Jak Microsoft pojmenuje aktéry hrozeb
Společnost Microsoft přešla na novou taxonomii pojmenování pro aktéry hrozeb v souladu s motivem počasí. Novou taxonomií chceme zákazníkům a dalším pracovníkům v oblasti zabezpečení lépe objasnit. Nabízíme organizovanější, srozumitelnější a snadnější způsob, jak odkazovat na aktéry hrozeb, aby organizace mohly lépe určovat priority a chránit se a pomáhat výzkumníkům v oblasti zabezpečení, kteří se už potýkají s ohromným množstvím dat analýzy hrozeb.
Microsoft rozděluje aktéry hrozeb do pěti klíčových skupin:
Aktéři národního státu: kybernetickí operátoři jednající jménem nebo řízeného národním/státem sladěným programem, bez ohledu na to, zda se jedná o špionáž, finanční zisk nebo odplatu. Microsoft zjistil, že většina národních státních činitelů se nadále zaměřuje na operace a útoky na vládní agentury, mezivládní organizace, nevládní organizace a think-tanky zaměřené na tradiční špionáž nebo cíle sledování.
Finančně motivovaní aktéři: kybernetické kampaně/skupiny řízené zločineckou organizací/osobou s motivací k finančnímu zisku a nejsou spojeny s vysokou důvěrou ke známému nenárodnímu státu nebo obchodnímu subjektu. Tato kategorie zahrnuje operátory ransomwaru, ohrožení zabezpečení podnikových e-mailů, phishing a další skupiny s čistě finanční motivací nebo motivací k vydírání.
Útoční aktéři soukromého sektoru( PSOA): kybernetická aktivita vedená komerčními aktéry, kteří jsou známými nebo legitimními právními subjekty, kteří vytvářejí a prodávají kybernetické zbraně zákazníkům, kteří pak vyberou cíle a provozují kybernetické zbraně. Tyto nástroje byly pozorovány cílené na disidenty, obránce lidských práv, novináře, advokáty občanské společnosti a další soukromé občany, což ohrozilo mnoho globálních snah o lidská práva.
Vlivové operace: informační kampaně komunikované online nebo offline manipulativním způsobem, aby se vnímání, chování nebo rozhodnutí cílových skupin přesunulo na podporu zájmů a cílů skupiny nebo státu.
Skupiny ve vývoji: dočasné označení pro neznámou, vznikající nebo vyvíjející se aktivitu hrozby. Toto označení umožňuje Microsoftu sledovat skupinu jako samostatnou sadu informací, dokud nedosáhneme vysoké jistoty o původu nebo identitě aktéra, který je za operací. Po splnění kritérií se skupina ve vývoji převede na pojmenovaného aktéra nebo se sloučí do existujících názvů.
V naší nové taxonomii představuje událost počasí nebo název rodiny jednu z výše uvedených kategorií. Pro aktéry národního státu jsme přiřadili jméno rodiny zemi/oblasti původu svázané s přisouzením, například Typhoon označuje původ nebo přisouzení Číně. Pro ostatní aktéry představuje název rodiny motivaci. Například Tempest označuje finančně motivované aktéry.
Aktéři hrozeb v rámci stejné rodiny počasí mají přiřazené jméno, které odliší skupiny aktérů s odlišnými taktikami, technikami a postupy (TTP), infrastrukturou, cíli nebo jinými identifikovanými vzory. Pro skupiny ve vývoji používáme dočasné označení Storm a čtyřmístné číslo, kde je nově zjištěný, neznámý, vznikající nebo vyvíjející se shluk hrozeb.
Tabulka ukazuje, jak se nové názvy rodin mapuje na aktéry hrozeb, které sledujeme.
| Kategorie objektu Actor | Typ | Příjmení |
|---|---|---|
| Národní stát | Čína Írán Libanon Severní Korea Rusko Jižní Korea Turecko Vietnam |
Tajfun Písečná bouře Déšť Plískanice Vánice Krupobití Prach Cyklón |
| Finančně motivované | Finančně motivované | Bouře |
| Útoční aktéři soukromého sektoru | PSOA | Tsunami |
| Vliv na operace | Vliv na operace | Povodeň |
| Skupiny ve vývoji | Skupiny ve vývoji | Bouře |
V následující referenční tabulce se dozvíte, jak se naše dříve veřejně zveřejněné staré názvy aktérů hrozeb překládají na naši novou taxonomii.
| Název aktéra hrozby | Předchozí jméno | Původ/hrozba | Další názvy |
|---|---|---|---|
| Starožitný tajfun | Storm-0558 | Čína | |
| Aqua Blizzard | AKTINIUM | Rusko | UNC530 , Primitivní medvěd, Gamaredon |
| Modré Tsunami | Urážlivý aktér soukromého sektoru | Černá datová krychle | |
| Mosazný typhoon | BARYUM | Čína | APT41 |
| Kadet Blizzard | DEV-0586 | Rusko | |
| Camouflage Tempest | TAAL | Finančně motivované | FIN6, Kostra pavouka |
| Plátno cyklon | BISMUT | Vietnam | APT32, OceanLotus |
| Karamelové Tsunami | SOURGUM | Urážlivý aktér soukromého sektoru | Candiru |
| Carmine Tsunami | DEV-0196 | Urážlivý aktér soukromého sektoru | QuaDream |
| Uhlový tajfun | CHROM | Čína | ControlX |
| Vichřice | DEV-0401 | Finančně motivované | Císař vážka, bronzové světlo hvězdy |
| Kruhový tajfun | DEV-0322 | Čína | |
| Citrin sleet | DEV-0139, DEV-1222 | Severní Korea | AppleJeus, Chollima Labyrint, UNC4736 |
| Bavlněná písečná bouře | DEV-0198 (NEPTUNIUM) | Írán | Vice Leaker |
| Crimson Sandstorm | CURIUM | Írán | TA456, Tortoise Shell |
| Kuboid Sandstorm | DEV-0228 | Írán | |
| Denim Tsunami | TRUSKAVEC | Urážlivý aktér soukromého sektoru | DSIRF |
| Diamantová sleet | ZINEK | Severní Korea | Labyrint Chollima, Lazar |
| Smaragdový sleet | THALLIUM | Severní Korea | Kimsuky, Samet Chollima |
| Len typhoon | Storm-0919 | Čína | Éterická panda |
| Lesní vánice | STRONCIUM | Rusko | APT28, Fancy Bear |
| Stínová vánice | BROM | Rusko | Energetický medvěd, Krčící se Yeti |
| Gingham Tajfun | GADOLINIUM | Čína | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Žula tajfun | GALLIUM | Čína | |
| Šedá písečná bouře | DEV-0343 | Írán | |
| Hazel Sandstorm | EUROPIUM | Írán | Kobalt Cikán, APT34, OilRig |
| Jade Sleet | Storm-0954 | Severní Korea | TraderTraitor, UNC4899 |
| Krajková tempest | DEV-0950 | Finančně motivované | FIN11, TA505 |
| Citronová písčitá bouře | RUBIDIUM | Írán | Fox Kotě, UNC757, PioneerKitten |
| Leopardí tajfun | OLOVO | Čína | KAOS, Mana, Winnti, Red Diablo |
| Šeřík Tajfun | DEV-0234 | Čína | |
| Luna Tempest | Storm-0744 | Finančně motivované | |
| Tempest pro chloubce | DEV-0243 | Finančně motivované | EvilCorp, UNC2165, Indrik Spider |
| Mango Sandstorm | RTUŤ | Írán | MuddyWater, SeedWorm, Statické kotě, TEMP. Zagros |
| Mramorovaný prach | KŘEMÍK | Turecko | Mořská želva |
| Marigold Sandstorm | DEV-0500 | Írán | Mojžíšův hůl |
| Půlnoční blizzard | NOBELIUM | Rusko | APT29, Útulný medvěd |
| Mátová písčitá bouře | FOSFOR | Írán | APT35, Okouzlující kotě |
| Měsíční kámen sleet | Storm-1789 | Severní Korea | |
| Moruše typhoon | MANGAN | Čína | APT5, Klávesová zkratka Panda, TABCTENG |
| Hořčice Tempest | DEV-0206 | Finančně motivované | Fialový Vallhund |
| Noční tsunami | DEV-0336 | Urážlivý aktér soukromého sektoru | Skupina NSO |
| Nylon Tajfun | NIKL | Čína | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Finančně motivované | 0ktapus, Rozptýlený pavouk, UNC3944 |
| Onyx Sleet | PLUTONIUM | Severní Korea | APT45, Silent Chollima, Andariel, DarkSeoul |
| Opálová sleet | OSMIUM | Severní Korea | Konni |
| Broskev písečná bouře | HOLMIUM | Írán | APT33, Kultivované kotě |
| Perlová sleet | DEV-0215 (LAWRENCIUM) | Severní Korea | |
| Bouře v brčálu | DEV-0193 | Finančně motivované | Kouzelník, UNC2053 |
| Phlox Tempest | DEV-0796 | Finančně motivované | ClickPirate, Chrome Loader, Choziosi loader |
| Růžová písčitá bouře | AMERICIUM | Írán | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistácie Tempest | DEV-0237 | Finančně motivované | FIN12 |
| Plaid Déšť | POLONIUM | Libanon | |
| Dýňová písečná bouře | DEV-0146 | Írán | ZeroCleare |
| Fialový tajfun | DRASLÍK | Čína | APT10, Cloudhopper, MenuPass |
| Malinový typhoon | RADIUM | Čína | APT30, LotusBlossom |
| Ruby Sleet | CER | Severní Korea | |
| Povodeň v Ruze | Storm-1099 | Rusko, vlivové operace | |
| Tajfun lososa | SODÍK | Čína | APT4, Maverick Panda |
| Solný tajfun | Čína | GhostEmperor, SlavnýSparrow | |
| Sangria Tempest | ELBRUS | Finančně motivované | Uhlíkový pavouk, FIN7 |
| Safírový sleet | KOPERNÍK | Severní Korea | Genie Spider, BlueNoroff |
| Blizzard mušle | IRIDIUM | Rusko | APT44, Sandworm |
| Tajná vánice | KRYPTON | Rusko | Jedovatý medvěd, Turla, Had |
| Sefid Flood | Storm-1364 | Írán, vlivové operace | |
| Hedvábí tajfun | HAFNIUM | Čína | |
| Kouřová písečná bouře | BOHRIUM | Írán | UNC1549 |
| Spandex Tempest | CHIMBORAZO | Finančně motivované | TA505 |
| Hvězdná vánice | SEABORGIUM | Rusko | Callisto, Opakované použití týmu |
| Storm-0062 | Čína | DarkShadow, Oro0lxy | |
| Storm-0133 | Írán | LYCEUM, HEXANE | |
| Storm-0216 | Finančně motivované | Kroucený pavouk, UNC2198 | |
| Storm-0257 | Skupina ve vývoji | UNC1151 | |
| Storm-0324 | Finančně motivované | TA543, Sagrid | |
| Storm-0381 | Finančně motivované | ||
| Storm-0501 | Skupina ve vývoji | ||
| Storm-0506 | Skupina ve vývoji | ||
| Storm-0530 | Severní Korea | H0lyGh0st | |
| Storm-0539 | Finančně motivované | Lev atlas | |
| Storm-0569 | Finančně motivované | ||
| Storm-0587 | Rusko | SaintBot, Medvěd, TA471 | |
| Storm-0744 | Finančně motivované | ||
| Storm-0784 | Írán | ||
| Storm-0829 | Skupina ve vývoji | Tým Nwgen | |
| Storm-0835 | Skupina ve vývoji | EvilProxy | |
| Storm-0842 | Írán | ||
| Storm-0844 | Skupina ve vývoji | ||
| Storm-0861 | Írán | ||
| Storm-0867 | Egypt | Kofein | |
| Storm-0971 | Finančně motivované | (Sloučeno do Octo Tempest) | |
| Storm-0978 | Skupina ve vývoji | RomCom, Underground Team | |
| Storm-1044 | Finančně motivované | Danabot | |
| Storm-1084 | Írán | DarkBit | |
| Storm-1101 | Skupina ve vývoji | NakedPages | |
| Storm-1113 | Finančně motivované | ||
| Storm-1133 | Palestinian Authority | ||
| Storm-1152 | Finančně motivované | ||
| Storm-1167 | Indonésie | ||
| Storm-1175 | Finančně motivované | ||
| Storm-1283 | Skupina ve vývoji | ||
| Storm-1286 | Skupina ve vývoji | ||
| Storm-1295 | Skupina ve vývoji | Velikost | |
| Storm-1516 | Rusko, vlivové operace | ||
| Storm-1567 | Finančně motivované | Akira | |
| Storm-1575 | Skupina ve vývoji | Tatínek | |
| Storm-1660 | Írán, vlivové operace | ||
| Storm-1674 | Finančně motivované | ||
| Storm-1679 | Rusko, vlivové operace | ||
| Storm-1804 | Írán, vlivové operace | ||
| Storm-1805 | Írán, vlivové operace | ||
| Storm-1811 | Finančně motivované | ||
| Storm-1841 | Rusko, vlivové operace | ||
| Storm-1849 | Čína | UAT4356 | |
| Storm-1852 | Skupina ve vývoji | ||
| Storm-2035 | Írán, vlivové operace | ||
| Jahodová bouře | Finančně motivované | LAPSUS$ | |
| Sunglow Blizzard | Rusko | ||
| Povodeň Taizi | Storm-1376 | Čína, vlivové operace | Spamouflage, Dragonbridge |
| Rajčatová bouře | SPURR | Finančně motivované | Vatet |
| Vanilková tempest | DEV-0832 | Finančně motivované | |
| Sametová bouře | DEV-0504 | Finančně motivované | |
| Fialový tajfun | ZIRKONIUM | Čína | APT31 |
| Volt Tajfun | Čína | BRONZOVÁ SILUETA, VANGUARD PANDA | |
| Vinná bouře | PARINACOTA | Finančně motivované | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Urážlivý aktér soukromého sektoru | CyberRoot |
| Klikatý zákusek | DUBNIUM | Jižní Korea | Dark Hotel, Tapaoux |
Další informace najdete v našem oznámení o nové taxonomii: https://aka.ms/threatactorsblog
Vkládání informací do rukou odborníků na zabezpečení
Profily Společnosti Intel v Analýza hrozeb v programu Microsoft Defender přinášejí zásadní poznatky o aktérech hrozeb. Tyto přehledy umožňují bezpečnostním týmům získat kontext, který potřebují při přípravě na hrozby a reagovat na ně.
Rozhraní ANALÝZA HROZEB V PROGRAMU MICROSOFT DEFENDER Intel Profiles API navíc poskytuje nejaktuálnější přehled o infrastruktuře aktérů hrozeb v dnešním odvětví. Aktualizované informace jsou zásadní pro to, aby týmy pro analýzu hrozeb a operace zabezpečení (SecOps) zjednodušily své pokročilé pracovní postupy proaktivního proaktivního proaktivního vyhledávání a analýzy hrozeb. Další informace o tomto rozhraní API najdete v dokumentaci: Použití rozhraní API analýzy hrozeb v Microsoft Graphu (Preview).
Zdroje
Pomocí následujícího dotazu na Microsoft Defender XDR a další bezpečnostní produkty Microsoftu podporující dotazovací jazyk Kusto (KQL) získejte informace o aktérovi hrozby pomocí starého jména, nového názvu nebo názvu odvětví:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
K dispozici jsou také následující soubory, které obsahují komplexní mapování starých jmen aktérů hrozeb na jejich nové názvy: