Microsoft gaat hackersgroepen naar weersomstandigheden vernoemen

Microsoft gaat de naamgeving van staatshackersgroeperingen veranderen. Ze krijgen geen willekeurige namen meer zoals nu, maar namen die afkomstig zijn van weersomstandigheden.

In plaats van willekeurige namen, zoals Sandworm, Voodoo Bear en BlackEnergy, krijgen threat actors voortaan namen van weersomstandigheden, afhankelijk van het land waar ze vandaan komen of wat ze doen. Russische hackers krijgen een naam met Blizzard, Chinese hackers iets met Typhoon. Financiële hackers worden Tempest genoemd.

Het moet daarmee makkelijker worden staatshackersgroepen te onderscheiden.

Microsoft hackernamen

Wat een kort bericht, wat is dit?

Tweakers experimenteert tijdelijk met korte nieuwsberichten zoals deze, die nét niet lang genoeg zijn voor een volledig artikel. Wil je meer informatie over dit experiment of wil je feedback geven over de vorm, dan willen we je vragen dat in deze post op Geachte Redactie te doen.

Reacties (60)

Vegazz 19 april 2023 11:27

Dit lijkt mij eerder om slechte(re) verhoudingen met de genoemde landen te beperken. Klinkt een beetje hetzelfde als tijdens de coronapandemie de "Indiase Variant" werd hernoemd naar de Deltavariant om stigmatisatie te voorkomen..

Loller1

Microsoft

@Vegazz • 19 april 2023 11:41

Net als met de naamgeving van nieuwe ziektes is de reden hier hetzelfde: er was geen gestandardiseerde manier om het te doen binnen de organisatie, en nu is die er wel. Microsoft gebruikte hiervoor ook al niet de naam van landen, dus dat het iets met relaties te maken heeft is al helemaal niet waar. Sterker nog, juist dit nieuwe systeem linkt bepaalde groepen nu wel rechtstreeks aan sommige landen.

Fireshade @Loller1 • 19 april 2023 13:29

De comment van @Vegazz over stigmatisatie blijft staan.
Met alle respect voor de skills van Microsoft (en anderen), wat doen ze als bijv. later blijkt dat een bepaalde hackersgroep niet Russisch is, maar bijv. Noordkoreaans, en straks weer Iraans? Gaan ze de naam dan steeds aanpassen? Of houden ze de 'verkeerde' naam aan voor het communicatiegemak? Wordt lekker verwarrend straks in de chronologisch verzamelde berichtgevingen.

[Reactie gewijzigd door Fireshade op 22 juli 2024 17:25]

CivLord

@Fireshade • 20 april 2023 07:53

De naam bestaat uit twee delen, waarvan het eerste deel naar het land verwijst. Wanneer blijkt dat de hackersgroep aanvankelijk aan het verkeerde land is toegewezen, kan het eerste deel gewijzigd worden, maar is groep aan het tweede deel nog steeds te herkennen.
De verschillende combinaties zullen dan waarschijnlijk verwijzen naar verschillende stadia in de ontwikkelijk van de groep. De groepen worden niet zomaar lukraak aan een land toegewezen. Ze zullen misschien gebruik maken van hackerstools die in een bepaald land zijn ontwikkeld, of zijn te traceren tot een beginpunt in een bepaald land. Wanneer dat verandert kan het zijn dat het centrum van hun activiteiten is gewijzigd, dat ze hun hackerstools ergens anders vandaan halen, etc.

field33P @Vegazz • 19 april 2023 11:29

Als je naar de oude namen in het tabelletje hier kijkt zat er ook niet echt een doorlopende lijn in. Daarnaast heeft Microsoft niet zoveel te maken met verhoudingen met Rusland (hooguit China, voor zover Windows daar legaal verkocht wordt)

majetta @Vegazz • 19 april 2023 16:06

De CDC zal voortaan nieuwe virussen en uitbraken een nieuwe naamgeving geven die gebaseerd is op nationale gerechten van het land waar het virus is ontstaan. Hieronder zijn enkele voorbeelden van de verwachte benamingen:

Nederland zal de Haring-variant krijgen.
India zal de Curry-variant krijgen.
Rusland zal de Borsjt-variant krijgen.
Spanje zal de Ham-variant krijgen.

Indien er verduidelijking nodig is om een regio te benadrukken, zal de CDC lokale gerechten gebruiken. Bijvoorbeeld, de Texas Variant kan worden aangeduid als de "Hamburger-Texas-BBQ-variant", en Chicago kan de "Hamburger-DeepDishPizza-variant" worden genoemd.

India en UK moeten het dan effe uitvechten wie voor de curry gaat.

rijnsoft 19 april 2023 11:36

Geeft Microsoft zo'n groep daarmee niet teveel eer? Gewoon een nummertje aan hangen zou ik zeggen: "groepje 2356 is weer lastig vandaag.".

field33P @rijnsoft • 19 april 2023 11:39

Dat waren de APT's (Advanced Persistent Threats). Maar zeg nou zelf, APT28 is toch moeilijker te onthouden dan Fancy Bear?

dutchgio @rijnsoft • 19 april 2023 11:41

De naam is juist een duidelijker alternatief voor een nummer lijkt me.

Verwijderd @rijnsoft • 19 april 2023 12:44

Klinkt niet zo lekker in eventuele propaganda.

Fiander @rijnsoft • 19 april 2023 16:59

Mee eens over die eer.
de namen zijn veels te stoer.

Beter hadden ze namen als : Wet fart, pink eye, crabs std, ofzo kunnen geven.
geen stoere naam, russische hackers gewoon natte scheten noemen, past beter bij wat ze zijn.

field33P 19 april 2023 11:27

Dat is inderdaad een stuk duidelijker dan al die APTxx-getallen onthouden. Al had ik liever gehad dat bijvoorbeeld de achtervoegsels "Bear" en "Lotus" voor Rusland en China respectievelijk gestandaardiseerd werden, dat is een stuk duidelijker dan "Blizzard" en "Typhoon" respectievelijk en dekt de lading beter voor mensen die niet dagelijks ermee bezig zijn.

paoper @field33P • 19 april 2023 11:44

Welke lading wordt met 'lotus' beter gedekt dan 'typhoon'?

field33P @paoper • 19 april 2023 12:16

Lotus is een iets duidelijkere verwijzing naar China (al blijkt het gek genoeg niet hun nationale bloem te zijn, na even snel googelen)

Jerie

@field33P • 19 april 2023 16:47

De APT getallen hoef je ook niet te gebruiken. Cozy Bear en Fancy Bear werden al gebruikt, en Bear verwijst dan naar Russische APTs. Maar het enige dat je bij APT moet onthouden is het getal. Want APT weet je de betekenis al van, en zo niet is die zo op te zoeken.

Anyway, Microsoft with ABK overnemen... en nu dus volgens Microsoft zijn Blizzard Russische hackers...

DropjesLover 19 april 2023 11:46

Nederlandse hackergroepen: Fancy Flooding, Forest Flooding, Midnight Flooding?

Richardus27 @DropjesLover • 19 april 2023 12:05

Orange Downpour

Vraag me af hoeveel weersomstandigheden je kunt gebruiken hiervoor, vooral bij landen die niet echt iets unieks hebben zoals veel sneeuw/zand/neerslag. Als je bij Scandinavië Blizzard, Snowfall en Hail gebruikt dan ben je toch wel aardig door de termen voor winterweer heen lijkt mij

[Reactie gewijzigd door Richardus27 op 22 juli 2024 17:25]

pennywiser @Richardus27 • 19 april 2023 12:42

Ooh goeie nice one

muchu @DropjesLover • 19 april 2023 12:19

En de Belgische hackergroepen dan: Midnight Drizzle, Forest Drizzle, Gray Drizzle...

Skit3000

19 april 2023 11:25

Bij groepen die nog in ontwikkeling zijn, gebruiken ze tijdelijk "Storm-####" totdat ze meer weten over de actor.

Vraag ik me wel af hoeveel weersomstandigheden er zijn en wat ze doen bij een groep die bestaan uit een samenwerking van meerdere landen.

watercoolertje @Skit3000 • 19 april 2023 12:02

Vraag ik me wel af hoeveel weersomstandigheden er zijn en wat ze doen bij een groep die bestaan uit een samenwerking van meerdere landen.

SandBlizzard indien rusland en iran samenwerken?

[Bc]-=VorteX=- 19 april 2023 11:55

Beetje laat van Microsoft, dit is iets wat CrowdStrike dus al sinds jaar en dag doet.
Bears = Rusland, Pandas = China, Kittens= Iran, Spiders=eCrime, etc.
Oorspronkelijk had FireEye ook zoiets voor ogfen met hun nummersysteem, bepaalde getalreeksen stonden voor bepaalde regio's (APT28 & APT29 zijn allebei Russische groeperingen, als ik me niet vergis zijn de lagere getallen (t/m 20?) voor Chinese groeperingen), maar het nadeel van nummerblokken is dat het allemaal wat scheef gaat lopen als je op een gegeven moment meer groepen identificeert dan het nummerblok dat gereserveerd was, dan moet je ineens in een andere reeks verder gaan tellen.
Daarnaast is het lastiger voor mensen om die getallen uit elkaar te houden, dan daadwerkelijke woorden.

Het principe is dus goed, maar zou het niet mooier zijn om allemaal gewoon richting 1 standaard te gaan werken? Dan hoef je ook niet meer continu zelf de brug te slaan tussen de verschillende threat intel vendors.

Wouterie 19 april 2023 11:29

En hackers uit de US of A? Oh nee, die bestaan volgens het rapport van Microsoft niet.

VDV @Wouterie • 19 april 2023 11:33

Het gaat specifiek om hackergroeperingen die door de staat zelf worden aangestuurd. Die bestaan natuurlijk ook voor "vriendelijke" (lees: westerse) staten, echter denk ik dat Microsoft in de problemen gaat komen als ze die ook specifieke namen geeft, als westers bedrijf

Loller1

Microsoft

@VDV • 19 april 2023 11:44

Zuid Korea is een Amerikaanse bondgenoot maar krijgt wel een naam specifiek voor zich. Dit is puur een geval van veel voorkomende bronnen te groeperen. Ze kunnen moeilijk voor ieder land een andere weersomstandigheid kiezen, tenzij ze héél obscuur zouden gaan zijn er niet zoveel.

Daarbij hebben ze voor de VS zelf praktisch 4 afzonderelijke naamgevingen gemaakt op basis van de reden. Ja, die kunnen ook voor andere landen gebruikt worden, maar neem maar aan dat dat voornamelijk voor de VS zal zijn.

Caelestis @Loller1 • 19 april 2023 12:39

Noord Korea bedoel je. Zuid Korea staat niet in het lijstje

Source90 @Caelestis • 19 april 2023 12:56

Zeker wel:
South Korea - Hail

yowkah @Caelestis • 19 april 2023 13:00

South Korea is Hail, staat gewoon in het lijstje?

Wouterie @VDV • 19 april 2023 11:47

De staat... zoals de NSA (PRISM) of de Israëlische NSO Group? Daarnaast is het zelden bewezen dat de hackersgroeperingen ook daadwerkelijk worden aangestuurd door de betreffende staat. Dit soort zaken van Microsoft kunnen toch direct de prullenbak in als ze niet handelen vanuit een onafhankelijk standpunt?
Politiek zou niet van invloed moeten zijn op de mate waarin je waakzaam moet zijn op de bescherming van je data. Door Russen in het voetlicht te brengen (leuk naampje geven) blijven Amerikanen in het duister en kunnen lekker hun gang gaan. Moeten we dan Kaspersky en Microsoft Defender beiden draaien om alle bedreigingen aan te pakken, of geen van beiden en ons geld zetten op een EU partij?