Microsoft deelt bedreigingsinformatie op CYBERWARCON 2023
Op de CYBERWARCON 2023- conferentie presenteren analisten van Microsoft en LinkedIn verschillende sessies waarin de analyse van meerdere groepen bedreigingsactoren en gerelateerde activiteiten gedetailleerd wordt beschreven.
Deze blog is bedoeld om de inhoud van het onderzoek dat in deze presentaties wordt behandeld samen te vatten en demonstreert de voortdurende inspanningen van Microsoft Threat Intelligence om bedreigingsactoren op te sporen, klanten te beschermen en informatie te delen met de bredere beveiligingsgemeenschap.
Reactief en opportunistisch: de rol van Iran in de oorlog tussen Israël en Hamas
Deze presentatie vergelijkt en contrasteert de activiteiten die aan Iraanse groepen worden toegeschreven voor en na het begin van de oorlog tussen Israël en Hamas op 7 oktober 2023. Het belicht een aantal gevallen waarin Iraanse operators gebruik maakten van bestaande toegang, infrastructuur en tools, ogenschijnlijk om nieuwe doelstellingen te bereiken.
Nu het fysieke conflict ongeveer een maand oud is, biedt deze analyse vroege conclusies in een snel evoluerende ruimte, specifiek voor waargenomen Iraanse actoren, zoals degenen die verbonden zijn met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en de Islamitische Revolutionaire Garde (IRGC). Terwijl de presentatie de aanvalstechnieken beschrijft die in specifieke regio's zijn waargenomen, deelt Microsoft deze informatie om bredere organisaties over de hele wereld te informeren en te helpen beschermen die te maken krijgen met aanvalsmethoden die vergelijkbaar zijn met die gebruikt door Iraanse operators, zoals social engineering-methoden om slachtoffers te misleiden en uitbuiting van kwetsbare groepen. apparaten en inloggegevens.
Ten eerste ziet Microsoft geen enkel bewijs dat erop wijst dat Iraanse groepen (IRGC en MOIS) vooraf geplande cyberaanvallen hadden gecoördineerd, in lijn met de plannen van Hamas en het begin van de oorlog tussen Israël en Hamas op 7 oktober. Hoewel de media en andere publieke verhalen erop kunnen wijzen dat Iran een actieve rol heeft gespeeld bij het plannen van de fysieke aanvallen op Israël van 7 oktober, vertellen gegevens van Microsoft een ander deel van het verhaal.
Observaties van Microsoft-telemetrie suggereren dat Iraanse operators, althans op cybergebied, sinds het begin van de oorlog grotendeels reactief zijn geweest en kansen hebben benut om te proberen voordeel te halen uit de gebeurtenissen ter plaatse terwijl deze zich ontvouwen. Het duurde elf dagen vanaf het begin van het grondconflict voordat Microsoft zag dat Iran betrokken raakte bij de oorlog in het cyberdomein. Op 18 oktober 2023 observeerde Microsoft de eerste van twee afzonderlijke destructieve aanvallen op de infrastructuur in Israël. Hoewel door Iran gecontroleerde online-persona's de beweringen over de impact van deze aanvallen overdreven, suggereren de gegevens dat beide aanvallen waarschijnlijk opportunistisch van aard waren. In het bijzonder maakten operators gebruik van bestaande toegang of verkregen toegang tot het eerste beschikbare doelwit. Verder laten de gegevens zien dat, in het geval van een ransomware-aanval, de beweringen van Iraanse actoren over impact en precisietargeting vrijwel zeker verzonnen waren.
Ten tweede observeert Microsoft dat Iraanse operators hun beproefde tactieken blijven toepassen, waarbij ze met name het succes van hun computernetwerkaanvallen overdrijven en deze claims en activiteiten versterken via een goed geïntegreerde inzet van informatieoperaties. Dit creëert in wezen online propaganda die de bekendheid en impact van opportunistische aanvallen wil vergroten, in een poging de effecten ervan te vergroten. Microsoft heeft bijvoorbeeld waargenomen dat Iraanse actoren aangesloten webcams in gevaar brachten en de activiteit als strategischer bestempelden, waarbij ze beweerden dat ze camera's op een specifieke Israëlische militaire installatie hadden aangevallen en met succes hadden gecompromitteerd. In werkelijkheid bevonden de gecompromitteerde camera's zich op verspreide locaties buiten een bepaalde regio. Dit suggereert dat, ondanks de strategische claims van Iraanse actoren, dit cameravoorbeeld uiteindelijk een geval was van tegenstanders die op opportunistische wijze kwetsbare verbonden apparaten bleven ontdekken en compromitteren en probeerden dit routinematige werk te herformuleren als meer impactvol in de context van het huidige conflict.
Ten derde erkent Microsoft dat, nu steeds meer fysieke conflicten over de hele wereld cyberoperaties van verschillende niveaus van verfijning stimuleren, dit een snel evoluerende ruimte is die nauwlettend toezicht vereist om potentiële escalaties en de impact op bredere industrieën, regio's en klanten te beoordelen. Microsoft Threat Intelligence verwacht dat Iraanse operators zullen overgaan van een reactieve houding naar meer proactieve activiteiten naarmate de huidige oorlog zich voortzet en hun tactieken zullen blijven ontwikkelen bij het nastreven van hun doelstellingen.
De digitale realiteit: een golf van kritieke infrastructuur
In deze presentatie leiden Microsoft Threat Intelligence-experts het publiek door de tijdlijn van Microsoft's ontdekking van Volt Typhoon, een bedreigingsacteur die verbonden is met China, en de activiteit van de tegenstandergroep die werd waargenomen tegen kritieke infrastructuur en belangrijke hulpbronnen in de VS en zijn territoria, zoals Guam. . De presentatie belicht enkele van de specifieke technieken, tactieken en procedures (TTP's) die Volt Typhoon gebruikt om zijn operaties uit te voeren. De lezing biedt inzichten over hoe Microsoft de bedreigingsacteur volgde en oordeelde dat de activiteit van Volt Typhoon consistent was met het leggen van de basis voor gebruik in potentiële toekomstige conflictsituaties. Deze inzichten tonen het achtergrondverhaal van het verzamelen en analyseren van bedreigingsinformatie, wat leidde tot de blog van Microsoft uit mei 2023 over Volt Typhoon , waarin het bereik en de mogelijkheden van de actor met de gemeenschap werden gedeeld.
Tijdens CYBERWARCON geeft Microsoft een update over de Volt Typhoon-activiteit, waarbij verschuivingen in TTP's en targeting worden benadrukt sinds Microsoft de blogpost van mei publiceerde. Concreet ziet Microsoft dat Volt Typhoon probeert zijn operationele veiligheid te verbeteren en heimelijk probeert terug te keren naar eerder gecompromitteerde slachtoffers. De dreigingsactor richt zich bijvoorbeeld ook op universitaire omgevingen, naast eerder gerichte industrieën. In deze presentatie vergelijken Microsoft-experts hun Volt Typhoon-analyse met onderzoek van derden en studies naar de Chinese militaire doctrine en het huidige geopolitieke klimaat. Dit voegt extra context toe voor de veiligheidsgemeenschap over mogelijke motivaties achter de huidige en toekomstige operaties van de bedreigingsactoren.
Microsoft beschrijft ook hiaten en beperkingen bij het volgen van de activiteiten van Volt Typhoon en hoe de beveiligingsgemeenschap kan samenwerken om strategieën te ontwikkelen om toekomstige bedreigingen van deze bedreigingsacteur te beperken.
‘Jij stelt mij samen. Je had mij bij RomCom.’ – Toen cybercriminaliteit spionage ontmoette
Jarenlang heeft de veiligheidsgemeenschap gezien hoe verschillende Russische, aan de staat verbonden actoren in verschillende mate en met verschillende doeleinden in aanraking kwamen met ecosystemen van cybercriminaliteit. Op CYBERWARCON 2022 besprak Microsoft de ontwikkeling van een nog nooit eerder vertoonde ‘ransomware’-soort, bekend als Prestige van Seashell Blizzard (IRIDIUM) , een groep die naar verluidt bestond uit Russische militaire inlichtingenofficieren. De cyberaanval, vermomd als een nieuwe soort ‘ransomware’, was bedoeld om verstoring te veroorzaken en tegelijkertijd een dun laagje plausibele ontkenning voor de sponsorende organisatie te bieden.
Dit jaar profileren Microsoft-experts tijdens CYBERWARCON een andere bedreigingsacteur, Storm-0978, die begin 2022 naar voren kwam als een geloofwaardige onderneming die zowel cybercriminaliteitsoperaties als spionage-/enablement-operaties uitvoerde ten behoeve van de Russische militaire en andere geopolitieke belangen, met mogelijke banden met Russische beveiligingsdiensten. De dualiteit van de activiteiten van deze Storm-0978-tegenstander, die zowel misdaad als spionage kruisen, leidt tot vragen die Microsoft bij de conferentiedeelnemers betrekt bij het onderzoeken ervan. Is Storm-0978 een cybercriminaliteitsgroep die zich bezighoudt met spionage, of is het een door de overheid gesponsorde spionagegroep die zich bezighoudt met cybercriminaliteit? Waarom zien we de samenloop van wat historisch gezien afzonderlijke misdaad- en geopolitieke doelstellingen zijn geweest? Is deze dualiteit op de een of andere manier een weerspiegeling van het feit dat Rusland beperkt wordt in zijn vermogen om cyberoperaties in oorlogstijd op te schalen? Activeert Rusland cybercriminele elementen voor operaties om een niveau van plausibele ontkenning te bieden voor toekomstige destructieve aanvallen? De oorlog in Oekraïne heeft geïllustreerd dat Rusland waarschijnlijk andere capaciteiten in de periferie heeft moeten activeren. Storm-0978 is een waarschijnlijk voorbeeld waarbij het duidelijk is dat andere elementen zijn gecoöpteerd om doelstellingen van zowel een oorlogsomgeving als een strategisch landschap te bereiken, hetzij om door effecten geleide operaties of voorpositionering te bereiken.
Het uitgebreide inzicht van Microsoft in de ransomware-economie en andere trends op het gebied van cybercriminaliteit, in combinatie met de ervaring met het volgen van Russische tegenstanders van de natiestaten, maakt het mogelijk dit profiel van de Storm-0978-acteur op CYBERWARCON te presenteren, waarvan Microsoft hoopt dat het verder zal worden verrijkt en geanalyseerd door de bredere veiligheidsgemeenschap. ervaringen, datasets en conclusies.
Een LinkedIn-update over het bestrijden van nepaccounts
Deze presentatie concentreert zich op wat LinkedIn's Threat Prevention and Defense-team heeft geleerd van zijn onderzoeken naar cyberhuurlingen, ook wel offensieve actoren uit de particuliere sector (PSOA's) genoemd, op het platform. De focus van deze presentatie ligt op Black Cube (Microsoft volgt deze acteur als Blue Tsunami), een bekende huurlingenacteur, en wat we hebben geleerd over hoe ze proberen te opereren op LinkedIn. De discussie omvat inzichten over hoe Black Cube eerder honeypot-profielen, nepbanen en nepbedrijven heeft gebruikt om deel te nemen aan verkennings- of human intelligence-operaties (HUMINT) tegen doelen met toegang tot organisaties die van belang en/of zorg zijn voor de klanten van Black Cube.
Verder lezen
Voor het laatste beveiligingsonderzoek van de Microsoft Threat Intelligence-gemeenschap kunt u de Microsoft Threat Intelligence Blog raadplegen: https://aka.ms/threatintelblog .