Trace Id is missing
Перейти до основного
Security Insider

Огляд аналізу кіберзагроз у 2023 р.: ключові аналітичні висновки й розробки

Поділитися
Червоні круги в небі

Це був неймовірний рік для Аналізу загроз Microsoft. Величезний обсяг загроз і атак, виявлених завдяки понад 65 трильйонам сигналів, які ми щоденно відстежуємо, дав нам розуміння про переломні моменти, особливо щодо того, як джерела загроз масштабують операції та залучають підтримку урядів. За останній рік здійснено більше атак, ніж будь-коли, а ланцюжки атак стають складнішими з кожним днем. Час присутності в системах скоротився. Прийоми, методи й процедури зловмисників еволюціонували, стали стрімкішими й непомітнішими. Детальне вивчення цих інцидентів допомагає нам простежити певні закономірності, щоб визначити, як реагувати на нові загрози, і спрогнозувати їх розвиток у майбутньому. Огляд прийомів, методів і процедур, які зловмисники використовували у 2023 р., дає повне уявлення про стан аналізу кіберзагроз на основі інцидентів, які ми спостерігали у всьому світі. Нижче наведено кілька ключових моментів, на яких Шеррод Деґріпо і я хочемо наголосити, а також кілька відеофрагментів обговорення під час конференції Ignite 2023.

Джон Ламберт,
корпоративний віце-президент і спеціаліст із безпеки корпорації Майкрософт

Таксономія назв джерел загроз

У 2023 р. корпорація Майкрософт запровадила нову класифікацію джерел загроз, використовуючи в назвах тему погоди, яка (1) краще відображає підвищення складності, зростання масштабів і обсягів сучасних загроз і (2) дає змогу упорядкувати зловмисні групи, щоб їх було легше запам’ятовувати.1

Корпорація Майкрософт розподіляє джерела загроз на п’ять основних груп:

Операції з кібервпливу національного рівня: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

За новою таксономією назва окремого погодного явища або групи явищ позначає одну з наведених вище категорій. До назви джерел загроз з однієї групи погодних явищ додається прикметник, щоб їх можна було розрізняти. Це не стосується груп у розробці, до назв яких додається чотири цифри.

Тенденції прийомів, методів і процедур, які застосовували зловмисники у 2023 р.

Уникнення спеціальних інструментів і зловмисних програм

Джерела загроз, які прагнуть діяти непомітно, навмисно не використовують спеціальні зловмисні програми. Натомість вони вдаються до інструментів і процесів, наявних на пристрої їхньої цілі, щоб приховати свої дії та загубитися серед інших джерел загроз, які використовують подібні методи для запуску атак. 2

Корпоративний віце-президент і спеціаліст із безпеки корпорації Майкрософт Джон Ламберт коротко описує, як джерела загроз уникають використання показних спеціальних інструментів, щоб діяти приховано. Перегляньте відео нижче.

Поєднання кібероперацій і операцій впливу

Протягом літа корпорація Майкрософт спостерігала, як певні джерела загроз національного рівня поєднували методи кібероперацій і операцій впливу в новий гібридний варіант атак, який отримав назву "операції впливу в кіберсередовищі". Завдяки новій тактиці зловмисники можуть наростити темп і обсяг атак або компенсувати нестачу доступу до мережі чи можливостей для проведення операції. 3 До цифрових прийомів можна віднести крадіжку даних, злам сайтів, DDoS-атаки, застосування зловмисних програм із вимогою викупу. Ці прийоми поєднуються з такими методами впливу, як витік даних, використання маріонеток, видавання себе за своїх жертв, діяльність у соцмережах, використання SMS-повідомлень і електронних листів.
Інтернет-методи кібератак і операцій впливу

Пошкодження периферійних мережевих пристроїв малих і домашніх офісів

Джерела загроз формують приховані мережі з периферійних мережевих пристроїв малих і домашніх офісів, навіть використовують програми для визначення вразливих кінцевих точок у всьому світі. Цей метод ускладнює визначення причетності зловмисників, оскільки вони можуть проводити атаки практично з будь-якої точки світу.4

У цьому 35-секундному відео спеціаліст корпорації Майкрософт Джон Ламберт розповідає, чому периферійні мережеві пристрої малих і домашніх офісів є такими привабливими цілями для джерел загроз. Перегляньте відео нижче.

Джерела загроз отримують первинний доступ різними способами

Фахівці Аналізу загроз Microsoft спостерігали в Україні та інших куточках світу, як джерела загроз використовують різноманітні інструменти, щоб отримати первинний доступ до даних своїх цілей. До поширених методів належить використання програм із доступом до Інтернету, піратського програмного забезпечення з люком для обходу системи безпеки й цільового фішингу. 5 У відповідь швидко збільшили кількість кібероперацій і операцій впливу після атак ХАМАС для протидії Ізраїлю.

Видавання себе за жертву, щоб завоювати довіру

Під час операцій впливу в кіберсередовищі зловмисники все частіше видають себе за організації, на які націлені, або керівників цих організацій, щоб підвищити рівень довіри до наслідків кібератаки або зламу. 6

Швидке запровадження опублікованих результатів підтвердження концепції для отримання первинного доступу й підтримування присутності в системі

Корпорація Майкрософт усе частіше спостерігає, як певні групи, підпорядковані джерелам загроз національного рівня, використовують код опублікованого результату підтвердження концепції незабаром після його розголошення для пошуку вразливостей у програмах із доступом до Інтернету. 7

 

Нижче зображено два ланцюги атак, яким (за спостереженнями корпорації Майкрософт) віддає перевагу певна група, підпорядкована джерелу загроз національного рівня. В обох ланцюгах зловмисники використовують колекцію Impacket, щоб виконувати бокове зміщення.

Ілюстрація ланцюга атак.

Джерела загроз намагаються зв’язуватися з цільовою аудиторією за допомогою розсилки SMS-повідомлень

Корпорація Майкрософт спостерігала, як кілька джерел загроз намагалися використовували розсилку SMS-повідомлень, щоб посилити результат і психологічний ефект своїх кібероперацій впливу. 8

Нижче зображено поруч два SMS-повідомлення від зловмисників, які видають себе за ізраїльську спортивну мережу. Повідомлення ліворуч містить посилання на зламану веб-сторінку Sport5. Повідомлення праворуч містить попередження: "Якщо хочете жити, не приїздіть до наших країн".

Telegram-канал Atlas Group: Знімки екрана з SMS-повідомленням, яке видають за повідомлення від спортивної мережі Ізраїлю.

Операції в соціальних мережах ефективніше залучають користувачів

Відтепер під час прихованих операцій впливу успішно залучають цільову аудиторію в соцмережах, набагато краще, ніж ми спостерігали досі. Це свідчить про підвищення майстерності й розробку нових онлайнових ресурсів для проведення операцій впливу.9

 

Нижче наведено зображення на тему руху Black Lives Matter, яке було вперше передане автоматичним обліковим записом одного із джерел загроз національного рівня. Сім годин потому це зображення було повторно передане через обліковий запис, власник якого видавав себе за консервативного американського виборця.

Твердження, які підтримують рух Black Lives Matter, засуджують дискримінацію та жорстокість поліції, закликають до відновлення гідності й безпеки

Спеціалізація в галузі зловмисних програм із вимогою викупу

У 2023 р. серед зловмисників, які використовують зловмисні програми з вимогою викупу, спостерігалася тенденція до вибору спеціалізації, яка дає змогу зосередитися на вузькому діапазоні можливостей і послуг. Це спричинило розкол, розпорошивши елементи атаки зловмисною програмою з вимогою викупу між різними виконавцями в цій заплутаній підпільній галузі. У відповідь Аналіз загроз Microsoft відстежує всіх виконавців окремо, виявляє, хто займається отриманням первинного доступу, а хто – наданням інших послуг.10

 

У відеофрагменті конференції Ignite директорка відділу стратегії Аналізу загроз Microsoft Шеррод Деґріпо розповідає про актуальний стан галузі надання зловмисних програм із вимогою викупу як послуг. Перегляньте відео нижче.

Постійне використання спеціальних інструментів

Хоча деякі групи навмисно не використовують спеціальні зловмисні програми, щоб діяти непомітно (див. розділ "Уникнення спеціальних інструментів і зловмисних програм" вище), інші хакери переходять від загальнодоступних інструментів і простих сценаріїв до індивідуальних засобів, які вимагають більшої майстерності.11

Інфраструктура як основна ціль

Зловмисники націлені на інфраструктуру (компанії з водопостачання, морські й транспортні підприємства) не заради розвідданих, оскільки тут немає жодних цінних відомостей, а для того, щоб спричинити руйнування. 12

 

Спеціаліст корпорації Майкрософт Джон Ламберт коротко описує парадокс кібершпіонажу: ціль, яка нібито не має ніяких даних. Перегляньте відео нижче.

З 11 розглянутих пунктів за 2023 р можна зробити висновок, що тенденції у світі загроз постійно розвиваються, а майстерність атак і їх частота зростають. Немає сумнівів, що понад 300 джерел загроз, які ми відстежуємо, завжди випробовуватимуть нові методи й поєднуватимуть їх із перевіреними й дієвими прийомами. Ось що нам подобається у відомих джерелах загроз: аналізуючи їхню діяльність і вивчаючи їхній характер, ми прогнозуємо їхні наступні кроки. А за допомогою генеративного ШІ ми тепер можемо робити все це швидше й раніше знешкоджувати зловмисників.

 

Із цим настроєм ми переходимо у 2024 р.

 

Щоб дізнаватися новини за кермом, слухайте подкаст Аналізу загроз Microsoft, який веде Шеррод Деґріпо.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Рік гібридної війни Росії проти України. Сторінка 14

  6. [6]

    Іран удається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей. Сторінка 11.

  7. [7]
  8. [8]

    Іран удається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей. Сторінка 11.

  9. [9]

    Цифрові загрози зі Східної Азії набирають розмаху та стають ефективнішими. Сторінка 6

  10. [10]

    Аналітичні висновки за рік: основні моменти глобальної боротьби корпорації Майкрософт із удосконаленими постійними загрозами

  11. [11]

    Іран удається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей. Сторінка 12.

  12. [12]

    Аналітичні висновки за рік: основні моменти глобальної боротьби корпорації Майкрософт із удосконаленими постійними загрозами

Операції кібервпливу Загрози національного рівня Джерела загроз

Пов’язані статті

Російські джерела загроз готуються скористатися втомою від війни

Російські кібероперації та операції впливу продовжуються, поки триває війна в Україні. Аналіз загроз Microsoft докладно описує найновіші кіберзагрози та операції впливу за останні шість місяців.
Дізнайтеся більше

LOTL-атаки групи Volt Typhoon на критичну інфраструктуру США

Фахівці команди Аналізу загроз Microsoft виявили збільшений рівень операцій впливу в кіберсередовищі з Ірану. Отримуйте аналітику про методи й можливі напрямки нових загроз.
Дізнайтеся більше

Зловмисні програми з вимогою викупу як послуга: новий тип промислових кіберзлочинів

Війна триває вже другий рік, і фахівці з аналізу загроз Microsoft вивчають хакерські атаки й операції з кібервпливу в Україні за рік, визначають нові тенденції та потенційний напрям розвитку загроз.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft