplők tömeges SMS-üzenetekkel próbálnak kapcsolatba lépni a célközönséggel

A Microsoft több olyan szereplőt is megfigyelt, akik tömeges SMS-üzenetekkel próbálták fokozni kiberbefolyásolási műveleteik felerősítését és pszichológiai hatásait. 8

Az alábbi ábra két egymás melletti SMS-üzenetet mutat be, amelyeket izraeli sporthálózatnak álcázott fenyegető szereplők küldtek. A bal oldali üzenet egy hivatkozást tartalmaz, amely egy meghamisított Sport5-weboldalra mutat. A jobb oldali üzenet így szól: „Ha szereted az életed, ne utazz a mi országainkba”.

Atlas Group Telegram: Képernyőképek olyan SMS-ekről, amelyek színlelt küldője egy izraeli sporthálózat

A közösségi médiás műveletek növelik a felhasználók hatékony bevonását

A titkos befolyásolási műveletek mostanra a korábban megfigyeltnél nagyobb mértékben kezdtek el sikeresen kapcsolatba lépni a célközönséggel a közösségi médiában, ami az online befolyásolási műveletek eszközeinek fejlettebb szintjét és művelését jelenti.9

 

Az alábbiakban egy Black Lives Matter grafika látható, amelyet eredetileg egy nemzetállami csoport automatizált fiókja töltött fel. Hét órával később egy olyan fiók töltötte fel újra, amely egy amerikai konzervatív szavazónak adta ki magát.

A Black Lives Matter mozgalmat támogató nyilatkozat, amely elítéli a diszkriminációt és a rendőri erőszakot, és támogatja a méltóságot és a biztonságot

Specializáció a zsarolóvírus-gazdaságon belül

A 2023-ban a zsarolóvírusok üzemeltetői a specializáció irányába mozdultak el, és inkább a képességek és szolgáltatások egy szűk körére összpontosítanak. Ez a specializáció szétforgácsoló hatású, mivel a zsarolóvírus-támadás összetevői több szolgáltató között oszlanak meg egy összetett feketegazdaságban. Válaszul a Microsoft Veszélyforrás-intelligencia egyenként követi a szolgáltatókat, feljegyezve, hogy milyen forgalmat bonyolítanak le a kezdeti hozzáférésben, majd más szolgáltatásokban.10

 

A Microsoft Veszélyforrás-intelligencia fenyegetéselhárítási stratégiáért felelős igazgatója, Sherrod DeGrippo az Ignite rendezvényről készült videóban ismerteti a zsarolóvírusok szolgáltatási gazdaságának jelenlegi helyzetét. A videót alább tekintheti meg:

Egyéni eszközök következetes használata

Míg néhány csoport aktívan kerüli az egyéni kártevők használatát rejtőzködési céllal (lásd fentebb Az egyéni eszközök és a kártevők elkerülése szakaszt), mások a nyilvánosan elérhető eszközök és egyszerű szkriptek helyett a kifinomultabb trükközéseket igénylő, testre szabott megközelítéseket preferálják.11

Az infrastruktúra megcélzása

Bár az infrastruktúrát biztosító szervezetek – vízkezelő létesítmények, tengerészeti üzemeltetők, szállítási szervezetek – a hírszerzési érték hiánya miatt nem rendelkeznek olyan értékes adatokkal, amelyek a legtöbb kiberkémkedési tevékenység számára vonzóak lennének, megzavarási értéket mégis magukban rejtenek. 12

 

John Lambert, a Microsoft munkatársa röviden bemutatja a kiberkémkedés paradoxonát: egy olyan célpont, amely látszólag nem rendelkezik adatokkal. A videót alább tekintheti meg:

Amint az az imént áttekintett 2023-as 11 tétel részleteiből látható, a fenyegetettségi környezet folyamatosan fejlődik, és a kibertámadások kifinomultsága és gyakorisága is egyre nő. Kétségtelen, hogy az általunk nyomon követett több mint 300 fenyegető szereplő mindig kipróbál valami újat, és azt kombinálja a már bevált TTP-kkel. Ez az, amit szeretünk ezekben a fenyegetésekben: ahogy elemezzük őket és megértjük a személyiségüket, meg tudjuk jósolni a következő lépéseiket. És most a generatív AI-val mindezt gyorsabban el tudjuk végezni, és a támadókat hamarabb kiiktathatjuk.

 

Most pedig térjünk rá a 2024-es évre.

 

Ha olyan fenyegetéselhárítási híreket és információkat szeretne kapni, amelyeket az autósbüfében is megemészthet, hallgassa meg a Sherrod DeGrippo által vezetett Microsoft Veszélyforrás-intelligencia Podcastot.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Az orosz hibrid hadviselés egy éve Ukrajnában. 14. oldal

  6. [6]

    Irán a nagyobb hatékonyság érdekében kiberalapú befolyásolási műveleteket kezd alkalmazni. 11. oldal

  7. [7]
  8. [8]

    Irán a nagyobb hatékonyság érdekében kiberalapú befolyásolási műveleteket kezd alkalmazni. 11. oldal

  9. [9]

    A Kelet-Ázsiából érkező digitális fenyegetések terjedelme és hatékonysága növekszik. 6. oldal

  10. [10]

    A hírszerzés egy éve: A Microsoft APT-k elleni globális kiállásának fontosabb pontjai

  11. [11]

    Irán a nagyobb hatékonyság érdekében kiberalapú befolyásolási műveleteket kezd alkalmazni. 12. oldal

  12. [12]

    A hírszerzés egy éve: A Microsoft APT-k elleni globális kiállásának fontosabb pontjai

Kiberbefolyásolási műveletek Nemzetállam Fenyegető szereplők

Kapcsolódó cikkek

Az orosz fenyegető szereplők magasabb sebességre kapcsolnak és felkészülnek a háborús kifáradás kihasználására

Az orosz kibertevékenységek és befolyásolási műveletek az ukrajnai háború előrehaladtával továbbra is folytatódnak. A Microsoft Veszélyforrás-intelligencia részletesen ismerteti az elmúlt hat hónap legújabb kiberfenyegetéseit és befolyásolási tevékenységeit.
További információ

A Volt Typhoon az egyesült államokbeli kritikus infrastruktúrát veszi célba a legitim szoftverösszetevőket kihasználó, úgynevezett LOTL-technikákkal

A Microsoft Veszélyforrás-intelligencia megnövekedett számú iráni, kiberalapú befolyásolási műveleteket leplezett le. Betekintést nyerhet a veszélyforrásokba az új technikákról szóló információkból, és megtudhatja, hol állhat fenn esetleges jövőbeni fenyegetettség.
További információ

Szolgáltatott zsarolóvírusok: Az iparosodott kiberbűncselekmények új arca

A Microsoft Veszélyforrás-intelligencia megvizsgálja az ukrajnai kiber- és befolyásolási műveletek egy évét, feltárja a kiberfenyegetések új trendjeit, és hogy mire számíthatunk a háború második évében.
További információ

A Microsoft Biztonság követése