Miten Microsoft nimeää uhkatoimijat
Microsoft siirtyi uuteen nimeämisluokitukseen uhkatoimijoille, jotka ovat linjassa sään teeman kanssa. Tarkoituksenamme on selkeyttää asiakkaita ja muita tietoturvatutkijoita uudella luokittelulla. Tarjoamme entistä organisoidumman, artikuloidumman ja helpon tavan viitata uhkatoimijoihin, jotta organisaatiot voivat paremmin priorisoida ja suojella itseään. Pyrimme myös auttamaan turvallisuustutkijoita, joilla on jo edessään ylivoimainen määrä uhkien tiedustelutietoja.
Microsoft luokittelee uhkatoimijat viiteen avainryhmään:
Kansallisvaltioiden toimijat: kyberoperaattorit, jotka toimivat kansakunnan / valtion linjaaman ohjelman puolesta tai jota ohjaavat, riippumatta vakoilusta, taloudellisesta hyödystä tai kostosta. Microsoft havaitsi, että useimmat kansallisvaltioiden toimijat keskittää edelleen operaatioita ja hyökkäyksiä valtion virastoihin, hallitustenvälisiin organisaatioihin, kansalaisjärjestöihin ja ajatushautomoihin perinteisiä vakoilu- tai valvontatavoitteita varten.
Taloudellisesti motivoidut toimijat: kyberkampanjat/ryhmät, joita ohjaa rikollisjärjestö/henkilö, jolla on taloudellisen hyödyn motivaatio ja jotka eivät liity korkeaan luottamukseen tunnettuun ei-kansallisvaltioon tai kaupalliseen tahoon. Tämä luokka sisältää kiristysohjelmaoperaattorit, yrityssähköpostin kompromissit, tietojenkalastelun ja muut ryhmät, joilla on puhtaasti taloudellisia tai kiristysmotivaatioita.
Yksityisen sektorin loukkaavat toimijat: tunnettujen/laillisien oikeushenkilöiden johtama kybertoiminta, joka luo ja myy kyberaseita asiakkaille, jotka sitten valitsevat kohteet ja käyttävät kyberaseita. Näiden välineiden havaittiin kohdistavan toisinajattelijoita, ihmisoikeuksien puolustajia, toimittajia, kansalaisyhteiskunnan puolestapuhujia ja muita yksityisiä kansalaisia ja uhkaavan monia maailmanlaajuisia ihmisoikeustoimia.
Vaikutustoiminnot: verkossa tai offline-tilassa välitettyjä tiedotuskampanjoita manipuloivalla tavalla, jotta kohdeyleisö voi siirtää käsityksiä, käyttäytymismalleja tai päätöksiä ryhmän tai kansakunnan etujen ja tavoitteiden mukaisesti.
Ryhmät kehitteillä: väliaikainen nimitys, joka annetaan tuntemattomalle, nousevalle tai uhkaavalle toiminnalle. Tämän määritteen avulla Microsoft voi seurata ryhmää erillisenä tietojoukkona, kunnes voimme luottaa toiminnon taustalla olevan toimijan alkuperään tai käyttäjätietoihin. Kun ehdot täyttyvät, kehitteillä oleva ryhmä muunnetaan nimetyksi toimijaksi tai yhdistetään olemassa oleviin nimiin.
Uudessa luokituksessamme säätapahtuma tai perheen nimi edustaa yhtä edellä mainituista luokista. Kansallisvaltioiden toimijoille määritimme perheen nimen maalle/alkuperäalueelle, joka on sidottu mainintaan. Esimerkiksi Typhoon ilmaisee alkuperän tai kiinalaismerkinnän. Muille toimijoille perheen nimi edustaa motivaatiota. Tempest kertoo esimerkiksi taloudellisesti motivoituneista toimijoista.
Saman sääperheen uhkien toimijoille annetaan adjektiivi, jolla erotetaan toimijaryhmät eri taktiikoilla, tekniikoilla ja menettelyillä, infrastruktuurilla, tavoitteilla tai muilla tunnistetuilla malleilla. Kehitteillä ryhmissä käytämme väliaikaista Storm-nimitystä ja nelinumeroista numeroa, jossa on äskettäin löydetty, tuntematon, nouseva tai kehittyvä uhkatoiminnan klusteri.
Seuraava taulukko näyttää, miten perhenimet kartoittavat seuraamamme uhkatoimijat.
| Uhkatoimija-luokka | Kirjoita | Sukunimi |
|---|---|---|
| Kansallisvaltio | Kiina Iran Libanon Pohjois-Korea Venäjä Etelä-Korea Turkki Vietnam |
Taifuuni Hiekkamyrsky Sade Räntä Lumimyrsky Rakeet Pöly Sykloni |
| Taloudellisesti motivoitunut | Taloudellisesti motivoitunut | Myrsky |
| Yksityisen sektorin loukkaavat toimijat | PSOA:t | Tsunami |
| Vaikutustoiminnot | Vaikutustoiminnot | Tulva |
| Ryhmät kehitteillä | Ryhmät kehitteillä | Myrsky |
Seuraavassa taulukossa luetellaan julkisesti paljastetut uhkanäyttelijän nimet niiden alkuperä- tai uhkanäyttelijäluokalla, aiemmilla nimillä ja vastaavilla nimillä, joita muut suojaustoimittajat käyttävät, jos niitä on saatavilla. Tämä sivu päivitetään, kun lisätietoja muiden toimittajien nimistä tulee saataville.
| Uhkanäyttelijän nimi | Origin/Threat-toimijan luokka | Muut nimet |
|---|---|---|
| Ametistisateet | Libanon | Muuttuva setri |
| Antiikin taifuuni | Kiina | Myrsky-0558 |
| Aqua Blizzard | Venäjä | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Sininen tsunami | Israel, yksityisen sektorin loukkaava toimija | |
| Brass Typhoon | Kiina | BARIUM, APT41 |
| Brokadi taifuuni | Kiina | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Viininpunainen hiekkamyrsky | Iran | Cadelle, Chafer |
| Kadetin lumimyrsky | Venäjä | DEV-0586 |
| Kanarian taifuuni | Kiina | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Pohjan sykloni | Vietnam | BISMUTH, OceanLotus, APT32 |
| Karamellitsunaami | Israel, yksityisen sektorin loukkaava toimija | DEV-0236 |
| Carmine Tsunami | Yksityisen sektorin loukkaava toimija | |
| Hiilitaifuuni | Kiina | CHROMIUM, ControlX, Vesipanda, RedHotelli, BRONZE UNIVERSITY |
| Ruudukas taifuuni | Kiina | KLOORI, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Kaneli tempest | Kiina, taloudellisesti motivoitunut | DEV-0401 |
| Ympyrä taifuuni | Kiina | DEV-0322, APT6, APT27 |
| Citrine Sleet | Pohjois-Korea | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Puuvillahiekkamyrsky | Iran | NEPTUNIUM, Varavuoto, Haywire-kissanpentu |
| Puolikuun taifuuni | Kiina | CESIUM |
| Karmimaton hiekkamyrsky | Iran | CURIUM, Kilpikonnakuori, HOUSEBLEND, TA456 |
| Cuboid-hiekkamyrsky | Iran | DEV-0228 |
| Denim Tsunami | Itävalta, yksityisen sektorin loukkaava toimija | DEV-0291 |
| Vinoneliö | Pohjois-Korea | ZINC, Black Artemis, Labyrinth Chollima, Lazarus |
| Emerald Sleet | Pohjois-Korea | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapore | PLATINA, PARASIITTI, RUBIINIINI, INKIVÄÄRITNAP |
| Pellavataifuuni | Kiina | Storm-0919, ETHEREAL PANDA |
| Metsän lumimyrsky | Venäjä | STRONTIUM, Sednit, ATG2, Sohva, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Aaveen lumimyrsky | Venäjä | BROMINE, TG-4192, Koala Team, ENERGINEN KARHU, Sininen Kraken, Kyyristelevä Yeti, Lohikäärme |
| Gingham Typhoon | Kiina | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Graniittitaifuuni | Kiina | GALLIUM |
| Harmaa hiekkamyrsky | Iran | DEV-0343 |
| Hazel-hiekkamyrsky | Iran | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Sydäntaifuuni | Kiina | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Kuusikulmio Taifuuni | Kiina | VETY, Laskintiimi, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| Houndstooth Typhoon | Kiina | HASSIUM, isoon, deepclif |
| Jade Sleet | Pohjois-Korea | Myrsky-0954 |
| Pitsi tempest | Taloudellisesti motivoitunut | DEV-0950 |
| Sitruunahiekkamyrsky | Iran | RUBIDIUM |
| Leopard Typhoon | Kiina | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lila Typhoon | Kiina | DEV-0234 |
| Linen Typhoon | Kiina | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Taloudellisesti motivoitunut | |
| Magentapöly | Turkki | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Venäjä | |
| Mango-hiekkamyrsky | Iran | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros, MuddyWater |
| Marmoripöly | Turkki | SILICON, merikilpikonna, UNC1326 |
| Marigold-hiekkamyrsky | Iran | DEV-500 |
| Keskiyön lumimyrsky | Venäjä | NOBELIUM, UNC2452, APT29, Viihtyisä karhu |
| Minttuhiekkamyrsky | Iran | PHOSFORUS, Parastoo, Newscaster, APT35, Viehättävä kissanpentu |
| Kuukivisleet | Pohjois-Korea | Myrsky-1789 |
| Mulberry Typhoon | Kiina | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Sinapin myrsky | Taloudellisesti motivoitunut | DEV-0206 |
| Yötsunaami | Israel | DEV-0336 |
| Nailon Taifuuni | Kiina | NICKEL, Playful Dragon, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Taloudellisesti motivoitunut | 0ktapus, Pistehämähäkki |
| Onyx Sleet | Pohjois-Korea | PLUTONIUM, StoneFly, Tdrop2-kampanja, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opal Sleet | Pohjois-Korea | OSMIUM, Planedown, Konni, APT43 |
| Persikkahiekkamyrsky | Iran | HOLMIUM, APT33, Elfin, HIENOSTUNUT KISSANPENTU |
| Helmi-räleet | Pohjois-Korea | LAWRENCIUM |
| Periwinkle Tempest | Venäjä | DEV-0193 |
| Tempest(Phlox Tempest) | Israel, taloudellisesti motivoitunut | DEV-0796 |
| Vaaleanpunainen hiekkamyrsky | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Desert Falcons, Scimitar, Arid Viper | |
| Pistachio Tempest | Taloudellisesti motivoitunut | DEV-0237 |
| Ruudullinen sade | Libanon | POLONIUM |
| Kurpitsahiekkamyrsky | Iran | DEV-0146 |
| Purppura taifuuni | Kiina | POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Raspberry Typhoon | Kiina | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Pohjois-Korea | CERIUM |
| Ruza-tulva | Venäjä, Vaikutustoiminnot | |
| Lohitaifuuni | Kiina | NATRIUM, APT4, MAVERICK PANDA |
| Suolataifuuni | Kiina | GhostEmperor, Kuuluisa varpunen |
| Sangria Tempest | Ukraina, taloudellisesti motivoitunut | ELBRUS |
| Sapphire Sleet | Pohjois-Korea | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satiinifuuni | Kiina | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Venäjä | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Salainen lumimyrsky | Venäjä | KRYPTON, MYRKYLLINEN KARHU, Uroburos, Käärme, Sininen Python, Turla, WRAITH, ATG26 |
| Sovita tulva | Iran, vaikutustoiminta | |
| Varjotaifuuni | Kiina | Tumma varjo, oro0lxy |
| Silkkitaifuuni | Kiina | HAFNIUM, timmy |
| Savuhiekkamyrsky | Iran | UNC1549 |
| Spandex Tempest | Taloudellisesti motivoitunut | TA505 |
| Täplikäs hiekkamyrsky | NEODYMIUM, BlackOasis | |
| Tähtimyrsky | Venäjä | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Myrsky-0216 | Taloudellisesti motivoitunut | Kierretty Hämähäkki, UNC2198 |
| Myrsky-0230 | Ryhmittely kehitteillä | Conti Team 1, DEV-0230 |
| Myrsky-0247 | Kiina | ToddyCat, Websiic |
| Myrsky-0288 | Ryhmittely kehitteillä | FIN8 |
| Myrsky-0302 | Ryhmittely kehitteillä | Narwhal Spider, TA544 |
| Myrsky-0501 | Taloudellisesti motivoitunut | DEV-0501 |
| Myrsky-0538 | Ryhmittely kehitteillä | FIN6 |
| Myrsky-0539 | Taloudellisesti motivoitunut | |
| Myrsky-0569 | Taloudellisesti motivoitunut | DEV-0569 |
| Myrsky-0671 | Ryhmittely kehitteillä | UNC2596, Tropicalscorpius |
| Myrsky-0940 | Kiina | |
| Myrsky-0978 | Venäjä | RomCom, maanalainen tiimi |
| Myrsky-1101 | Ryhmittely kehitteillä | |
| Myrsky-1113 | Taloudellisesti motivoitunut | |
| Myrsky-1152 | Taloudellisesti motivoitunut | |
| Myrsky-1175 | Kiina, taloudellisesti motivoitunut | |
| Myrsky-1194 | Ryhmittely kehitteillä | MONTI |
| Myrsky-1516 | Venäjä, Vaikutustoiminnot | |
| Myrsky-1567 | Taloudellisesti motivoitunut | |
| Myrsky-1674 | Taloudellisesti motivoitunut | |
| Myrsky-1679 | Vaikutustoiminnot | |
| Myrsky-1811 | Taloudellisesti motivoitunut | |
| Myrsky 1982 | Kiina | SneakyCheff, UNK_SweetSpecter |
| Myrsky-2035 | Iran, vaikutustoiminta | |
| Myrsky-2077 | Kiina | TAG-100 |
| Mansikka tempest | Taloudellisesti motivoitunut | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Kiemurre taifuuni | Kiina | TELLURIUM, Rasti, Pronssi Butler, REDBALDKNIGHT |
| Taffeta Typhoon | Kiina | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi-tulva | Kiina, Vaikutustoiminnot | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | Kiina | THORIUM, Karst |
| Twill Typhoon | Kiina | TANTALUM, PRONSSI PRESIDENTTI, LuminousMoth, MUSTANG PANDA |
| Vanilja tempest | Taloudellisesti motivoitunut | DEV-0832, Vice Society |
| Samettinen myrsky | Taloudellisesti motivoitunut | DEV-0504 |
| Violetti taifuuni | Kiina | ZIRCONIUM, Kameleontti, APT31, WebFans |
| Volga-tulva | Venäjä, Vaikutustoiminnot | Myrsky-1841, Rybar |
| Volt Typhoon | Kiina | PRONSSI SILUETTI, VANGUARD PANDA |
| Vehnän myrsky | Taloudellisesti motivoitunut | GOLD, Gatak |
| Wisteria-tsunami | Intia, yksityisen sektorin loukkaava toimija | DEV-0605 |
| Siksak-rakeet | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Lisätietoja on ilmoituksessamme uudesta luokittelusta: https://aka.ms/threatactorsblog
Tiedustelutietojen ottaminen suojausammattilaisten käsiin
Microsoft Defender Threat Intelligence Intel-profiilit tuovat ratkaisevia merkityksellisiä tietoja uhkatoimijoista. Näiden merkityksellisten tietojen avulla suojaustiimit voivat saada tarvitsemansa kontekstin, kun ne valmistautuvat uhkiin ja vastaavat niihin.
Lisäksi Microsoft Defender Threat Intelligence Intel Profiles -ohjelmointirajapinta tarjoaa alan ajantasaisimman uhkatoimijainfrastruktuurin näkyvyyden tällä hetkellä. Päivitetyt tiedot ovat ratkaisevan tärkeitä uhkien tiedustelu- ja tietoturvatoimintojen (SecOps) tiimien mahdollistamiseksi, jotta ne voivat virtaviivaistaa edistynyttä uhkien metsästys- ja analysointityönkulkujaan. Lue lisätietoja tästä ohjelmointirajapinnasta dokumentaatiosta: Uhkien hallinnan ohjelmointirajapinnat Microsoft Graphissa (esikatselu).
Resurssit
Käytä seuraavaa kyselyä, joka koskee Microsoft Defender XDR ja muita Microsoftin suojaustuotteita, jotka tukevat Kusto-kyselykieltä (KQL), saadaksesi tietoja uhkatoimijasta, joka käyttää vanhaa nimeä, uutta nimeä tai alan nimeä:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Seuraavat tiedostot, jotka sisältävät vanhojen uhkatoimihenkilöiden nimien kattavan yhdistämisen uusilla nimillään, ovat myös käytettävissä: