Microsoft Digital Defense Report

Špionáž podnecuje globálne kybernetické útoky

V uplynulom roku sa kybernetické útoky dotkli 120 krajín, poháňané vládou sponzorovanou špionážou a s rastúcimi vplyvovými operáciami (IO). Niekedy bola takmer polovica týchto útokov zameraná na členské štáty NATO a viac ako 40% bolo namierených proti vládnym organizáciám alebo organizáciám súkromného sektora, ktoré sa podieľajú na budovaní a údržbe kritickej infraštruktúry. Zatiaľ čo útoky z minulého roka boli často zamerané na zničenie alebo finančný obohatenie ransomvérom, údaje ukazujú, že prevládajúca motivácia sa zmenila späť na túžbu ukradnúť informácií, tajne monitorovať komunikáciu alebo manipulovať s tým, čo ľudia čítajú. Napríklad:

  1. Ruské spravodajské služby preorientovali svoje kybernetické útoky na špionážnu činnosť na podporu svojej vojny proti Ukrajine, pričom pokračujú na Ukrajine pokračujú v ničivých kybernetických útokoch a tiež v širšom špionážnom úsilí;
  2. Iránske úsilie, kedysi zamerané na likvidáciu sietí svojich cieľov, má dnes tiež sklon zosilňovať manipulatívne správy na podporu geopolitických cieľov alebo využívať údaje prúdiace cez citlivé siete;
  3. Čína rozšírila využívanie špionážnych kampaní na získavanie spravodajských informácií na podporu Belt and Road Initiative, regionálnej politiky, na špehovanie USA vrátane kľúčových zariadení pre americkú armádu a na vytvorenie prístupu k sieťam subjektov kritickej infraštruktúry;  
  4. Severokórejskí aktéri sa snažia ukradnúť tajné informácie; Zamerali sa na spoločnosť zaoberajúcu sa technológiou ponoriek, pričom samostatne používali kybernetické útoky na krádež stoviek miliónov v kryptomene.

Toto sú niektoré z poznatkov zo štvrtého výročného Microsoft Digital Defense Reportu, ktorý mapuje trendy medzi júlom 2022 a júnom 2023 naprieč činnosťami národných štátov, kyberkriminalitou a obrannými technikami.

Ďalšie krajiny a sektory pod útokom

Zatiaľ čo USA, Ukrajina a Izrael sú naďalej najsilnejšie napádané, v minulom roku došlo k nárastu globálneho rozsahu útokov. Týka sa to globálne juhu, najmä Latinskej Ameriky a subsaharskej Afriky. Irán zvýšil svoju aktivitu a operácie na Blízkom východe. Organizácie zapojené do tvorby a vykonávania politiky patrili medzi najviac zacielené, v súlade s preorientovaním úsilia na špionáž.

Najviac zacielenými krajinami podľa regiónov* boli:

EurópaMiddle East and North AfricaÁzia a Pacifik
1.     Ukrajina (33%)1.     Izrael (38%)1.     Kórea (17%)
2.     Spojené kráľovstvo (11%)2.     Spojené arabské emiráty (12%)2.     Taiwan (15%)
3.     Francúzsko (5%)3.     Saudská Arábia (9%)3.     India (13%)
4.     Poľsko (5%)4.     Jordánsko (6%)4.     Malajzia (6%)
5.     Taliansko (4%)5.     Irak (5%)5.     Japonsko (5%)
6.     Nemecko (3%)6.     Bahrain (4%)6.     Austrália (5%)
*Podrobnejší rozpis údajov nájdete v reporte.

Rusko a Čína sa čoraz viac zameriavajú na komunity diaspóry

Rusko aj Čína zvyšujú rozsah svojich vplyvových operácií proti rôznym komunitám diaspóry.  Cieľom Ruska je zastrašiť globálne ukrajinské komunity a zasiať nedôveru medzi vojnovými utečencami a hostiteľskými komunitami v mnohých krajinách, najmä v Poľsku a pobaltských štátoch.  Naproti tomu Čína nasadzuje rozsiahlu sieť koordinovaných účtov na desiatkach platforiem na šírenie skrytej propagandy.  Tieto sa priamo zameriavajú na globálne čínsky hovoriace a iné komunity, očierňujú americké inštitúcie a podporujú pozitívny obraz Číny prostredníctvom stoviek viacjazyčných lifestylových influencerov.

Konvergencia vplyvových operácií s kybernetickými útokmi

Aktéri národných štátov častejšie využívajú vplyvové operácie spolu s kybernetickými operáciami na šírenie obľúbených propagandistických naratívov. Ich cieľom je manipulovať národnú a globálnu mienku s cieľom podkopať demokratické inštitúcie v krajinách, ktoré sú vnímané ako nepriateľské – najnebezpečnejšie v kontexte ozbrojených konfliktov a národných volieb. Napríklad po invázii na Ukrajinu Rusko dôsledne načasovalo svoje vplyvové operácie vojenskými a kybernetickými útokmi.  Podobne v júli a septembri 2022 Irán nasledoval ničivé kybernetické útoky na albánsku vládu koordinovanou vplyvovou kampaňou ktorá stále prebieha.

Trendy podľa národných štátov

Hoci došlo k celkovému nárastu aktivity v oblasti hrozieb, trendy boli pozorované u najčastejších aktérov národných štátov.

Rusko sa zameriava na spojencov Ukrajiny v NATO

Ruskí štátni aktéri rozšírili svoje aktivity súvisiace s Ukrajinou tak, aby sa zamerali na spojencov Kyjeva, najmä na členov NATO. V apríli a máji 2023 Microsoft zaznamenal prudký nárast aktivity proti západným organizáciám, z ktorých 46% bolo v členských štátoch NATO, najmä v Spojených štátoch, Spojenom kráľovstve a Poľsku.  Niekoľko ruských štátnych aktérov sa vydávalo za západných diplomatov a ukrajinských predstaviteľov a pokúšalo sa získať prístup k účtu.  Cieľom bolo získať prehľad o západnej zahraničnej politike na Ukrajine, obranných plánoch a vyšetrovaní vojnových zločinov.

Čína sa zameriava na americkú obranu, krajiny v Juhočínskom mori a partnerov Belt and Road Initiative

Rozšírené a sofistikované aktivity Číny odrážajú jej dvojitú snahu o globálny vplyv a zhromažďovanie spravodajských informácií. Ich cieľmi sú najčastejšie americká obrana a kritická infraštruktúra, krajiny hraničiace s Juhočínskym morom (najmä Taiwan) a dokonca aj vlastní strategickí partneri Číny. Okrem viacerých sofistikovaných útokov na americkú infraštruktúru, ktoré sú podrobne opísané v správe, Microsoft tiež videl, ako čínski aktéri zaútočili na čínskych partnerov Belt and Road Initiative, ako sú Malajzia, Indonézia a Kazachstan.

Irán zahájil nové útoky do Afriky, Latinskej Ameriky a Ázie

V uplynulom roku niektorí iránski štátni aktéri zvýšili zložitosť svojich útokov.  Irán sa zameral nielen na západné krajiny, o ktorých sa domnieva, že podnecujú nepokoje v Iráne, ale rozšíril aj svoj geografický dosah o ďalšie ázijské, africké a latinskoamerické krajiny. Na fronte vplyvových operácií Irán presadzuje naratívy, ktoré sa snažia posilniť palestínsky odpor, zasiať paniku medzi izraelskými občanmi, podnietiť šiitské nepokoje v arabských krajinách Perzského zálivu a čeliť normalizácii arabsko-izraelských vzťahov.  Irán tiež vyvinul úsilie na zvýšenie koordinácie svojich aktivít s Ruskom.

Severná Kórea sa okrem iného zameriava na ruské organizácie

Severná Kórea v minulom roku zvýšila sofistikovanosť svojich kybernetických operácií, najmä pri krádežiach kryptomien a útokoch na dodávateľský reťazec. Okrem toho Severná Kórea používa spear-phishingové e-maily a profily na LinkedIn na zacielenie na odborníkov Kórejského polostrova po celom svete s cieľom zhromažďovať spravodajské informácie. Napriek nedávnemu stretnutiu medzi Putinom a Kim Čong-unom sa Severná Kórea zameriava na Rusko, najmä kvôli jadrovej energii, obrane a zhromažďovaniu spravodajských informácií o vládnej politike.

Umelá inteligencia vytvára nové hrozby – a nové príležitosti na obranu

Útočníci už používajú umelú inteligenciu ako zbraň na vylepšenie phishingových správ a zlepšenie vplyvových operácií pomocou umelej obraznosti. Umelá inteligencia však bude kľúčová aj pre úspešnú obranu, automatizáciu a rozšírenie aspektov kybernetickej bezpečnosti, ako je detekcia hrozieb, reakcia, analýza a predikcia. Umelá inteligencia môže tiež umožniť veľkým jazykovým modelom (LLM) generovať poznatky a odporúčania prirodzeného jazyka z komplexných údajov, čo prináša analytikom efektívnejšiu a pohotovejšiu pomoc.

Už teraz vidíme, že kybernetická obrana, ktorá je poháňaná umelou inteligenciou zvrátila príliv kybernetických útokov. Napríklad na Ukrajine umelá inteligencia pomohla brániť sa proti Rusku.

Keďže transformačná umelá inteligencia pretvára mnohé aspekty spoločnosti, musíme sa zapojiť do jej zodpovedných postupov, ktoré sú kľúčové pre zachovanie dôvery a súkromia používateľov a tiež pre vytváranie dlhodobých prínosov. Generatívne modely umelej inteligencie si vyžadujú, aby sme vyvinuli postupy kybernetickej bezpečnosti a modely hrozieb s cieľom riešiť nové výzvy. Medzi tie patria napríklad vytváranie realistického obsahu vrátane textu, obrázkov, videa a zvuku, ktoré môžu aktéri hrozieb použiť na šírenie dezinformácií alebo vytvorenie škodlivého kódu. Aby sme si udržali náskok pred týmito vznikajúcimi hrozbami, sme naďalej odhodlaní zabezpečiť, aby sa všetky naše produkty a služby umelej inteligencie vyvíjali a používali spôsobom, ktorý dodržiava naše zásady umelej inteligencie.

Stav kyberkriminality

Hra na mačku a myš medzi kyberzločincami a obrancami sa neustále vyvíja. Zatiaľ čo rôzne skupiny hrozieb za posledný rok výrazne zrýchlili tempo svojich útokov,  zabudovaná ochrana v produktoch spoločnosti Microsoft zablokovala desiatky miliárd hrozieb škodlivého softvéru, zmarila 237 miliárd pokusov o útok hrubou silou na heslá a zmiernila 619 000 DDoS útokov, ktorých cieľom je deaktivovať server, službu alebo sieť tým, že ich zahltia záplavou internetovej prevádzky.

Zločinci sa tiež snažia zvýšiť svoju anonymitu a účinnosť pomocou vzdialeného šifrovania na efektívnejšie pokrytie svojich stôp. Silnejšie súkromné ​​a verejné partnerstvá však znamenajú, že sa čoraz viac ocitajú v hľadáčiku orgánov činných v trestnom konaní. Napríklad operátor ransomvéru známy ako “Target” bol vyradený a úspešne obvinený a zatknutý. Zločinci však naďalej hľadajú miesta najľahšieho vstupu do systémov a je potrebné nepretržité a zrýchľujúce sa úsilie, aby sme zostali o krok pred nimi.

Ransomvérové útoky sú čoraz sofistikovanejšie a rýchlejšie

Telemetria spoločnosti Microsoft naznačuje, že organizácie zaznamenali od septembra 2022 nárast ransomvérových útokov spôsobených ľuďmi o 200 %. Tieto útoky sú vo všeobecnosti skôr typom útoku “ruky na klávesnici” než automatizovaným útokom, ktorý sa zvyčajne zameriava na celú organizáciu s prispôsobenými požiadavkami na výkupné.

Tieto útoky sú tiež pozoruhodné tým, ako sa pokúšajú získať prístup k nespravovaným zariadeniam alebo si priniesť vlastné zariadenia. Viac ako 80 percent všetkých kompromitácií, ktoré sme zaznamenali, pochádza z takýchto nespravovaných zariadení. Prevádzkovatelia ransomvéru čoraz viac využívajú zraniteľnosti v menej bežnom softvéri, čo sťažuje predvídanie útokov a obranu proti nim.

Zločinci ransomvéru sa tiež vyhrážajú zverejnením ukradnutých informácií, aby vyvinuli tlak na obete a získali od nich pod touto hrozbou peniaze. Od novembra 2022 sme zaznamenali zdvojnásobenie potenciálnych prípadov exfiltrácie údajov po tom, čo aktéri hrozieb ohrozili prostredie. Nie všetky krádeže údajov sú však spojené s ransomwarom; Tento jav sa vyskytuje aj v súvislosti so zberom poverení alebo špionážou národných štátov.

Útoky založené na heslách a viacfaktorovom overovaní (MFA) raketovo stúpajú

MFA je čoraz bežnejšia metóda autentifikácie, ktorá vyžaduje, aby používatelia poskytli dva alebo viac “faktorov” identifikácie na získanie prístupu na webovú stránku alebo aplikáciu – napríklad heslo spolu s rozpoznávaním tváre alebo jednorazový prístupový kód.  Zatiaľ čo nasadenie MFA je jednou z najjednoduchších a najefektívnejších obranných prostriedkov, ktoré môžu organizácie nasadiť proti útokom, vďaka ktorým sa znižuje riziko kompromitácie o 99,2%, aktéri hrozieb čoraz viac využívajú tzv. “MFA fatigue”, teda únavu používateľov z neustáleho zadávania overených prihlásení, na bombardovanie používateľov oznámeniami MFA v nádeji, že konečne prijmú a poskytnú prístup.

Spoločnosť Microsoft za posledný rok zaznamenala približne 6 000 pokusov o anulovanie MFA denne.  Okrem toho v prvom štvrťroku 2023 došlo k dramatickému, až desaťnásobnému nárastu útokov na cloudové identity založené na heslách, najmä v sektore vzdelávania, z približne 3 miliárd mesačne na viac ako 30 miliárd – v priemere 4 000 útokov na heslá za sekundu zameraných na cloudové identity spoločnosti Microsoft v tomto roku.

Jedinou bezpečnou obranou bude kolektívna obrana

Rozsah a povaha hrozieb uvedených v správe Microsoft Digital Defense Report sa môže zdať deprimujúca.  Na technologickom fronte sa však robia obrovské pokroky na porazenie týchto útočníkov a zároveň sa vytvárajú silné partnerstvá, ktoré presahujú hranice, priemyselné odvetvia a stierajú rozdiely medzi súkromným a verejným sektorom. Tieto partnerstvá sú čoraz úspešnejšie v ochrane nás všetkých, a preto je nevyhnutné, aby sme ich naďalej rozširovali a prehlbovali. 75 % oprávnených občanov v demokratických krajinách má možnosť voliť v budúcom jeden a pol roku. Zachovanie bezpečnosti volieb a silných demokratických inštitúcií je základným kameňom našej kolektívnej obrany.