I dette fængende interview dykker Sherrod DeGrippo, en erfaren ekspert i oplysninger om trusler med over 19 års erfaring, ned i cyberspionagens verden. Sammen med Judy Ng og Sarah Jones, to formidable specialister, der er dedikerede til at bringe orden i det indviklede net af cybertrusler fra Kina, sætter de fokus på lyssky aktiviteter i det moderne trusselslandskab. Sammen beretter de om de udfordringer, som de, der beskytter vores tværforbundne verden, står overfor. Forbered dig på et dybdegående indblik i de ufortalte historier og den ekstraordinære ekspertise fra disse digitale detektiver, når de navigerer i den kinesiske cyberslagmarks skjulte verden.
På frontlinjen: Afkodning af kinesiske trusselsaktørers taktikker og teknikker
Sarah Jones
Som en senior-trusselsanalytiker undersøger jeg APT-grupper (avanceret længerevarende trussel), der kommer fra Kina og arbejder på vegne af den kinesiske regering. Jeg sporer deres malwareudvikling over tid og researcher deres metoder til at oprette infrastruktur og kompromittere ofrenes netværk. Før jeg blev en del af Microsoft Threat Intelligence, fokuserede jeg primært på Kina, men jeg har også arbejdet med iranske og russiske grupper.
For så vidt angår hovedparten af min baggrund, særligt min tidligere karriere, arbejdede jeg i sikkerhedsdriftscentre og fokuserede på intern sikkerhed for myndigheds- og virksomhedsnetværk.
En af de gode ting ved at studere kinesiske trusselsaktørgrupper er muligheden for at spore dem over lang tid. Det er meget interessant at kunne researche grupper, som jeg husker fra 10 år siden, og se deres udvikling over tid.
Judy Ng
Ligesom Sarah er jeg også en senior-trusselsanalytiker, der gør brug af geopolitisk analyse sammen med cybertrusselsanalyse. Jeg har fulgt kinesisk baserede aktører fra forskellige perspektiver i de seneste 15 år af min karriere – herunder roller, hvor jeg støttede USA's regering, stillinger i iværksættervirksomheder, forskellige steder i det amerikanske erhvervsliv og selvfølgelig hos Microsoft, hvor jeg har været siden 2020.
Jeg kom i gang med et fokus på Kina, fordi jeg altid har været interesseret i det. Tidligt i min karriere har den interesse hjulpet mig med at give kontekst, som undgik mine kollegaers opmærksomhed. De har måske ikke forstået nogle af nuancerne af kinesisk sprog og kultur.
Jeg tror, at et af mine første spørgsmål var: "Judy, hvad er 'kødkylling'? Hvad betyder 'kødkylling' på kinesisk?"
Svaret var "botnet". "Kødkylling" var det kinesiske slang, som trusselsaktører brugte på internetfora for at beskrive zombiebotnet
Judy Ng
I dette arbejde gør du ikke det samme hver dag. Det er spændende. Du kan gøre brug af alle de kraftige signaler, Microsoft får, og blot lade dataene guide dig.
Du keder dig aldrig med datasættet her. Du kommer aldrig til at sige: "Nå, der er ikke noget at jage". Der vil altid være noget interessant, og det hjælper, at de fleste af vores teammedlemmer på Kina-teamet er en samling nysgerrige personer.
Uanset om det er selvguidet jagt eller en gruppeindsats med at se nærmere på et emne, er det bare godt at vi alle er nysgerrige og kan undersøge i forskellige retninger.
Sarah Jones
Jeg er enig med Judy. Hver dag er en ny dag og har sit eget problemsæt. Hver dag lærer jeg om et nyt stykke teknologi eller software, som en aktør forsøger at udnytte. Jeg skal derefter gå tilbage og læse dokumentationen, hvis det er en teknologi eller et softwareprogram, som jeg aldrig har hørt om. Nogle gange skal jeg læse RFC'er (Request For Comments) for en protokol, fordi trusselsaktøren manipulerer eller misbruger et aspekt af den, og det kræver, at jeg skal gå tilbage til den oprindelige dokumentation og læse den.
Disse ting er meget spændende for mig, og jeg får lov til at arbejde med dem hver dag. Hver dag får jeg lov til at lære om et nyt aspekt af internettet, som jeg aldrig før har hørt om, for derefter at indgå i et kapløb om at indhente trusselsaktørerne, så jeg kan blive en ekspert i den ting, de har valgt at udnytte.
Sarah Jones
Med COVID oplevede vi mange ændringer. For kunderne er verden forandret. Natten over tog alle hjem og forsøgte at blive ved med at udføre deres arbejde. Vi så, at mange virksomheder helt måtte omkonfigurere deres netværk, og vi så, at medarbejderne ændrede deres måde at arbejde på, og selvfølgelig så vi vores trusselsaktører reagere på alt det.
Da politikker for arbejde hjemmefra først blev udrullet, måtte mange organisationer f.eks. aktivere adgang fra mange forskellige lokationer til nogle meget følsomme systemer og ressourcer, der normalt ikke var tilgængelige uden for virksomhedens kontorer. Vi så, at trusselsaktører derefter forsøgte at blande sig med støjen, hvor de foregav at være fjernarbejdere, som tilgik disse ressourcer.
Da COVID først ramte, skulle der hurtigt etableres adgangspolitikker for virksomhedsmiljøer, og nogle gange skete det uden tid til at researche og gennemse bedste praksisser. Fordi så mange organisationer ikke har genbesøgt disse politikker siden den oprindelige udrulning, ser vi i dag, at trusselsaktører forsøger at finde og udnytte fejlkonfigurationer og sårbarheder.
Der er ikke længere så værdifuldt at placere malware på computere. Nu handler det om at få adgangskoder og tokens, der giver adgang til følsomme systemer på samme måde, som fjernarbejdere har det.
Judy Ng
Jeg ved ikke, om trusselsaktørerne fik mulighed for at arbejde hjemmefra, men vi har data, der giver noget indsigt i, hvordan COVID-nedlukninger påvirkede deres aktivitet i de byer, de boede i. Uanset hvor de arbejdede, blev deres liv påvirket – ligesom med alle andre.
Nogle gange kunne vi se effekten af nedlukninger af hele byer i form af manglende aktivitet på deres computere. Det var også interessant at se virkningen af alle disse rullende nedlukninger af hele distrikter i vores data.
Judy Ng
Jeg har et godt eksempel – en af de trusselsaktører, vi sporer, Nylon Typhoon. Microsoft reagerede mod denne gruppe i december 2021 og forstyrrede infrastruktur, der bruges til at målrette mod Europa, Latinamerika og Centralamerika.
Efter vores vurdering involverede noget offeraktivitet efterretningsindhentningsoperationer, hvis formål var at give indsigt om partnere, der var involveret i Kinas Belt and Road Initiative (BRI) for kinesiske statsstyrede infrastrukturprojekter jorden over. Vi ved, at kinesiske statssponsorerede trusselsaktører udfører traditionel spionage og økonomisk spionage, og vores vurdering er, at denne aktivitet sandsynligvis omfattede begge.
Vi er ikke 100 % sikre, for vi har ikke et afgørende bevis. Efter 15 år kan jeg fortælle, at det er meget svært at finde det afgørende bevis. Men det, vi trods alt kan gøre, er at analysere oplysninger, indføre kontekst, og sige: "Vi vurderer med dette tillidsniveau, at vi mener, at det er sandsynligt, af denne årsag".
Sarah Jones
En af de største tendenser involverer skift af fokus fra brugerslutpunkter og tilpasset malware, til aktører, der virkelig bevæger sig på kanten – de koncentrer ressourcer om udnyttelse af kantenheder og opretholdelse af tilstedeværelse. Disse enheder er interessante, for hvis nogen få adgang, kan de blive der i meget lang tid.
Nogle grupper har foretaget imponerende dybdegående undersøgelser af disse enheder. De ved, hvordan deres firmware virker. De kender de sårbarheder, hver enhed har, og de ved, at mange enheder ikke understøtter antivirus eller granulær logføring.
Selvfølgelig ved aktører, at enheder såsom VPN'er nu er som nøgler til kongeriget. Efterhånden som organisationer tilføjer sikkerhedslag, f.eks. tokens, multifaktorgodkendelse (MFA) og adgangspolitikker, bliver aktører gode til at omgå og bevæge sig gennem forsvarslinjerne.
Jeg tror, at det er gået op for mange aktører, at hvis de kan opretholde en langvarig tilstedeværelse via en enhed såsom en VPN, behøver de ikke at udrulle malware nogen steder. De kan blot give dem selv adgang, som lader dem logge ind som enhver bruger.
De giver i bund og grund dem selv "gud-tilstand" på netværket ved at kompromittere disse kantenheder.
Vi ser også en tendens, hvor aktører bruger Shodan, Fofa eller en anden slags database, der scanner internettet, katalogiserer enheder og identificerer patchniveauer.
Vi ser også, at aktører udfører deres egne scanninger af store dele af internettet – nogle gange fra mållister, der allerede eksisterer – når de søger efter ting, der kan udnyttes. Når de finder noget, foretager de endnu en scanning for faktisk at udnytte enheden, for at komme tilbage senere for at få adgang til netværket.
Sarah Jones
Det er begge. Det afhænger af aktøren. Nogle aktører er ansvarlige for et givet land. Det er deres målsæt, så de er kun interesserede i enheder i det land. Men andre aktører har funktionelle målsæt – så de vil fokusere på specifikke sektorer, f.eks. finans, energi eller fremstilling. De vil have opbygget en målliste i løbet af flere år, bestående af virksomheder, de er interesserede i, og disse aktører ved præcis, hvilke enheder og hvilken software, deres mål kører. Så vi observerer, at nogle aktører scanner en forhåndsdefineret målliste for at se, om målene er blevet patchet for en bestemt sårbarhed.
Judy Ng
Aktører kan være meget målrettede, systematiske og præcise, men nogle gange har de intet held. Vi skal huske, at de er mennesker. Når de kører deres scanninger og henter data med et kommercielt produkt, er de nogle gange heldige og får den rigtige samling oplysninger lige starten, som hjælper med at søsætte deres operation.
Sarah Jones
Det er præcis det. Men det rigtige forsvar er mere end blot patching. Den mest effektive løsning lyder enkel, men den er svær i praksis. Organisationer skal forstå og føre opgørelse over deres enheder, som er eksponeret mod internettet. De skal vide, hvordan deres netværksparametre ser ud, og vi ved, at det er særligt svært at gøre i hybride miljøer med enheder både i cloud og i det lokale miljø.
Enhedshåndtering er ikke nemt, og jeg vil ikke foregive, at det er nemt, men det første skridt, du kan tage, er at være bekendt med enhederne på dit netværk – og patchniveauerne for hver enkelt af dem.
Når du ved, hvad du har, kan du øge logføringsfunktionaliteten med telemetrien fra disse enheder. Stræb efter granulære logfiler. Disse enheder er besværlige at forsvare. En netværksforsvarers bedste bud på at forsvare disse enheder er logføring og at være på udkig efter uregelmæssigheder
Judy Ng
Jeg ville ønske, at jeg havde en krystalkugle, der kunne fortælle, hvad den kinesiske regerings planer er. Men det har jeg desværre ikke. Men det, vi kan se, er muligvis en appetit på adgang til oplysninger.
Alle nationer har den appetit.
Vi kan også lide vores oplysninger. Vi kan lide vores data.
Sarah Jones
Judy er vores Belt and Road Initiative-ekspert (BRI) og geopolitiske ekspert. Vi gør brug af hendes indsigt, når vi ser på tendenser, særligt for målretning. Nogle gange ser vi et nyt mål dukke op, og det giver ikke rigtig mening. Det passer ikke ind i det, vi tidligere har gjort, og så nævner vi det for Judy, som siger til os: "Åh ja, der finder et vigtigt økonomisk møde sted i dette land, eller der er forhandlinger om opførslen af en ny fabrik på denne placering".
Judy giver os værdifuld kontekst – essentiel kontekst – om hvorfor trusselsaktører gør det, de gør. Vi ved alle, hvordan man bruger Bing Translate, og vi ved alle, hvordan man søger efter nyhedshistorier, men når noget ikke givet mening, kan Judy fortælle os: "Ja, den oversættelse betyder faktisk dette", og det kan være den afgørende forskel.
Sporing af kinesiske trusselsaktører kræver kulturel viden om, hvordan deres regering er struktureret, og hvordan deres virksomheder og institutioner opererer. Judys arbejder hjælper os med at forstå disse organisationers struktur og hvordan de fungerer – hvordan de tjener penge og interagerer med den kinesiske regering.
Judy Ng
Som Sarah sagde, er det kommunikation. Vi er altid på Teams-chat. Vi deler altid de indsigter, vi kan have set fra telemetri, som hjalp os med at arbejde hen mod en mulig konklusion.
Judy Ng
Hvad er mit trick? Masser af hæng ud-tid på internettet og læsning. Mere seriøst, jeg mener, at den mest værdifulde ting er blot at vide, hvordan man bruger forskellige søgemaskiner.
Jeg har det godt med Bing, men også med Baidu og Yandex.
Og der er fordi, forskellige søgemaskiner leverer forskellige resultater. Jeg gør ikke noget særligt, men jeg ved, hvordan man leder efter forskellige resultater fra forskellige kilder, så jeg kan analysere data derfra.
Alle på teamet er meget vidende. Alle har superkræfter – det handler blot om at vide, hvem du skal spørge. Og det er fantastisk, at vi arbejder på et team, hvor alle er komfortable med at stille hinanden spørgsmål, ikke? Vi siger altid, at der ikke findes dumme spørgsmål.
Sarah Jones
Dette sted er drevet af dumme spørgsmål.
Sarah Jones
Nu er den rette tid til at blive en del af it-sikkerhed. Da jeg i sin tid startede, var der ikke megen undervisning eller mange ressourcer eller måder at udforske på. Nu er der bachelor- og kandidatprogrammer! Nu er der mange måder at komme ind i den profession på. Ja, der er veje, der kan koste mange penge, men der findes også billigere og gratis veje.
Én gratis ressource til oplæring i sikkerhed blev udviklet af Simeon Kakpovi og Greg Schloemer, vores kollegaer hos Microsoft Threat Intelligence. Dette værktøj ved navn KC7 gør det muligt for alle at komme ind i it-sikkerhed, forstå netværk og værtshændelser og jage aktører.
Nu er det også muligt at blive eksponeret for alle slags forskellige emner. Da jeg først startede, skulle du arbejde for en virksomhed, der havde et budget på flere millioner dollars, for at have råd til disse værktøjer. For mange var det en adgangshindring. Men nu kan alla analysere malwareprøver. Det var førhen svært at finde malwareprøve og pakkeopsamlinger. Men disse barrierer forsvinder. I dag er der så mange gratis onlineværktøjer og -ressourcer, hvor du kan lære selv i dit eget tempo.
Mit råd er at finde ud af, hvilken niche du er interesseret i. Vil du udføre malwareresearch? Digital efterforskning? Oplysninger om trusler? Find frem til dine favoritemner, og gør brug af offentligt tilgængelige ressourcer, og lær så meget som muligt med dem.
Judy Ng
Det vigtigste er at være nysgerrig, ikke sandt? Foruden at være nysgerrig skal du samarbejde godt med andre. Du skal huske, at dette er en holdsport – ingen kan udføre cybersikkerhed alene.
Det er vigtigt at kunne arbejde på et team. Det er vigtigt at være nysgerrig og åben for at lære. Du skal være komfortabel med at stille spørgsmål og finde måder at samarbejde med dine teammedlemmer på.
Sarah Jones
Det er så sandt, som det er sagt. Jeg vil gerne understrege, at Microsoft Threat Intelligence samarbejder med mange partnerteams hos Microsoft. Vi er dybt afhængige af vores kollegaers ekspertise som en hjælp til at forstå, hvad aktører laver, og hvorfor de gør det. Vi kunne ikke udføre vores arbejde uden dem.
Følg Microsoft Security