Az elmúlt évben 120 országot értek kibertámadások, a kormányok által támogatott kémkedési– és befolyásolási műveletek (IO) mind nagyobb teret hódítanak. E támadások közel fele NATO-tagállamok ellen irányult, míg 40%-uk célpontjai a kritikus infrastruktúra kiépítésében és fenntartásában résztvevő kormányzati vagy magánszektorbeli szervezetek voltak. Például:
- Az orosz hírszerző ügynökségek kibertámadásaikat az Ukrajna elleni háborút támogató kémtevékenységre összpontosították és folytatják pusztító akcióikat.
- Az iráni erőfeszítések korábban a célpontok hálózatainak felszámolására összpontosítottak, napjainkban azonban már arra is hajlamosak, hogy manipulatív üzeneteket erősítsenek fel geopolitikai célok érdekében, vagy titkos hálózatokon keresztül áramló adatokat füleljenek le;
- Kína kiterjesztette a kémkedési tevékenységét azzal a céllal, hogy hírszerzési információkhoz jusson az övezet, egy út kezdeményezés előmozdítására, valamint regionális politikájának támogatására. Kémtevékenység célpontja az USA is, beleértve az amerikai hadsereg kulcsfontosságú létesítményeit, valamint a kritikus infrastruktúra-egységek hálózataihoz való hozzáférést;
- Az észak-koreai szereplők titokban próbáltak titkokat lopni; célba vettek egy tengeralattjáró-technológiával foglalkozó vállalatot, miközben több kibertámadással többszázmilliónyi kriptovalutáttulajdonítottak el.
Többek között ez derül ki a negyedik alkalommal kiadott Microsoft Digital Defense Reportból, amely azt mutatja be, hogy 2022 júliusa és 2023 júniusa között milyen trendeket követtek a nemzetállamok a kiberbűnözésés a védelmi technikák terén.
Egyre több ország és ágazat áll támadás alatt
Bár továbbra is az Egyesült Államokat, Ukrajnát és Izraelt éri a legtöbb támadás, az elmúlt évben az incidensek száma világszerte nőtt. Ez különösen igaz a globális délen, Latin-Amerikában és a szubszaharai Afrikában és a Közel-Keleten, ahol Irán növelte műveletei számát. A kémkedés térnyerésével összhangban az elsődleges célpontok a politikai döntéshozatalban és végrehajtásban részt vevő szervezetek.
Oroszország és Kína célkeresztjében a diaszpóra-közösségek
Oroszország és Kína is növeli a különböző diaszpóra-közösségek elleni befolyásolási műveleteinek hatókörét. Oroszország célja, hogy megfélemlítse a globális ukrán közösségeket, és bizalmatlanságot keltsen a háborúsmenekültek és a befogadó közösségek között számos országban, különösen Lengyelországban és a balti államokban. Mindeközben Kína összehangolt fiókok hatalmas hálózatát használja több tucat platformon, hogy titkos propagandát terjesszen. Ezek közvetlenül a globális kínai nyelvű és más közösségeket célozzák meg, becsmérelve az amerikai intézményeket, és több száz többnyelvű életmód-befolyásoló tartalom segítségével pozitív képet alkotva Kínáról.
A befolyásolási műveletek és a kibertámadások konvergenciája
A nemzetállamok egyre gyakrabban alkalmaznak befolyásszerző műveleteket a kiberműveletek mellett a közkedvelt propagandanarratívák terjesztésére. Ezek célja a nemzeti és globális közvélemény manipulálása, hogy az ellenfélnek tekintett nemzetekben aláássák a demokratikus intézményekbe vetett bizalmat – ami a fegyveres konfliktusok, és a nemzeti választások kontextusában a legveszélyesebb. Erre példa, hogy az ukrajnaiinvázió megindítását követően Oroszország következetesen katonai és kibertámadásokhoz időzítette IO-műveleteit. Hasonlóképpen, 2022 júliusában és szeptemberében Irán részéről az albán kormány elleni pusztítókibertámadásokat összehangolt befolyásolási kampány követte, amely jelenleg is tart.
Nemzetállami tendenciák
Ahogy a fenyegető tevékenységek összességében növekedést mutatnak, ugyanez a tendencia a legaktívabb nemzetállami szereplők esetében is megfigyelhető.
Oroszország Ukrajna NATO-szövetségeseit veszi célba
Az orosz állami szereplők kiterjesztették Ukrajnával kapcsolatos tevékenységüket Kijev szövetségesei, elsősorban a NATO-tagországok ellen. 2023 áprilisában és májusában a Microsoft észlelte a nyugati szervezetek elleni aktivitás megugrását, amelynek 46%-a a NATO-tagállamokban, különösen az Egyesült Államokban, az Egyesült Királyságban és Lengyelországban volt tapasztalható. Több orosz állami szereplő nyugati diplomatáknak és ukrán tisztviselőknek adta ki magát, így próbálva hozzáférni a fiókokhoz. A cél az volt, hogy betekintést nyerjenek az Ukrajnával kapcsolatos nyugati külpolitikába, a védelmi tervekbe és szándékokba, valamint a háborús bűnökkel kapcsolatos vizsgálatokba.
Kína az amerikai védelmi ágazatot, a dél-kínai-tengeri országokat és az Egy övezet, egy út kezdeményezés partnereit veszi célba
Kína kiterjesztett és kifinomult tevékenységei tükrözik a globális befolyás és a hírszerzés kettős célját. Célpontjai leggyakrabban az Egyesült Államok védelmi és kritikus infrastruktúrái, illetve a Dél-kínai-tenger partján fekvő államok (különösen Tajvan), sőt Kína saját stratégiai partnerei. A Microsoft a jelentése szerint kínai szereplők az amerikai infrastruktúra elleni többszörös, kifinomult támadásokon túlmenően olyan Egy övezet, egy út partnereket is támadtak, mint Malajzia, Indonézia és Kazahsztán.
Irán újabb támadásokat indít Afrikában, Latin-Amerikában és Ázsiában
Az elmúlt évben egyes iráni állami szereplők egyre összetettebb támadásokat indítottak. Irán nemcsak olyan nyugati országokat vett célba, amelyekről úgy véli, nyugtalanságot szítanak az országon belül, hanem földrajzi hatókörét is kiterjesztette több ázsiai, afrikai és latin-amerikai országra. IO-fronton Irán olyan narratívákat erőltetett, amelyek célja a palesztin ellenállás erősítése, pánik keltése az izraeli állampolgárok körében, síita zavargások szítása az Öböl–menti arab országokban, valamint az arab-izraeli kapcsolatok normalizálásának ellensúlyozása. Irán arra is erőfeszítéseket tett, hogy fokozza tevékenységének összehangolását Oroszországgal.
Észak-Korea orosz szervezeteket is célba vesz
Észak-Korea az elmúlt évben egyre kifinomultabbá tette kiberműveleteit, különösen a kriptopénz-lopások és az ellátási láncot érintő támadások terén. Emellett Észak-Korea spear-phishing, vagyis személyre szabott adathalász e-maileket és LinkedIn-profilokat használ a Koreai-félsziget szakértői ellen szerte a világon, hogy hírszerzési információkat gyűjtsön. Putyin és Kim Dzsongun közelmúltbeli találkozója ellenére Észak-Korea célpontja Oroszország, különösen az atomenergia, a védelem és a kormánypolitika terén folytatott hírszerzés tekintetében.
Az AI új fenyegetéseket – és új védelmi lehetőségeket – teremt
A támadók már most is fegyverként használják a mesterséges intelligenciát az adathalász üzenetek finomítására és a befolyásolási műveletek javítására szintetikus képekkel. Az AI azonban a sikeres védekezés szempontjábólis kulcsfontosságú lesz, mivel automatizálja és kiegészíti a kiberbiztonság olyan aspektusait, mint a fenyegetések észlelése, a válaszadás, az elemzés és az előrejelzés. A mesterséges intelligencia lehetővé teheti a nagy nyelvi modellek (LLM) használatát is, amelyek természetes nyelvi meglátásokat és ajánlásokat generálnakaz összetett adatokból, segítve az elemzők munkájának hatékonyságát és reagálási készségeit.
Már most is látható, hogy a mesterséges intelligenciával támogatott kibervédelem megfordítja a kibertámadásokáradatát; Ukrajnában például az AI segített az oroszok elleni védekezésben.
Mivel a mesterséges intelligencia a társadalom számos aspektusát átalakítja, a felhasználók bizalmának és magánéletének védelme, valamint a hosszútávú előnyök megteremtése szempontjából is kulcsfontosságú, felelősségteljes AI-gyakorlatokat kell folytatnunk. A generatív mesterséges intelligenciamodellek megkövetelik, hogy fejlesszük a kiberbiztonsági gyakorlatokat és a fenyegetésmodelleket az olyan új kihívások kezelése érdekében, mint például a valósághű tartalom – szöveg, a képek, a videó és a hang – létrehozása, amelyeket a fenyegető szereplők félretájékoztatás terjesztésére vagy rosszindulatú kódok létrehozására használhatnak. Annak érdekében, hogy az újonnan megjelenő fenyegetések előtt járjunk, továbbra is elkötelezettek vagyunkabban, hogy minden AI-termékünket és –szolgáltatásunkat úgy fejlesszük és használjuk, hogy azokmegfeleljenek AI-elveinknek.
A kiberbűnözés állása
A kiberbűnözők és a védők közötti macska-egér játék folyamatosan fejlődik. Miközben a fenyegető csoportok az elmúlt évben jelentősen felgyorsították támadásaik ütemét, a Microsoft-termékek beépített védelme több tízmilliárd rosszindulatú fenyegetést blokkolt, 237 milliárd brutális jelszótámadási kísérletet hiúsított meg, és 619 000 elosztott szolgáltatásmegtagadási (DDoS) támadást enyhített, amelyek célja egy szerver, szolgáltatás vagy hálózat működésképtelenné tétele az internetes forgalom túlterhelésével.
A bűnözők is igyekeznek növelni anonimitásukat és hatékonyságukat a nyomok alaposabb eltüntetésére szolgáló távoli titkosítás, valamint a felhőalapú eszközök, például a virtuális gépek használatával. Az erősebb magán- és állami partnerségek eredményeként azonban mindinkább a bűnüldöző szervek célkeresztjében találják magukat. Erre példa, hogy a “Target” néven ismert zsarolóvírus üzemeltetőjét leleplezték, letartóztatták és vádat emeltek ellene. A bűnözők azonban továbbra is keresik a rendszerekbe való bejutási pontokat, ezért folyamatosan egyre nagyobb erőfeszítéseket kell tennünk annak érdekében, hogy egy lépéssel előttük járjunk.
A zsarolóvírus-támadások egyre kifinomultabbak és gyorsabbak
A Microsoft telemetriája szerint 2022 szeptembere óta 195%-kal nőtt a szervezetek által érzékelt emberek által indított zsarolóvírus-támadások száma. Ezek a támadások általában nem automatizált, hanem “hands on keyboard” (“kézzel a billentyűzeten”) típusú támadások, amelyek jellemzően egy egész szervezetet céloznak meg testre szabott váltságdíj–követelésekkel.
Az elkövetők a támadásokat is úgy fejlesztik tovább, hogy minimalizálják a lábnyomukat, 60%-uk távoli titkosítást használ, ezáltal hatástalanná téve a folyamatalapú ellenintézkedéseket. Ezek a támadások annak tekintetében is figyelemre méltók, hogy miként próbálnak hozzáférést szerezni a nem felügyelt vagy a saját eszközökhöz. Az általunk megfigyelt támadások több mint 80 százaléka ilyen, nem felügyelt eszközökről származik. A zsarolóprogramok üzemeltetői egyre inkább kihasználják a kevésbé elterjedt szoftverek sebezhetőségeit, ami megnehezíti a támadások előrejelzését és az ellenük való védekezést.
A zsarolóvírus-bűnözők az ellopott információk nyilvánosságra hozatalával is fenyegetőznek, hogy nyomást gyakoroljanak az áldozatokra és pénzt szedjenek ki belőlük. 2022 novembere óta megfigyeltük, hogy megduplázódott a potenciális adatszivárgási esetek száma, miután a fenyegető szereplők veszélyeztettek egy környezetet. De nem minden adatlopás kapcsolódik zsarolóprogramhoz; lehetnek hitelesítő adatok begyűjtésérevagy nemzetállami kémkedésre irányuló tevékenységek is.
Egekbe szökő fáradtság–támadások a jelszóalapú és többtényezős hitelesítések (MFA) ellen
Az MFA az az egyre elterjedtebb hitelesítési módszer, amely megköveteli a felhasználóktól, hogy két– vagy többfaktoros azonosítást adjanak meg egy weboldalhoz vagy alkalmazáshoz való hozzáféréshez – például egy jelszót arcfelismeréssel együtt, vagy egy egyszeri jelkódot. Az MFA az egyik legegyszerűbb és leghatékonyabb védekezési mód, amelyet a szervezetek a támadások ellen alkalmazhatnak, használatukkal 99,2%-kal csökkenthető a kompromittálódás kockázata. Ám a bűnözők egyre inkább kihasználják az “MFA-fáradtságot”, és MFA-értesítésekkel bombázzák a felhasználókat abban a reményben, hogy végül elfogadják azokat és hozzáférést biztosítanak.
A Microsoft az elmúlt évben naponta körülbelül 6000 MFA-fáradtsággal kapcsolatos kísérletet figyelt meg. Emellett 2023 első negyedévében drámai módon megtízszereződött a jelszóalapú támadások száma a felhőalapú azonosítók ellen, különösen az oktatási szektorban: a havi körülbelül 3 milliárdról több mint 30 milliárdra nőtt –ez átlagosan 4000 jelszóalapú támadást jelentett másodpercenként a Microsoft felhőalapú azonosítói ellen ebben az évben.
Az egyetlen biztonságos védelem csakis a kollektív védelem lehet
A Microsoft Digital Defense Reportban felvázolt fenyegetések nagyságrendje és jellege egyaránt elkeserítőnek tűnhet. A támadók legyőzése érdekében azonban hatalmas előrelépések történnek a technológia terén, és ezzel párhuzamosan erős partnerségek alakulnak ki, amelyek átívelik az országhatárokat, iparágakat, illetve a magán- és a közszféra közötti szakadékot. Ezek a partnerségek egyre sikeresebbek mindannyiunk biztonságának megőrzésében, és ezért létfontosságú, hogy tovább bővítsük és mélyítsük őket. A demokratikus országokban a választásra jogosult polgárok 75%-ának lehetősége van arra, hogy a következő másfél évben szavazzon. A választások biztonságának és a demokratikus intézmények stabilitásának megőrzése kollektív védelmünk egyik sarokköve.