Miten Microsoft nimeää uhkatoimijat
Microsoft siirtyi uuteen nimeämisluokitukseen uhkatoimijoille, jotka ovat linjassa sään teeman kanssa. Tarkoituksenamme on selkeyttää asiakkaita ja muita tietoturvatutkijoita uudella luokittelulla. Tarjoamme organisoidumman, artikuloidumman ja helpon tavan viitata uhkatoimijoihin, jotta organisaatiot voivat paremmin priorisoida ja suojella itseään ja auttaa tietoturvatutkijoita, jotka ovat jo kohdanneet valtavan määrän uhkien tiedustelutietoja.
Microsoft luokittelee uhkatoimijat viiteen avainryhmään:
Kansallisvaltioiden toimijat: kyberoperaattorit, jotka toimivat kansakunnan / valtion linjaaman ohjelman puolesta tai jota ohjaavat, riippumatta vakoilusta, taloudellisesta hyödystä tai kostosta. Microsoft havaitsi, että useimmat kansallisvaltioiden toimijat keskittää edelleen operaatioita ja hyökkäyksiä valtion virastoihin, hallitustenvälisiin organisaatioihin, kansalaisjärjestöihin ja ajatushautomoihin perinteisiä vakoilu- tai valvontatavoitteita varten.
Taloudellisesti motivoidut toimijat: kyberkampanjat/ryhmät, joita johtaa rikollisjärjestö/henkilö, jolla on taloudellisen hyödyn motivaatio ja jotka eivät liity korkeaan luottamukseen tunnettuun valtioon tai kaupalliseen kokonaisuudeen. Tämä luokka sisältää kiristysohjelmaoperaattorit, yrityssähköpostin kompromissit, tietojenkalastelun ja muut ryhmät, joilla on puhtaasti taloudellisia tai kiristysmotivaatioita.
Yksityisen sektorin loukkaavat toimijat: tunnettujen/laillisien oikeushenkilöiden johtama kybertoiminta, joka luo ja myy kyberaseita asiakkaille, jotka sitten valitsevat kohteet ja käyttävät kyberaseita. Näiden välineiden havaittiin kohdistavan toisinajattelijoita, ihmisoikeuksien puolustajia, toimittajia, kansalaisyhteiskunnan puolestapuhujia ja muita yksityisiä kansalaisia ja uhkaavan monia maailmanlaajuisia ihmisoikeustoimia.
Vaikutustoiminnot: verkossa tai offline-tilassa välitettyjä tiedotuskampanjoita manipuloivalla tavalla, jotta kohdeyleisö voi siirtää käsityksiä, käyttäytymismalleja tai päätöksiä ryhmän tai kansakunnan etujen ja tavoitteiden mukaisesti.
Kehitysryhmät: väliaikainen nimitys, joka annetaan tuntemattomalle, nousevalle tai kehittyvälle uhkatoiminnalle. Tämän määritteen avulla Microsoft voi seurata ryhmää erillisenä tietojoukkona, kunnes voimme luottaa toiminnon taustalla olevan toimijan alkuperään tai käyttäjätietoihin. Kun ehdot täyttyvät, kehitteillä oleva ryhmä muunnetaan nimetyksi toimijaksi tai yhdistetään olemassa oleviin nimiin.
Uudessa luokituksessamme säätapahtuma tai perheen nimi edustaa yhtä edellä mainituista luokista. Kansallisvaltioiden toimijoille olemme määrittäneet perheen nimen maalle tai alkuperäalueelle, joka on sidottu mainintaan, kuten Typhoon ilmaisee alkuperän tai myöntämisen Kiinalle. Muille toimijoille perheen nimi edustaa motivaatiota. Tempest kertoo esimerkiksi taloudellisesti motivoituneista toimijoista.
Saman sääperheen uhkien toimijoille annetaan adjektiivi, jolla erotetaan toimijaryhmät eri taktiikoilla, tekniikoilla ja menettelyillä, infrastruktuurilla, tavoitteilla tai muilla tunnistetuilla malleilla. Kehitteillä ryhmissä käytämme väliaikaista Storm-nimitystä ja nelinumeroista numeroa, jossa on äskettäin löydetty, tuntematon, nouseva tai kehittyvä uhkatoiminnan klusteri.
Taulukossa näkyy, miten uudet perhenimet kartoittavat seuraamamme uhkatoimijat.
| Toimijan luokka | Kirjoita | Sukunimi |
|---|---|---|
| Kansallisvaltio | Kiina Iran Libanon Pohjois-Korea Venäjä Etelä-Korea Turkki Vietnam |
Typhoon Sandstorm Sade Räntä Blizzard Hail Pöly Cyclone |
| Taloudellisesti motivoitunut | Taloudellisesti motivoitunut | Tempest |
| Yksityisen sektorin loukkaavat toimijat | PSOA:t | Tsunami |
| Vaikutustoiminnot | Vaikutustoiminnot | Tulva |
| Kehitysryhmät | Kehitysryhmät | Myrsky |
Seuraavan viitetaulukon avulla voit ymmärtää, miten aiemmin julkistamamme vanhat uhkanäyttelijän nimet johtavat uuteen taksonomiaamme.
| Uhkanäyttelijän nimi | Edellinen nimi | Alkuperä/uhka | Muut nimet |
|---|---|---|---|
| Aqua Blizzard | ACTINIUM | Venäjä | UNC530, Primitiivikarhu, Gamaredon |
| Sininen tsunami | Yksityisen sektorin loukkaava toimija | Musta kuutio | |
| Brass Typhoon | BARIUM | Kiina | APT41 |
| Kadetin lumimyrsky | DEV-0586 | Venäjä | |
| Naamioi Tempest | TAAL | Taloudellisesti motivoitunut | FIN6, Luuranko Hämähäkki |
| Pohjan sykloni | VISMUTTI | Vietnam | APT32, OceanLotus |
| Karamellitsunaami | SOURGUM | Yksityisen sektorin loukkaava toimija | Candiru |
| Carmine Tsunami | DEV-0196 | Yksityisen sektorin loukkaava toimija | QuaDream |
| Hiilitaifuuni | KROMI | Kiina | ControlX |
| Kaneli tempest | DEV-0401 | Taloudellisesti motivoitunut | Keisarilohikäärme, pronssinen tähtivalo |
| Ympyrä taifuuni | DEV-0322 | Kiina | |
| Citrine Sleet | DEV-0139, DEV-1222 | Pohjois-Korea | AppleJeus, Labyrinth Chollima, UNC4736 |
| Puuvillahiekkamyrsky | DEV-0198 (NEPTUNIUM) | Iran | Varavuoto |
| Karmimaton hiekkamyrsky | CURIUM | Iran | TA456, Kilpikonnan kuori |
| Cuboid-hiekkamyrsky | DEV-0228 | Iran | |
| Denim Tsunami | OKSANVIISA | Yksityisen sektorin loukkaava toimija | DSIRF |
| Vinoneliö | SINKKI | Pohjois-Korea | Labyrintti Chollima, Lasarus |
| Emerald Sleet | TALLIUM | Pohjois-Korea | Kimsuky, Samettinen chollima |
| Pellavataifuuni | Myrsky-0919 | Kiina | Eetteri Panda |
| Metsän lumimyrsky | STRONTIUM | Venäjä | APT28, Fancy Bear |
| Aaveen lumimyrsky | BROMIA | Venäjä | Energinen karhu, kyyristelevä yeti |
| Gingham Typhoon | GADOLINIUM | Kiina | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Graniittitaifuuni | GALLIUM | Kiina | |
| Harmaa hiekkamyrsky | DEV-0343 | Iran | |
| Hazel-hiekkamyrsky | EUROPIUM | Iran | Koboltti mustalainen, APT34, OilRig |
| Jade Sleet | Myrsky-0954 | Pohjois-Korea | TraderTraitor, UNC4899 |
| Pitsi tempest | DEV-0950 | Taloudellisesti motivoitunut | FIN11, TA505 |
| Sitruunahiekkamyrsky | RUBIDIUM | Iran | Fox Kitten, UNC757, PioneerKitten |
| Lila Typhoon | DEV-0234 | Kiina | |
| Manatee Tempest | DEV-0243 | Taloudellisesti motivoitunut | EvilCorp, UNC2165, Indrik Spider |
| Mango-hiekkamyrsky | MERCURY | Iran | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Marmoripöly | SILICON | Türkiye | Merikilpikonna |
| Marigold-hiekkamyrsky | DEV-0500 | Iran | Mooseksen henkilökunta |
| Keskiyön lumimyrsky | NOBELIUM | Venäjä | APT29, Viihtyisä karhu |
| Minttuhiekkamyrsky | FOSFORIA | Iran | APT35, Viehättävä kissanpentu |
| Mulberry Typhoon | MANGAANI | Kiina | APT5, Avaimenreikäpanda, TABCTENG |
| Sinapin myrsky | DEV-0206 | Taloudellisesti motivoitunut | Purppura vallhund |
| Yötsunaami | DEV-0336 | Yksityisen sektorin loukkaava toimija | NSO-ryhmä |
| Nailon Taifuuni | NIKKELI | Kiina | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Myrsky-0875 | Taloudellisesti motivoitunut | 0ktapus, Pistehämähäkki, UNC3944 |
| Onyx Sleet | PLUTONIUMIA | Pohjois-Korea | Hiljainen chollima, Andariel, DarkSeoul |
| Opal Sleet | OSMIUM | Pohjois-Korea | Konni |
| Persikkahiekkamyrsky | HOLMIUM | Iran | APT33, Hienostunut kissanpentu |
| Helmi-räleet | DEV-0215 (LAWRENCIUM) | Pohjois-Korea | |
| Periwinkle Tempest | DEV-0193 | Taloudellisesti motivoitunut | Ohjattu hämähäkin UNC2053 |
| Tempest(Phlox Tempest) | DEV-0796 | Taloudellisesti motivoitunut | ClickPirate, Chrome Loader, Choziosi loader |
| Vaaleanpunainen hiekkamyrsky | AMERICIUM | Iran | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistachio Tempest | DEV-0237 | Taloudellisesti motivoitunut | FIN12 |
| Ruudullinen sade | POLONIUM | Libanon | |
| Kurpitsahiekkamyrsky | DEV-0146 | Iran | ZeroCleare |
| Raspberry Typhoon | RADIUM | Kiina | APT30, LotusBlossom |
| Ruby Sleet | CERIUM | Pohjois-Korea | |
| Lohitaifuuni | NATRIUMIA | Kiina | APT4, Maverick Panda |
| Sangria Tempest | ELBRUS | Taloudellisesti motivoitunut | Hiilihämähäkki, FIN7 |
| Sapphire Sleet | COPERNICIUM | Pohjois-Korea | Genie Spider, BlueNoroff |
| Seashell Blizzard | IRIDIUM | Venäjä | APT44, Hiekkamato |
| Salainen lumimyrsky | KRYPTON | Venäjä | Myrkyllinen karhu, Turla, Käärme |
| Silkkitaifuuni | HAFNIUM | Kiina | |
| Savuhiekkamyrsky | BOHRIUM | Iran | |
| Spandex Tempest | CHIMBORAZO | Taloudellisesti motivoitunut | TA505 |
| Tähtimyrsky | SEABORGIUM | Venäjä | Callisto, käytä tiimiä uudelleen |
| Myrsky-0062 | Kiina | Tumma varjo, oro0lxy | |
| Myrsky-0133 | Iran | LYCEUM, HEXANE | |
| Myrsky-0216 | Taloudellisesti motivoitunut | Kierretty Hämähäkki, UNC2198 | |
| Myrsky-0257 | Ryhmittely kehitteillä | UNC1151 | |
| Myrsky-0324 | Taloudellisesti motivoitunut | TA543, Sagrid | |
| Myrsky-0381 | Taloudellisesti motivoitunut | ||
| Myrsky-0530 | Pohjois-Korea | H0lyGh0st | |
| Myrsky-0539 | Taloudellisesti motivoitunut | ||
| Myrsky-0558 | Kiina | ||
| Myrsky-0569 | Taloudellisesti motivoitunut | ||
| Myrsky-0587 | Venäjä | SaintBot, Saint Bear, TA471 | |
| Myrsky-0744 | Taloudellisesti motivoitunut | ||
| Myrsky-0784 | Iran | ||
| Myrsky-0829 | Ryhmittely kehitteillä | Nwgen-tiimi | |
| Myrsky-0835 | Ryhmittely kehitteillä | EvilProxy | |
| Myrsky-0842 | Iran | ||
| Myrsky-0861 | Iran | ||
| Myrsky-0867 | Egypti | Kofeiini | |
| Myrsky-0971 | Taloudellisesti motivoitunut | (Yhdistetty Octo Tempestiin) | |
| Myrsky-0978 | Ryhmittely kehitteillä | RomCom, maanalainen tiimi | |
| Myrsky-1044 | Taloudellisesti motivoitunut | Danabot | |
| Myrsky-1084 | Iran | Tumma bitti | |
| Myrsky-1099 | Venäjä | ||
| Myrsky-1101 | Ryhmittely kehitteillä | NakedPages | |
| Myrsky-1113 | Taloudellisesti motivoitunut | ||
| Myrsky-1133 | Palestiinan hallintoalue | ||
| Myrsky-1152 | Taloudellisesti motivoitunut | ||
| Myrsky-1167 | Indonesia | ||
| Myrsky-1283 | Ryhmittely kehitteillä | ||
| Myrsky-1286 | Ryhmittely kehitteillä | ||
| Myrsky-1295 | Ryhmittely kehitteillä | Suuruutta | |
| Myrsky-1364 | Iran | ||
| Myrsky-1567 | Taloudellisesti motivoitunut | Akira | |
| Myrsky-1575 | Ryhmittely kehitteillä | Dadsec | |
| Myrsky-1674 | Taloudellisesti motivoitunut | ||
| Mansikka tempest | Taloudellisesti motivoitunut | LAPSUS$ | |
| Sunglow Blizzard | Venäjä | ||
| Tomaattien myrsky | SPURR | Taloudellisesti motivoitunut | Vatet |
| Vanilja tempest | DEV-0832 | Taloudellisesti motivoitunut | |
| Samettinen myrsky | DEV-0504 | Taloudellisesti motivoitunut | |
| Violetti taifuuni | ZIRKONIUM | Kiina | APT31 |
| Volt Typhoon | Kiina | PRONSSI SILUETTI, VANGUARD PANDA | |
| Viinin tempest | PARINACOTA | Taloudellisesti motivoitunut | Wadhrama |
| Wisteria-tsunami | DEV-0605 | Yksityisen sektorin loukkaava toimija | CyberRoot |
| Siksak-rakeet | DUBNIUM | Etelä-Korea | Dark Hotel - arvostelut (Tapaoux) |
Lisätietoja on ilmoituksessamme uudesta luokittelusta: https://aka.ms/threatactorsblog
Tiedustelutietojen ottaminen suojausammattilaisten käsiin
Microsoft Defender Threat Intelligence Intel-profiilit tuovat ratkaisevia merkityksellisiä tietoja uhkatoimijoista. Näiden merkityksellisten tietojen avulla suojaustiimit voivat saada tarvitsemansa kontekstin, kun ne valmistautuvat uhkiin ja vastaavat niihin.
Lisäksi Microsoft Defender Threat Intelligence Intel Profiles -ohjelmointirajapinta tarjoaa alan ajantasaisimman uhkatoimijainfrastruktuurin näkyvyyden tällä hetkellä. Päivitetyt tiedot ovat ratkaisevan tärkeitä uhkien tiedustelu- ja tietoturvatoimintojen (SecOps) tiimien mahdollistamiseksi, jotta ne voivat virtaviivaistaa edistynyttä uhkien metsästys- ja analysointityönkulkujaan. Lue lisätietoja tästä ohjelmointirajapinnasta dokumentaatiosta: Uhkien hallinnan ohjelmointirajapinnat Microsoft Graphissa (esikatselu).
Resurssit
Käytä seuraavaa kyselyä, joka koskee Microsoft Defender XDR ja muita Microsoftin suojaustuotteita, jotka tukevat Kusto-kyselykieltä (KQL), saadaksesi tietoja uhkatoimijasta, joka käyttää vanhaa nimeä, uutta nimeä tai alan nimeä:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Seuraavat tiedostot, jotka sisältävät vanhojen uhkatoimihenkilöiden nimien kattavan yhdistämisen uusilla nimillään, ovat myös käytettävissä:
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle