Fenyegetési szereplők elnevezése
A Microsoft bevezetett új elnevezési rendszerének célja, hogy egységesítse és áttekinthetőbbé tegye a fenyegetési szereplők (threat actors) azonosítását. Ez segíti a biztonsági szakembereket és szervezeteket abban, hogy gyorsabban felismerjék és reagáljanak a különböző típusú kibertámadásokra.
A Microsoft által használt fenyegetési szereplők (threat actors) kategóriáinak részletes leírása szerint az államilag támogatott (nation-state) csoportok olyan kiberoperátorok, akik valamely ország vagy államilag irányított program nevében hajtanak végre műveleteket, függetlenül attól, hogy céljuk kémkedés, pénzszerzés vagy megtorlás. A Microsoft megfigyelései alapján ezek a szereplők továbbra is elsősorban kormányzati ügynökségeket, nemzetközi és nem kormányzati szervezeteket, valamint agytrösztöket támadnak hagyományos kémkedési vagy megfigyelési célokból.
A pénzügyi motivációjú (financially motivated) szereplők olyan bűnözői csoportok vagy személyek által irányított kiberműveletek, amelyek elsődleges célja az anyagi haszonszerzés, és amelyek nem köthetők nagy biztonsággal ismert állami vagy kereskedelmi entitásokhoz. Ebbe a kategóriába tartoznak például a zsarolóvírus-operátorok, az üzleti email csalások, az adathalász támadások és más kizárólag pénzszerzési vagy zsarolási célú csoportok.
A magánszektorbeli offenzív szereplők (Private Sector Offensive Actors – PSOAs) olyan kereskedelmi vállalatok, amelyek kiberfegyvereket fejlesztenek és árusítanak megrendelőik számára. Ezek az eszközök aztán a vásárlók által kiválasztott célpontok ellen kerülnek bevetésre. Az ilyen eszközöket többször is megfigyelték disszidensek, emberi jogi aktivisták, újságírók, civil társadalmi képviselők és más magánszemélyek megfigyelésére alkalmazni, ami komoly veszélyt jelent a globális emberi jogi törekvésekre.
A befolyásolási műveletek (influence operations) olyan információs kampányok, amelyeket manipulációs céllal kommunikálnak online vagy offline formában, hogy célzott közönség viselkedését, észlelését vagy döntéseit befolyásolják valamely csoport vagy nemzet érdekeinek és céljainak előmozdítása érdekében.
A fejlődés alatt álló csoportok (groups in development) ideiglenes megjelölést kapnak, ha egy fenyegetési tevékenység még ismeretlen eredetű, újonnan felbukkanó vagy fejlődőben van. Ez a besorolás lehetővé teszi a Microsoft számára, hogy elkülönítetten nyomon kövesse ezeket az aktivitásokat mindaddig, amíg elegendő bizonyíték nem áll rendelkezésre az elkövető származásának vagy identitásának nagy biztonságú meghatározásához. Ha ez megtörténik, a csoportot végleges elnevezéssel látják el, vagy egy meglévő csoporthoz sorolják.
A Microsoft taxonómiájában az időjárási jelenségeket idéző családnevek ezekhez a kategóriákhoz kapcsolódnak. Az állami fenyegetők esetén egy családnév egy adott ország vagy régió szerinti hozzárendelést jelent, például a Typhoon Kínát jelöli. A többi fenyegetőnél a családnév a motivációt tükrözi, így például a Tempest a pénzügyi motivációjú támadókat jelenti. Az egy családon belül működő különálló csoportokat melléknévvel különböztetik meg, amely a sajátos taktikákra, módszerekre, infrastruktúrára, célokra vagy más jellemző mintázatokra utal. Az újonnan felfedezett vagy fejlődés alatt álló csoportokat ideiglenesen a Storm elnevezéssel és egy négyjegyű számmal látják el.
A Microsoft és a CrowdStrike 2025. június 2-án bejelentett együttműködése célja, hogy egységesítse a különböző kiberfenyegetési szereplők elnevezéseit, ezzel csökkentve a biztonsági közösségben tapasztalható zavart és javítva a reagálási időket. A két vállalat közösen publikált egy referenciaútmutatót, amely több mint 80 ismert fenyegetési szereplőt térképez fel, összekapcsolva a Microsoft és a CrowdStrike által használt elnevezéseket. Például a Microsoft által Midnight Blizzard-ként ismert csoport a CrowdStrike-nál COZY BEAR néven szerepel.
