Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Przegląd roku 2023 pod kątem analizy zagrożeń: najważniejsze wnioski i zmiany

Udostępnij
Czerwone okręgi na niebie

To był niesamowity rok dla Centrum analizy zagrożeń Microsoft. Sam wolumen zagrożeń i ataków ujawnionych poprzez ponad 65 bilionów sygnałów, które codziennie monitorujemy, dał nam wiele punktów zwrotnych, zwłaszcza że dostrzegamy zmianę w sposobie skalowania źródeł zagrożeń i wykorzystywania przez nie wsparcia państw narodowych. W zeszłym roku odnotowano więcej ataków niż kiedykolwiek wcześniej, a łańcuchy ataków z każdym dniem stają się coraz bardziej złożone. Czasy niewykrytego przebywania uległy skróceniu. Taktyki, techniki i procedury ewoluowały i są teraz zwinniejsze i bardziej nieuchwytne. Analiza szczegółów tych zdarzeń pomaga nam dostrzegać wzorce, co pozwala nam określać, jak powinniśmy reagować na nowe zagrożenia, i przewidywać, w jakim kierunku mogą one podążyć w przyszłości. Nasz przegląd taktyk, technik i procedur z 2023 roku ma zapewniać kompleksowy wgląd w krajobraz analizy zagrożeń na podstawie tego, co zaobserwowaliśmy w związku ze zdarzeniami na całym świecie. Oto niektóre z najważniejszych kwestii, którymi Sherrod DeGrippo i ja chcielibyśmy się podzielić, a także fragmenty wideo z naszej dyskusji podczas konferencji Ignite 2023.

John Lambert
Wiceprezes korporacyjny i specjalista Security Fellow, Microsoft

Taksonomia nazewnictwa źródeł zagrożeń

W 2023 roku firma Microsoft przeszła na nową taksonomię nazewnictwa zainspirowaną zjawiskami pogodowymi, która (1) lepiej odzwierciedla rosnące złożoność, skalę i wolumen współczesnych zagrożeń oraz (2) zapewnia lepiej zorganizowany i ułatwiający zapamiętywanie sposób odwoływania się do wrogich grup1.

Firma Microsoft kategoryzuje źródła zagrożeń za pomocą pięciu kluczowych grup:

Operacje wywierania wpływu na państwa narodowe: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Zgodnie z naszą nową taksonomią zdarzenie pogodowe lub nazwa rodziny reprezentuje jedną z powyższych kategorii. Źródłom zagrożeń w obrębie tej samej rodziny pogodowej nadawane są przymiotniki umożliwiające rozróżnienie grup — z wyjątkiem grup w fazie rozwoju, którym przypisuje się czterocyfrowe numery.

Trendy dotyczące taktyk, technik i procedur w 2023 roku

Unikanie niestandardowych narzędzi i złośliwego oprogramowania

Grupy będące źródłami zagrożeń zainteresowane prowadzeniem niewidocznych działań selektywnie unikają stosowania niestandardowego złośliwego oprogramowania. Zamiast tego używają narzędzi i procesów już istniejących na urządzeniu ofiary, aby ukrywać się wśród innych źródeł zagrożeń, stosując podobne do nich metody w celu przeprowadzania ataków. 2

John Lambert, wiceprezes korporacyjny i specjalista Security Fellow w firmie Microsoft, krótko skomentował to, w jaki sposób źródła zagrożeń unikają wyrazistych niestandardowych narzędzi, aby działać w sposób niewidoczny. Obejrzyj poniższe wideo:

Łączenie operacji cybernetycznych i wywierania wpływu

Latem firma Microsoft zaobserwowała, że pewne państwowe źródła zagrożeń łączą metody operacji cybernetycznych i operacji wywierania wpływu w ramach nowych operacji hybrydowych, które nazwaliśmy „operacjami wywierania wpływu z wykorzystaniem cybertechnologii”. Ta nowa taktyka pomaga źródłom zagrożeń zwiększać poziom dostępu sieciowego lub możliwości przeprowadzania cyberataków, wyolbrzymiać je lub rekompensować braki w tym zakresie. 3 Metody cybernetyczne obejmują takie taktyki, jak kradzież danych, złośliwa zmiana treści, ataki DDoS i oprogramowanie wymuszające okup (ransomware), i są używane w połączeniu z metodami wywierania wpływu, takimi jak wycieki danych, marionetki, podszywanie się pod ofiary, działania w mediach społecznościowych i wykorzystywanie komunikacji SMS/e-mail.
Przyjazna dla sieci tablica metod cybernetycznych i wywierania wpływu

Naruszanie zabezpieczeń urządzeń brzegowych małych i domowych biur

Źródła zagrożeń budują ukryte sieci złożone z urządzeń brzegowych sieci małych i domowych biur (tzw. SOHO), korzystając nawet z programów pomagających w lokalizowaniu punktów końcowych z lukami w zabezpieczeniach na całym świecie. Ta technika utrudnia identyfikowanie źródeł zagrożeń, wywołując wrażenie, że ataki pochodzą z praktycznie dowolnego miejsca4.

W tym 35-sekundowym wideo John Lambert z firmy Microsoft wyjaśnia, dlaczego urządzenia brzegowe sieci małych i domowych biur są dla źródeł zagrożeń tak atrakcyjnymi celami. Obejrzyj poniższe wideo:

Źródła zagrożeń uzyskują początkowy dostęp różnymi sposobami

Badacze Centrum analizy zagrożeń Microsoft zaobserwowali w Ukrainie i w innych miejscach, że źródła zagrożeń uzyskują do celów początkowy dostęp przy użyciu zróżnicowanego zestawu narzędzi. Typowe taktyki i techniki to między innymi wykorzystywanie aplikacji widocznych z Internetu, pirackiego oprogramowania zawierającego „tylne wejścia” (tzw. backdoor) oraz spersonalizowanego wyłudzania informacji. 5 działania reaktywne z szybką intensyfikacją operacji cybernetycznych i wywierania wpływu po atakach Hamasu w celu przeciwstawienia się Izraelowi.

Podszywanie się pod ofiary w celu zwiększenia wiarygodności

Rosnącym trendem w zakresie operacji wywierania wpływu z wykorzystaniem cybertechnologii jest podszywanie się pod organizacje prawdopodobnie będące ofiarami ataków lub czołowe osoby z takich organizacji, aby zwiększyć wiarygodność skutków cyberataku lub naruszenia zabezpieczeń. 6

Szybkie wykorzystywanie ujawnionych weryfikacji koncepcji w celu uzyskania początkowego dostępu i utrzymania obecności w zaatakowanym systemie

Firma Microsoft coraz częściej obserwuje, że pewne państwowe podgrupy hakerskie wdrażają publicznie ujawniony kod pochodzący z weryfikacji koncepcji wkrótce po jego opublikowaniu w celu wykorzystywania luk w zabezpieczeniach aplikacji widocznych z Internetu. 7

 

Na poniższej ilustracji przedstawiono zaobserwowane przez firmę Microsoft dwa łańcuchy ataków preferowane przez państwową podgrupę hakerską. W przypadku obu łańcuchów atakujący używają kolekcji Impacket do penetracji sieci.

Ilustracja przedstawiająca łańcuch ataków.

Źródła zagrożeń próbują kontaktować się z odbiorcami docelowymi za pomocą masowych wiadomości SMS

Firma Microsoft zaobserwowała, że ​​wiele źródeł zagrożeń próbuje wykorzystywać masowe wiadomości SMS do wzmacniania przekazu i efektów psychologicznych swoich operacji wywierania cyberwpływu. 8

Na poniższej ilustracji przedstawiono obok siebie dwie wiadomości SMS pochodzące od źródeł zagrożeń udających izraelską sieć sportową. Wiadomość po lewej stronie zawiera link do strony internetowej sieci Sport5 ze złośliwie zmienioną treścią. Wiadomość po prawej stronie to: „Jeśli cenisz swoje życie, nie podróżuj do naszych krajów”.

Kanał Telegram Grupy Atlas: Zrzuty ekranu wiadomości SMS podszywającej się pod izraelską sieć sportową.

Operacje w mediach społecznościowych skuteczniej angażują odbiorców

Tajne operacje wywierania wpływu zaczęły skutecznie angażować docelowych odbiorców docelowych w mediach społecznościowych w większym stopniu, niż obserwowano wcześniej, wykazując wyższy poziom wyrafinowania i kultywowanie zasobów internetowych operacji wywierania wpływu9.

 

Poniżej przedstawiono grafikę Black Lives Matter przekazaną najpierw przez automatyczne konto państwowej grupy hakerskiej. Siedem godzin później została ona ponownie przekazana przez konto podszywające się pod konserwatywnego wyborcę ze Stanów Zjednoczonych.

Oświadczenie wspierające Black Lives Matter, potępiające dyskryminację, przemoc policyjną, opowiadające się za godnością i bezpieczeństwem

Specjalizacja w gospodarce oprogramowania ransomware

W 2023 roku operatorzy oprogramowania wymuszającego okup (ransomware) wykazywali tendencję do specjalizowania się z koncentracją na niewielkim zakresie możliwości i usług. Ta specjalizacja powoduje efekt rozszczepienia i rozkładanie się elementów ataku za pomocą oprogramowania ransomware między wieloma dostawcami w złożonej podziemnej gospodarce. W reakcji na to Centrum analizy zagrożeń Microsoft śledzi poszczególnych dostawców, rejestrując to, którzy z nich zajmują się początkowym dostępem, a następnie innymi usługami.10

 

W wideo z fragmentem wystąpienia Sherrod DeGrippo, dyrektor ds. strategii analizy zagrożeń w Centrum analizy zagrożeń Microsoft, na konferencji Ignite opisuje ona obecny stan gospodarki usług ransomware. Obejrzyj poniższe wideo:

Stałe wykorzystywanie niestandardowych narzędzi

Podczas gdy niektóre grupy aktywnie unikają niestandardowego złośliwego oprogramowania, aby działać w sposób niewidoczny (zobacz „Unikanie niestandardowych narzędzi i złośliwego oprogramowania” powyżej), inne odchodzą od publicznie dostępnych narzędzi i prostych skryptów w kierunku metod ściśle dostosowanych, wymagających bardziej wyrafinowanych rozwiązań.11

Ataki na infrastrukturę

Mimo że organizacje związane z infrastrukturą, takie jak zakłady uzdatniania wody, przedsiębiorstwa morskie czy organizacje transportowe, nie dysponują cennymi danymi o wartości wywiadowczej zwykle przyciągającymi cyberszpiegów, to stanowią one istotne cele ze względu na możliwość spowodowania zakłóceń. 12

 

John Lambert z firmy Microsoft krótko przedstawia paradoks cyberszpiegostwa: cel ataku, który nie wydaje się dysponować danymi. Obejrzyj poniższe wideo:

Jak wynika ze szczegółów omówionych powyżej 11 pozycji z 2023 roku, krajobraz zagrożeń stale ewoluuje, a wyrafinowanie i częstotliwość cyberataków stale rosną. Nie ulega wątpliwości, że ponad 300 śledzonych przez nas źródeł zagrożeń zawsze będzie próbować czegoś nowego i będzie łączyć te nowe rozwiązania ze sprawdzonymi taktykami, technikami i procedurami. To właśnie podoba się nam w tych źródłach zagrożeń — analizując je i interpretując ich osobowości, możemy przewidzieć ich kolejne posunięcia. Teraz dzięki generatywnej AI możemy to robić szybciej i jeszcze wcześniej eksmitować atakujących.

 

Po przeanalizowaniu tych informacji czas przyjrzeć się rokowi 2024.

 

Aby śledzić aktualności i informacje dotyczące analizy zagrożeń w wygodny sposób, na przykład podczas jazdy samochodem, warto słuchać podkastu The Microsoft Threat Intelligence Podcast prowadzonego przez Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Rok rosyjskiej wojny hybrydowej w Ukrainie. Strona 14

  6. [6]

    Iran zwraca się w stronę operacji wywierania wpływu z wykorzystaniem cybertechnologii w celu zwiększenia skuteczności. Strona 11.

  7. [7]
  8. [8]

    Iran zwraca się w stronę operacji wywierania wpływu z wykorzystaniem cybertechnologii w celu zwiększenia skuteczności. Strona 11.

  9. [9]

    Zwiększony zasięg i efektywność cyberzagrożeń ze strony Azji Wschodniej. Strona 6

  10. [10]

    Podsumowanie roku w analizie: najważniejsze informacje z globalnej obrony firmy Microsoft przed zaawansowanymi trwałymi zagrożeniami

  11. [11]

    Iran zwraca się w stronę operacji wywierania wpływu z wykorzystaniem cybertechnologii w celu zwiększenia skuteczności. Strona 12.

  12. [12]

    Podsumowanie roku w analizie: najważniejsze informacje z globalnej obrony firmy Microsoft przed zaawansowanymi trwałymi zagrożeniami

Operacje wywierania cyberwpływu Grupa państwowa Źródła zagrożeń

Powiązane artykuły

Rosyjskie źródła zagrożeń okopują się i przygotowują do wykorzystania zmęczenia wojną

Rosyjskie operacje cybernetyczne i wywierania wpływu nie ustają w obliczu kontynuacji wojny na Ukrainie. Centrum analizy zagrożeń Microsoft udostępnia szczegółowe informacje na temat najnowszych cyberzagrożeń i działań wywierania wpływu w ciągu ostatnich sześciu miesięcy.
Dowiedz się więcej

Grupa Volt Typhoon atakuje infrastrukturę krytyczną Stanów Zjednoczonych za pomocą technik LOTL

Analiza zagrożeń Microsoft ujawniła wzmożone działania w zakresie wywierania wpływu informacyjnego oparte na cyberatakach ze strony Iranu. Uzyskaj szczegółowe informacje o zagrożeniach, w tym o nowych technikach i potencjalnych źródłach przyszłych zagrożeń.
Dowiedz się więcej

Oprogramowanie wymuszające okup jako usługa: Nowe oblicze uprzemysłowionej cyber­przestępczości

Centrum analizy zagrożeń Microsoft analizuje rok operacji cybernetycznych oraz działań w zakresie wywierania wpływu informacyjnego w Ukrainie, przedstawia nowe trendy w zakresie cyberzagrożeń i ujawnia, czego można spodziewać się w obliczu wkroczenia w drugi rok wojny.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft