Trace Id is missing

Pregled službe za informacije o pretnjama za 2023. godinu: Ključni uvidi i razvoj

Deljenje
Crveni krugovi na nebu

Bila je to neverovatna godina za Microsoft informacije o pretnjama. Sâm obim pretnji i napada koje smo otkrili kroz više od 65 triliona signala koje svakodnevno pratimo dovelo nas je do mnogo prelomnih tačaka, posebno kada uočimo promenu u načinu na koji zlonamerni akteri povećavaju i koriste podršku nacionalne države. Prošle godine se dogodilo najviše napada do sada, a lanci napada postaju svakim danom sve složeniji. Vreme zadržavanja je kraće. Napredovale su taktike, tehnike i procedure (TTP), pa se sada lakše prilagođavaju, a teže hvataju. Analiziranjem detalja tih incidenata uviđamo obrasce da bismo mogli da utvrdimo kako da reagujemo na nove pretnje i predvidimo njihove dalje korake. Cilj našeg pregleda TTP iz 2023. jeste davanje sveobuhvatnog pregleda pejzaža informacija o pretnjama na osnovu onoga što smo uočili u incidentima širom sveta. Ovo su neke od najvažnijih informacija koje i Šerod Degripo i ja želimo da podelimo sa vama, zajedno sa isečcima video zapisa naše diskusije na konferenciji Ignite 2023. godine.

Džon Lambert,
korporativni potpredsednik i stručnjak za bezbednost u korporaciji Microsoft

Klasifikacija imenovanja zlonamernih aktera

Od 2023. godine, korporacija Microsoft je prešla na novu klasifikaciju imenovanja zlonamernih aktera sa temom vremenskih prilika, koja (1) više odgovara sve većoj složenosti, razmeri i sve većem obimu modernih pretnji i (2) omogućava organizovaniji, pamtljiviji i lakši način upućivanja na zlonamerne grupe.1

Microsoft deli zlonamerne aktere na pet ključnih grupa:

Operacije uticaja nacionalne države: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

U našoj novoj klasifikaciji, vremenska prilika ili prezime predstavlja jednu od gore pomenutih kategorija. Zlonamernim akterima iz iste vremenske porodice dat je pridev kako bi se napravila razlika između različitih grupa, izuzev grupa u razvoju, kojima su dodeljeni četvorocifreni brojevi.

Trendovi u pogledu taktika, tehnika i procedura (TTP) u 2023. godini

Izbegavanje prilagođenih alatki i zlonamernih softvera

Grupe zlonamernih aktera koje pridaju značaj tajnosti selektivno su izbegavale korišćenje prilagođenih zlonamernih softvera. Umesto toga, koriste alatke i procese koji već postoje na uređaju žrtve da bi sakrili sebe i druge zlonamerne aktere koji koriste slične metode napadanja. 2

Korporativni potpredsednik i stručnjak za bezbednost u korporaciji Microsoft Džon Lambert kratko komentariše kako zlonamerni akteri izbegavaju da se razmeću prilagođenim alatkama da bi ostali u tajnosti. Pogledajte video u nastavku:

Kombinovanje kibernetičkih operacija i operacija uticaja (IO)

Tokom leta, korporacija Microsoft je primetila kako određeni akteri nacionalnih država kombinuju metode kibernetičkih operacija i operacija uticaja (IO), čime je dobijen novi hibridni oblik koji nazivamo „operacije uticaja omogućene kibernetičkom tehnologijom“. Ta nova taktika pomaže akterima da povećaju ili preuveličaju pristup mreži ili mogućnosti za kibernetički napad ili da nadomeste njihove nedostatke. 3 Kibernetičke metode obuhvataju taktike kao što su krađa podataka, uništavanje, DDoS i ransomver u kombinaciji sa metodama uticaja kao što su curenje podataka, botovi, oponašanje žrtava, društvene mreže i komunikacija putem SMS poruka ili e-poruka.
Niz kibernetičkih metoda i metoda uticaja prilagođenih vebu

Ugrožavanje uređaja na ivici SOHO mreže

Zlonamerni akteri sastavljaju prikrivene mreže od uređaja na ivici mreže uređaja malih i kućnih kancelarija (SOHO), pa čak i koriste programe za pomoć pri lociranju ranjivih krajnjih tačaka širom sveta. Ta tehnika otežava pripisivanje napada akteru jer napadi mogu da deluju kao da potiču sa bilo kog mesta.4

U sledećem video zapisu od 35 sekundi, Džon Lambert iz korporacije Microsoft objašnjava zašto su uređaji na ivici SOHO mreže tako primamljive mete zlonamernim akterima. Pogledajte video u nastavku:

Zlonamerni akteri ostvaruju početni pristup raznim sredstvima

U Ukrajini i na drugim mestima, istraživači iz Microsoft informacija o pretnjama primetili su da zlonamerni akteri ostvaruju početni pristup metama korišćenjem raznovrsnog kompleta alatki. U česte taktike i tehnike spadaju iskorišćavanje javnih aplikacija, piratizovani softveri sa zadnjim vratima i ciljani phishing. 5 reaktivni, brzo intenziviraju kibernetičke operacije i operacije uticaja posle napada Hamasa kao odgovor Izraelu.

Oponašanje žrtava radi veće verodostojnosti

Sve veći trend u operacijama uticaja omogućenim kibernetičkom tehnologijom jeste oponašanje navodnih organizacija koje su žrtve napada ili vodećih osoba u tim organizacijama radi davanja kredibiliteta posledicama kibernetičkog napada ili ugrožavanju. 6

Brzo usvajanje javno otkrivenih dokaza koncepta (POC) zarad početnog pristupa i upornosti

Microsoft sve više primećuje kako određene podgrupe nacionalnih država usvajaju javno otkriveni POC kôd ubrzo nakon objavljivanja da bi iskoristili ranjivosti u javnim aplikacijama. 7

 

Slika u nastavku prikazuje dva lanca napada koje preferira podgrupa nacionalne države koju korporacija Microsoft posmatra. Kod oba lanca, napadači koriste Impacket za bočno kretanje.

Ilustracija lanca napada.

Zlonamerni akteri pokušavaju da koriste masovno slanje SMS poruka da bi stupili u vezu sa ciljnom grupom

Korporacija Microsoft je primetila da brojni akteri pokušavaju da koriste masovno slanje SMS poruka da bi pospešivali jačanje i psihološke efekte operacija kibernetičkog uticaja. 8

Slika u nastavku sadrži uporedni prikaz dveju SMS poruka od zlonamernih aktera koji se predstavljaju kao izraelski sportski kanal. Poruka sa leve strane sadrži vezu do oštećene veb stranice kanala Sport5. U poruci sa desne strane piše: „Ako vam je stalo do života, nemojte putovati u naše zemlje.“

Grupa Atlas na mreži Telegram: Snimci ekrana SMS poruka koje lažno predstavljaju izraelsku sportsku mrežu.

Operacije na društvenim mrežama povećavaju efikasan angažman korisnika

Operacije tajnog uticaja počele su sada u većoj meri nego ranije uspešno da sarađuju sa ciljnim grupama korisnika na društvenim mrežama, što predstavlja viši nivo složenosti i prefinjenosti sredstava za IO na mreži.9

 

U nastavku je grafika na temu „Black Lives Matter“ („životi crnaca su važni“) koja je prvi put otpremljena sa automatskog naloga grupe nacionalne države. Nakon sedam sati, ponovo je otpremljena sa naloga koji oponaša konzervativnog glasača iz SAD.

Izjava koja podržava pokret Black Lives Matter, osuđuje diskriminaciju i policijsko nasilje, zalaže se za dostojanstvo i sigurnost

Specijalizacija u okviru ekonomije zlonamernih softvera

Tokom 2023. godine, korisnici zlonamernih softvera težili su da se specijalizuju fokusiranjem na mali opseg mogućnosti i usluga. Ta specijalizacija dovodi do podele, gde su komponente napada ransomverom podeljene na više učesnika u složenoj ekonomiji podzemlja. Zato Microsoft informacije o pretnjama prate pojedinačne učesnike i obraćaju pažnju na to koji se bave početnim pristupom, a koji drugim uslugama.10

 

U delu video zapisa sa konferencije Ignite, direktor Microsoft informacija o pretnjama za strategiju informacija o pretnjama Šerod Degripo opisuje trenutno stanje ekonomije usluga u vezi sa ransomverom. Pogledajte video u nastavku:

Konstantno korišćenje prilagođenih alatki

Dok neke grupe aktivno izbegavaju prilagođene zlonamerne softvere da bi zadržali tajnost (pogledajte prethodni odeljak „Izbegavanje prilagođenih alatki i zlonamernih softvera“), druge su prešle sa javno dostupnih alatki i jednostavnih skripti na prilagođene pristupe koji zahtevaju sofisticiranije veštine.11

Napadi na infrastrukturu

Iako infrastrukturne organizacije kao što su postrojenja za prečišćavanje vode, pomorski poslovi, organizacije za prevoz nemaju vredne podatke koji su atraktivni za većinu kibernetičkih špijunaža jer nemaju obaveštajnu vrednost, imaju ometalačku vrednost. 12

 

Džon Lambert iz korporacije Microsoft ukratko predstavlja paradoks kibernetičke špijunaže: meta koja naizgled nema podatke. Pogledajte video u nastavku:

Kao što vidite iz detalja 11 stavki iz 2023. godine koje smo upravo pregledali, pejzaž pretnji se stalno menja, a sofisticiranost i učestalost kibernetičkih napada i dalje raste. Nema sumnje da će više od 300 zlonamernih aktera koje pratimo uvek pokušavati nešto novo u kombinaciji sa isprobanim TTP. To je ono što nam se sviđa kod tih zlonamernih aktera – kako ih analiziramo i razumemo njihove personalnosti, možemo da predvidimo sledeće pokrete. A sada, uz generativni AI, to možemo da radimo još brže i još ranije ćemo odstranjivati napadače.

 

A sada, hajde da vidimo šta nas čeka u 2024.

 

Da biste dobijali vesti i informacije o informacijama o pretnjama koje možete brzo da obradite, pogledajte  podkast „Microsoft informacije o pretnjama“, čiji je voditelj Šerod Degripo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Godinu dana ruskog hibridnog rata u Ukrajini. Strana 14.

  6. [6]

    Iran se okreće operacijama uticaja koje omogućava kibernetička tehnologija radi postizanja većeg efekta. Strana 11.

  7. [7]
  8. [8]

    Iran se okreće operacijama uticaja koje omogućava kibernetička tehnologija radi postizanja većeg efekta. Strana 11.

  9. [9]

    Digitalne pretnje iz Istočne Azije povećavaju širinu i efikasnost delovanja. Strana 6

  10. [10]

    Godina u kompaniji Intel: Istaknute stavke iz globalne borbe korporacije Microsoft protiv naprednih neprekidnih pretnji

  11. [11]

    Iran se okreće operacijama uticaja koje omogućava kibernetička tehnologija radi postizanja većeg efekta. Strana 12.

  12. [12]

    Godina u kompaniji Intel: Istaknute stavke iz globalne borbe korporacije Microsoft protiv naprednih neprekidnih pretnji

Operacije kibernetičkog uticaja Nacionalna država Zlonamerni akteri

Srodni članci

Ruski zlonamerni akteri osmatraju iz prikrajka i pripremaju se da iskoriste trenutak iscrpljenosti ratom

Ruske kibernetičke operacije i operacije uticaja i dalje traju sa nastavkom rata u Ukrajini. Centar za Microsoft informacije o pretnjama navodi detalje o najnovijim kibernetičkim pretnjama i aktivnostima uticaja u poslednjih šest meseci.
Saznajte više

Volt Typhoon cilja ključne infrastrukture Sjedinjenih Država tehnikom živeti-van-zemlje

Microsoft informacije o pretnjama otkriva povećanje operacija od uticaja koje omogućava kibernetička tehnologija iz Irana. Pronađite uvide o pretnjama sa detaljima o novim tehnikama i o tome gde postoji mogućnost za buduće pretnje.
Saznajte više

Ransomver kao usluga: Novo lice industrijalizovanog kibernetičkog kriminala

Služba za Microsoft informacije o pretnjama ispituje godinu dana kibernetičkih operacija i operacija uticaja u Ukrajini, otkriva nove trendove u oblasti kibernetičkih pretnji, kao i šta se može očekivati sada kada rat ulazi u drugu godinu.
Saznajte više

Pratite Microsoft bezbednost