Ebben a lebilincselő interjúban Sherrod DeGrippo, a több mint 19 éves tapasztalattal rendelkező veszélyforrás-intelligenciai szakértő mélyen elmerül a kiberkémkedés világában. Judy Ng és Sarah Jones, a Kínából származó kiberfenyegetések szövevényes hálójának kibogozására szakosodott két kiváló szakértő a modern fenyegetésekkel kapcsolatos titkos tevékenységekre hívja fel a figyelmet. Együtt vitatják meg azokat a kihívásokat, amelyekkel azok szembesülnek, akik összekapcsolt világunk védelméről gondoskodnak. Készüljön fel rá, hogy elmerüljön ezeknek a digitális nyomozóknak az elbeszélhetetlen történeteiben és rendkívüli szakértelmében, miközben a kínai kibercsatatér rejtett birodalmában navigálnak.
Az élvonalban: A kínai fenyegető szereplők taktikáinak és technikáinak dekódolása
Sarah Jones
Vezető fenyegetéselemzőként olyan APT (folyamatos komplex veszélyforrás) csoportok után kutatok, amelyek Kínából származnak és a kínai kormány nevében dolgoznak. Idővel nyomon követem a rosszindulatú szoftverek fejlődését, és kutatom az infrastruktúra létrehozására és az áldozathálózatok veszélyeztetésére szolgáló módszereiket. Mielőtt a Microsoft Veszélyforrás-intelligenciához csatlakoztam, elsősorban Kínával foglalkoztam, de dolgoztam iráni és orosz csoportokkal is.
A múltam nagy részében, különösen karrierem elején, biztonsági műveleti központokban dolgoztam, és a kormányzati és vállalati hálózatok belső biztonságára összpontosítottam.
Az egyik nagyszerű dolog a kínai fenyegető csoportok tanulmányozásában az, hogy ilyen hosszú időn keresztül nyomon lehet követni őket. Nagyon érdekes, hogy olyan csoportokat tudok kutatni, amelyekre 10 évvel ezelőttről emlékszem, és nyomon követhetem a fejlődésüket az idők során.
Judy Ng
Sarah-hoz hasonlóan én is vezető fenyegetéselemző vagyok, és a kiberfenyegetések elemzése mellett geopolitikai elemzéseket is készítek. Pályafutásom elmúlt 15 évében különböző perspektívákból követtem a kínai szereplőket – többek között az Egyesült Államok kormányát támogató szerepkörökben, startup pozíciókban, különböző amerikai vállalati pozíciókban, és természetesen a Microsoftnál, ahol 2020 óta dolgozom.
Azért kezdtem el Kínával foglalkozni, mert mindig is érdekelt. Pályafutásom elején ez az érdeklődés segített abban, hogy olyan kontextusba helyezzem a munkámat, amelyet nem vettek figyelembe olyan kollégáim, akik nem értették a kínai nyelv vagy kultúra egyes árnyalatait.
Azt hiszem, az egyik első kérdésem az volt, hogy „Judy, mi az a húsos csirke? Mit jelent a húsos csirke kínaiul?
A válasz: botnet.” A „húsos csirke” volt az a kínai szleng, amelyet a fenyegető szereplők online fórumokon használtak a zombi botnetek leírására
Judy Ng
Ebben a munkakörben nem lehet minden nap ugyanazt csinálni. Ez felemelő. Kihasználható az összes erőteljes jel, amelyet a Microsoft kap, és hagyható, hogy ezek az adatok vezessék.
Soha nem unható meg az itt található adathalmaz. Soha nem fogja azt mondani, hogy „Ó, nincs mire vadászni”. Mindig történik valami érdekes, és az is segít, hogy a legtöbb csapattársunk a kínai csapatban kíváncsi.
Akár önálló vadászatról, akár egy téma csoportos vizsgálatáról van szó, egyszerűen nagyszerű, hogy mindannyian kíváncsiak vagyunk, és különböző utakat járhatunk be.
Sarah Jones
Egyet kell értenem Judyval. Minden nap új és más problémakört jelent. Minden nap tanulok egy új technológiáról vagy új szoftverről, amelyet egy szereplő megpróbál kihasználni. Ha olyan technológiáról vagy szoftverről van szó, amelyről még sosem hallottam, akkor vissza kell lapoznom és el kell olvasnom a dokumentációt. Néha el kell olvasnom egy protokoll RFC-jét (megjegyzésekre vonatkozó kérését), mert a fenyegető szereplők manipulálják vagy visszaélnek a protokoll valamely aspektusával, és ehhez vissza kell térnem az eredeti dokumentációhoz, és el kell olvasnom.
Ezek a dolgok nagyon izgalmasak számomra, és minden nap dolgozhatok rajtuk. Minden nap megismerkedem az internet egy új aspektusával, amiről még sosem hallottam, majd versenyzek, hogy utolérjem a fenyegető szereplőket, és szakértője lehessek annak a dolognak, amit úgy döntöttek, hogy kihasználnak.
Sarah Jones
A COVID alatt sok változást tapasztaltunk. Az ügyfelek számára a világ megváltozott. Egyik napról a másikra mindenki hazament, és megpróbálta otthonról folytatni a munkáját. Láttuk, hogy sok vállalatnak teljesen át kellett alakítania a hálózatát, és láttuk, hogy az alkalmazottak megváltoztatták a munkamódszerüket, és természetesen azt is láttuk, hogy a fenyegető szereplők minderre reagáltak.
Amikor például először vezették be az otthoni munkavégzésre vonatkozó irányelveket, sok szervezetnek számos különböző helyről kellett hozzáférést biztosítania néhány nagyon bizalmas rendszerhez és erőforráshoz, amelyek általában nem voltak elérhetők a vállalati irodákon kívül. Láttuk, hogy a fenyegető szereplők megpróbáltak elvegyülni a zajban, távmunkásoknak adva ki magukat, és hozzáférni ezekhez az erőforrásokhoz.
A COVID első megjelenésekor a vállalati környezetek hozzáférési szabályait gyorsan kellett kialakítani, és néha nem volt idő az ajánlott eljárások felkutatására és áttekintésére. Mivel sok szervezet nem vizsgálta felül ezeket a szabályzatokat a kezdeti bevezetés óta, ma azt látjuk, hogy a fenyegető szereplők megpróbálják felfedezni és kihasználni a hibás konfigurációkat és biztonsági réseket.
A rosszindulatú programok asztali számítógépeken való elhelyezése már nem olyan értékes. Most arról van szó, hogy a távmunkásokhoz hasonlóan jelszavakat és tokeneket kapnak, amelyek lehetővé teszik a hozzáférést a bizalmas rendszerekhez.
Judy Ng
Nem tudom, hogy a fenyegető szereplők otthonról tudtak-e dolgozni, de vannak olyan adataink, amelyek betekintést nyújtanak abba, hogy a COVID által okozott leállások hogyan befolyásolták a tevékenységüket azokban a városokban, ahol éltek. Nem számított, hogy hol végezték a munkájukat, hatással volt az életükre – mint mindenki máséra.
Néha láthattuk a számítógépek aktivitásának hiányából eredő egész városra kiterjedő leállások hatását. Nagyon érdekes volt látni a kerületi szintű terjedő leállások hatását az adatainkban.
Judy Ng
Van egy remek példám – az egyik általunk követett fenyegető szereplő, a Nylon Typhoon. A Microsoft 2021 decemberében lépett fel a csoport ellen, és megszakította az Európát, Latin-Amerikát és Közép-Amerikát célzó infrastruktúrát.
Értékelésünk szerint az áldozatok egy része valószínűleg hírszerzési műveleteket végzett, amelyek célja az volt, hogy betekintést nyerjenek a kínai kormány által vezetett, a kínai Egy övezet, egy út kezdeményezés (BRI) keretében világszerte megvalósuló infrastrukturális projektekbe bevont partnerekbe. Tudjuk, hogy a kínai állam által támogatott fenyegető szereplők hagyományos kémkedést és gazdasági kémkedést folytatnak, és értékelésünk szerint ez a tevékenység valószínűleg mindkettőre kiterjedt.
Nem vagyunk 100%-ig biztosak benne, mert nincs bizonyítékunk. 15 év után elmondhatom, hogy nagyon nehéz megtalálni a bizonyítékokat. Amit azonban tehetünk, az az, hogy elemezzük az információkat, a környezetbe helyezzük őket, és azt mondjuk: „Megállapítjuk, hogy ez az ok valószínűsíthető”.
Sarah Jones
Az egyik legnagyobb tendencia az, hogy a hangsúly a felhasználói végpontokról és az egyéni rosszindulatú programokról a valóban a peremhálózati szereplőkre helyeződik át – az erőforrásokat a peremeszközök kihasználására és az állandóság fenntartására összpontosítják. Ezek az eszközök azért érdekesek, mert ha valaki hozzájuk fér, akkor nagyon sokáig ott maradhat.
Néhány csoport lenyűgözően mélyrehatóan vizsgálta ezeket az eszközöket. Tudják, hogyan működik a belső vezérlőprogram. Ismerik az egyes eszközök biztonsági réseit, és tudják, hogy sok eszköz nem támogatja a vírusirtást vagy a részletes naplózást.
Természetesen a szereplők tudják, hogy az olyan eszközök, mint a VPN-ek, most a királyság kulcsai. Ahogy a szervezetek olyan biztonsági rétegeket építenek be, mint a tokenek, a többfaktoros hitelesítés (MFA) és a hozzáférési szabályzatok, a szereplők egyre okosabbak a kijátszásban és a védelmen való átjutásban.
Azt hiszem, sok szereplő felismerte, hogy ha képes hosszú távon fennmaradni egy olyan eszközön keresztül, mint egy VPN, akkor nem igazán van szüksége arra, hogy rosszindulatú programokat telepítsen bárhová. Egyszerűen hozzáférést biztosíthatnak maguknak, amely lehetővé teszi számukra, hogy bármelyik felhasználóként bejelentkezzenek.
Lényegében „isten módot” adnak maguknak a hálózaton azáltal, hogy kompromittálják ezeket a peremeszközöket.
Azt a tendenciát is látjuk, hogy a szereplők a Shodant, a Fofát vagy bármilyen más adatbázist használnak, amely átvizsgálja az internetet, katalogizálja az eszközöket, és azonosítja a különböző javítási szinteket.
Azt is látjuk, hogy a szereplők saját maguk vizsgálják át az internet nagy területeit (néha már létező célpontlisták alapján), kihasználható dolgok után kutatva. Ha találnak valamit, akkor újabb ellenőrzést végeznek, hogy ténylegesen kihasználják az eszközt, majd később visszatérnek, hogy hozzáférjenek a hálózathoz.
Sarah Jones
Mindkettő. A szereplőtől függ. Egyes szereplők felelősek egy adott országért. Ez a célcsoportjuk, ezért csak az adott országban lévő eszközökkel törődnek. Más szereplők azonban funkcionális célcsoportokkal rendelkeznek, így konkrét ágazatokra, például a pénzügyekre, az energiára vagy a gyártásra összpontosítanak. Több év alatt felépítettek egy célpontlistát a számukra fontos vállalatokról, és ezek a szereplők pontosan tudják, hogy milyen eszközöket és szoftvereket futtatnak a célpontjaik. Így megfigyelhetjük, hogy egyes szereplők egy előre meghatározott célpontlistát vizsgálnak, hogy lássák, a célpontok javítottak-e egy adott biztonsági rést.
Judy Ng
A szereplők nagyon céltudatosak, módszeresek és precízek tudnak lenni, de néha szerencséjük is van. Nem szabad elfelejtenünk, hogy ők is emberek. Amikor egy kereskedelmi termékkel futtatnak vizsgálatokat vagy gyűjtenek az adatokat, néha szerencséjük van, és rögtön az elején megkapják a megfelelő információkat, amelyek segítik a műveleteik megkezdését.
Sarah Jones
Pontosan ez az. A megfelelő védelem azonban több mint egyszerű javítás. A leghatékonyabb megoldás egyszerűen hangzik, de a gyakorlatban nagyon nehéz. A szervezeteknek meg kell érteniük és leltározniuk kell az internetnek kitett eszközeiket. Tudniuk kell, hogyan néznek ki a hálózati peremterületeik, és tudjuk, hogy ez különösen nehéz a hibrid környezetekben, ahol a felhőalapú és a helyi eszközök egyaránt megtalálhatóak.
Az eszközkezelés nem könnyű, és nem is szeretnék úgy tenni, mintha az lenne, de a hálózaton lévő eszközök – és az egyes eszközök javítási szintjeinek – ismerete az első lépés, amit megtehet.
Ha tudja, hogy mivel rendelkezik, növelheti a naplózási képességet és a telemetriát ezekből az eszközökből. Törekedjen a naplók részletességére. Ezeket az eszközöket nehéz megvédeni. A hálózat megvédésének legjobb módja ezekhez az eszközökhöz a naplózás és az anomáliák megkeresése.
Judy Ng
Bárcsak meg tudnám jósolni, hogy mik a kínai kormány tervei. Sajnos nem tudom. Amit azonban láthatunk, az valószínűleg az információhoz való hozzáférés iránti vágy.
Minden nemzetnek vannak vágyai.
Mi is szeretnénk információhoz jutni. Szeretjük ismerni az adatokat.
Sarah Jones
Judy az Egy övezet, egy út kezdeményezés (BRI) szakértője és geopolitikai szakértő. Az ő meglátásaira támaszkodunk, amikor a trendeket vizsgáljuk, különösen a célzás terén. Néha látunk olyan új célpontot látunk, aminek nem igazán van értelme. Nem illik bele abba, amit korábban csináltak, ezért megkérdezzük Judyt, aki azt mondja nekünk: „Ó, ebben az országban éppen egy fontos gazdasági találkozó zajlik, vagy tárgyalások folynak egy új gyár építése körül ezen a helyen”.
Judy értékes véleményt ad a helyzetről, arról, hogy a fenyegető szereplők miért teszik azt, amit tesznek. Mindannyian tudjuk, hogyan használjuk a Bing Fordítót, és mindannyian tudjuk, hogyan nézzünk utána a híreknek, de ha valaminek nincs értelme, Judy el tudja mondani, hogy „Nos, ez a fordítás valójában ezt jelenti”, és ez jelentheti a különbséget.
A kínai fenyegető szereplők felkutatásához kulturális ismeretekre van szükség a kormányuk felépítéséről, valamint a vállalataik és intézményeik működéséről. Judy munkája segít kibogozni ezeknek a szervezeteknek a struktúráját, és megismerteti velünk, hogyan működnek – hogyan keresnek pénzt és hogyan lépnek kapcsolatba a kínai kormánnyal.
Judy Ng
Ahogy Sarah mondta, a kommunikációról szól. Mindig a Teams csevegést használjuk. Mindig megosztjuk azokat a betekintéseket, amelyeket a telemetriából láthattunk, és amelyek segítettek nekünk a lehetséges következtetések levonásában.
Judy Ng
Mi a titkom? Sok internetezés és olvasás. De komolyan, szerintem az egyik legértékesebb dolog az, ha egyszerűen tudjuk, hogyan kell használni a különböző keresőmotorokat.
Jól érzem magam a Bingen, de a Baiduban és a Yandexben is.
Ez azért van, mert a különböző keresőmotorok különböző eredményeket adnak. Nem csinálok semmi különöset, de tudom, hogy különböző forrásokból különböző eredményeket kell keresnem, hogy onnan elemezhessem az adatokat.
A csapatban mindenki sokat tud. Mindenkinek vannak szuperképességei – csak tudni kell, kit kell megkérdezni. És nagyszerű, hogy egy olyan csapatban dolgozunk, ahol mindenki nyugodtan kérdezhet a másiktól, igaz? Mindig azt mondjuk, hogy nincsenek buta kérdések.
Sarah Jones
Ezt a helyet a buta kérdések működtetik.
Sarah Jones
Itt a tökéletes alkalom az IT-biztonsággal kezelésére. Amikor először kezdtem, nem volt sok felfedeznivaló osztály, forrás vagy lehetőség. Most már vannak alap- és mesterképzések is! Ma már sokféleképpen lehet bekerülni a szakmába. Igen, vannak olyan utak, amelyek sok pénzbe kerülhetnek, de vannak olcsóbb és ingyenes utak is.
Az egyik ingyenes biztonsági képzési forrást Simeon Kakpovi és Greg Schloemer, a Microsoft Veszélyforrás-intelligencia munkatársai fejlesztették ki. Ez a KC7 nevű eszköz bárki számára elérhetővé teszi az informatikai biztonságba való bejutást, a hálózati és állomásesemények megértését és a szereplők felkutatását.
Most már lehetőség van arra is, hogy mindenféle különböző témával foglalkozzanak. Amikor én kezdtem, olyan vállalatnál kellett dolgozni, amelynek több millió dolláros költségvetése volt, hogy megengedhesse magának ezeket az eszközöket. Sokak számára ez jelentette a belépés akadályát. De most már bárki elemezhet kártevő szoftverek mintáit. Régebben nehéz volt rosszindulatú szoftvermintákat és csomagrögzítéseket találni. De ezek az akadályok most megszűnnek. Ma már rengeteg ingyenes és online eszköz és forrás áll rendelkezésre, ahol a saját tempóban tanulhat.
Azt tanácsolom, hogy találja meg azt a rést, ami érdekli. Mi a teendő a kártevőkkel kapcsolatos kutatás terén? Digitális kriminalisztika? Intelligens veszélyforrás-felderítés? Válassza ki a kedvenc témáit, használja ki a nyilvánosan elérhető forrásokat, és tanuljon minél többet ezekből.
Judy Ng
A legfontosabb dolog a kíváncsiság, igaz? A kíváncsiság mellett jól kell együttműködnöd másokkal. Nem szabad elfelejteni, hogy ez egy csapatsport – senki sem képes egyedül megoldani a kiberbiztonságot.
Fontos, hogy képes legyen csapatban dolgozni. Fontos, hogy kíváncsiak és nyitottak legyünk a tanulásra. Nem szabad aggódnia azon, hogy kérdéseket tegyen fel és megtalálja a módját, hogy együttműködjön a csapattársaival.
Sarah Jones
Ez valóban igaz. Szeretném hangsúlyozni, hogy a Microsoft Veszélyforrás-intelligencia a Microsoft számos partnercsapatával dolgozik együtt. Nagyban támaszkodunk kollégáink szakértelmére, hogy megértsük, mit és miért csinálnak a szereplők. Nélkülük nem tudnánk elvégezni a munkánkat.
A Microsoft Biztonság követése