Trace Id is missing

In prima linea: decodificare le tecniche e le tattiche degli attori di minacce cinesi

Foto del responsabile della strategia di Microsoft Threat Intelligence Sherrod DeGrippo

In questa interessante intervista, Sherrod DeGrippo, uno specialista di intelligence sulle minacce con più di 19 anni di esperienza, illustra in modo approfondito il settore dello spionaggio informatico. Con Judy Ng e Sarah Jones, due formidabili esperte dedicate a sbrogliare la rete intricata delle minacce informatiche provenienti dalla Cina, chiarisce le attività segrete all'interno del panorama delle minacce moderne. Insieme, descrivono le difficoltà affrontate da chi protegge il nostro mondo interconnesso. Questi detective digitali metteranno a tua disposizione la loro straordinaria esperienza e ti riveleranno informazioni non rese pubbliche mentre parleranno del settore nascosto del campo di battaglia informatico della Cina.

Sarah Jones

Come Senior Threat Analyst, analizzo gruppi APT (Advanced Persistent Threat) che hanno origine in Cina e lavorano per conto del governo cinese. Monitoro lo sviluppo di malware nel tempo ed eseguo ricerche sui metodi che utilizzano per creare infrastrutture e compromettere le reti colpite. Prima di entrare nel team di Microsoft Threat Intelligence, mi occupavo principalmente della Cina, ma mi sono dedicata anche a gruppi iraniani e russi.

Per gran parte della mia carriera, soprattutto agli inizi, ho lavorato in centri di operazioni per la sicurezza e mi sono concentrata sulla sicurezza interna per le reti governative e aziendali.

Uno degli aspetti principali dello studio di gruppi di attori di minacce cinesi è la capacità di monitorarli per lunghi periodi di tempo. È molto interessante poter cercare gruppi di cui mi sono occupata 10 anni fa e vedere la loro evoluzione nel tempo.

Judy Ng

Come Sarah, anch'io sono Senior Threat Analyst e sfrutto l'analisi geopolitica basata sull'analisi delle minacce informatiche. Da 15 anni analizzo gli attori che si trovano in Cina da diversi punti di vista: ad esempio, rivestendo ruoli a supporto del governo statunitense, posizioni all'interno di startup, ruoli diversi in varie aziende americane e, naturalmente, da Microsoft, dove lavoro dal 2020.

Ho iniziato concentrandomi sulla Cina perché mi ha sempre affascinato. All'inizio della mia carriera, questo interesse mi ha aiutato ad avere un contesto che sfuggiva ai colleghi che non capivano alcune sfumature della lingua o della cultura cinesi.

Penso che una delle mie prime domande è stata: "Judy, cosa significa "meat chicken"? Che vuol dire "meat chicken" in cinese?

La risposta era "botnet". "Meat chicken" era lo slang cinese che gli attori di minacce usavano nei forum online per descrivere le botnet zombie.

Judy Ng

In questo lavoro, non fai ogni giorno le stesse cose. È esilarante. Puoi sfruttare tutti i potenti segnali che riceve Microsoft e lasciarti semplicemente guidare dai dati.

Non ti annoi mai con i set di dati. C'è sempre qualcosa da rilevare. C'è sempre qualcosa di interessante, e il fatto che la maggior parte dei nostri colleghi del team cinese sia formato da persone curiose è molto utile.

Che si tratti di una ricerca autonoma o di un'iniziativa di gruppo, è fantastico che siamo tutti curiosi e possiamo percorrere diverse strade.

Sarah Jones

Sono d'accordo con Judy. Ogni giorno presenta una serie di problemi sempre nuovi e diversi. Ogni giorno imparo a conoscere meglio uno strumento tecnologico o un nuovo software che un attore sta tentando di sfruttare. Devo tornare indietro e rileggere la documentazione se si tratta di una tecnologia o un programma software di cui non ho mai sentito parlare. A volte devo leggere la RFC (Request for Comments) per un protocollo perché gli attori di minacce stanno manipolando o usando in modo improprio alcuni suoi aspetti, e quindi devo rileggere nuovamente la documentazione originale.

Tutto questo è entusiasmante per me, e me ne occupo ogni giorno. Ogni giorno scopro un nuovo aspetto di Internet e mi impegno per tenere il passo degli attori di minacce in modo da diventare un'esperta della cosa che hanno deciso di sfruttare.

Sarah Jones

Con il COVID, abbiamo visto moltissimi cambiamenti. Per i clienti, il mondo è cambiato. Da un giorno all'altro, tutti sono rimasti a casa e hanno provato a continuare a lavorare. Molte aziende sono state costrette a riconfigurare le proprie reti e i dipendenti hanno dovuto cambiare il modo di lavorare e, naturalmente, gli attori di minacce si sono adattati a tutto questo.

Ad esempio, quando sono state introdotte per la prima volta le politiche relative al lavoro da casa, molte organizzazioni hanno dovuto consentire l'accesso da tante posizioni diverse per alcuni sistemi molto sensibili e risorse che in genere non erano disponibili al di fuori degli uffici aziendali. Gli attori di minacce hanno quindi tentato di cavalcare l'onda fingendo di essere lavoratori remoti per accedere a tali risorse.

All'inizio della pandemia di COVID, i criteri di accesso per gli ambienti aziendali dovevano essere definiti rapidamente, e a volte questo veniva fatto senza il tempo di cercare e rivedere le procedure consigliate. Tantissime organizzazioni non mettevano mano a quei criteri dalla loro implementazione iniziale, quindi gli attori di minacce oggi cercano di scoprire e sfruttare configurazioni errate e vulnerabilità.

Attaccare i computer con i malware non è più così vantaggioso. Ora la questione è ottenere password e token che consentono di accedere ai sistemi sensibili come fanno i lavoratori remoti.

Judy Ng

Non so se gli attori di minacce hanno smesso di lavorare da remoto, ma abbiamo raccolto dei dati che dimostrano che i lockdown dovuti al COVID hanno avuto un impatto sulla loro attività nelle città in cui vivevano. Indipendentemente da dove lavoravano, le loro vite hanno risentito della situazione, proprio come per chiunque altro.

A volte abbiamo potuto vedere l'effetto dei lockdown nelle varie città dall'assenza di attività nei loro computer. È stato molto interessante vedere l'impatto di tutti quei lockdown locali nei nostri dati.

Judy Ng

Ho un grande esempio, uno degli attori di minacce che abbiamo monitorato: Nylon Typhoon. Microsoft ha agito contro questo gruppo nel dicembre 2021 e ha interrotto l'infrastruttura usata per colpire Europa, America Latina e America centrale.

Nella nostra valutazione, l'attività contro le vittime probabilmente includeva operazioni di raccolta di informazioni finalizzate a fornire dati analitici sui partner coinvolti nella Nuova via della seta (Belt and Road Initiative, BRI) della Cina per progetti di infrastrutture guidati dal governo cinese a livello mondiale. Sappiamo che gli attori di minacce sponsorizzati dallo stato cinese conducono spionaggio tradizionale e spionaggio economico, e la nostra valutazione è che questa attività probabilmente prevedeva entrambi.

Non ne abbiamo la certezza assoluta perché non abbiamo prove inconfutabili. Dopo 15 anni, posso dire che trovare prove certe è difficilissimo. Quello che possiamo fare, però, è analizzare le informazioni, fornire contesto e dire "Valutiamo con questo livello di confidenza che pensiamo sia probabile per questo motivo".

Sarah Jones

Una delle principali tendenze riguarda il nuovo approccio adottato, ovvero da endpoint degli utenti e malware personalizzati agli attori che risiedono realmente nella rete, concentrando le risorse sullo sfruttamento di dispositivi perimetrali e sulla persistenza. Questi dispositivi sono interessanti perché, se qualcuno ottiene l'accesso, potrebbe rimanere lì per moltissimo tempo.

Alcuni gruppi hanno condotto analisi molto approfondite su questi dispositivi. Sanno come funziona il loro firmware. Conoscono le vulnerabilità di ogni dispositivo e sanno che molti dispositivi non supportano l'antivirus o l'accesso granulare.

Naturalmente, gli attori sanno che i dispositivi come quelli VPN ora sono come le chiavi del regno. Man mano che le organizzazioni aggiungono livelli di sicurezza come token, autenticazione a più fattori (MFA) e criteri di accesso, gli attori stanno diventando sempre più abili nel trovare delle soluzioni alternative per eludere le difese.

Penso che molti attori hanno capito che se sono in grado di mantenere una persistenza a lungo termine in un dispositivo come uno VPN, non hanno davvero bisogno di distribuire malware ovunque. È sufficiente che riescano ad accedere come qualsiasi utente.

In pratica, ottengono l'accesso in "god-mode" alla rete compromettendo questi dispositivi perimetrali.

Abbiamo rilevato anche un'altra tendenza: gli attori stanno usando Shodan, Fofa o qualsiasi tipo di database che scansiona Internet, cataloga i dispositivi e identifica diversi livelli di patch.

Inoltre, gli attori stanno scansionando grandi fette di Internet (a volte da elenchi di target esistenti) alla ricerca di cose che possono essere sfruttate. Quando trovano qualcosa, eseguono un'altra analisi per sfruttare effettivamente il dispositivo, per poi tornare in un secondo momento per accedere alla rete.

Sarah Jones

Entrambi. Dipende dall'attore. Alcuni attori sono responsabili per un determinato Paese. È il loro set di target, quindi tutto ciò che gli interessa sono i dispositivi di quel Paese. Ma altri attori hanno insiemi di target funzionali, quindi si concentrano su settori specifici come finanza, energia o produzione. In diversi anni creano un elenco di target formato da aziende che gli interessano, e questi attori sanno esattamente quali dispositivi e software vengono usati dai loro target. Alcuni attori analizzano un elenco di target predefinito per vedere se tali target hanno eseguito un aggiornamento per risolvere una vulnerabilità particolare.

Judy Ng

Gli attori possono essere molto mirati, metodici e precisi, ma a volte anche un po' fortunati. Dobbiamo ricordare che sono esseri umani. Quando svolgono le loro analisi o acquisiscono dati con un prodotto commerciale, a volte hanno solo un po' di fortuna e ottengono le informazioni giuste fin dall'inizio, cosa che li aiuta a lanciare il loro attacco.

Sarah Jones

Assolutamente. Ma la difesa giusta è più che una semplice applicazione di patch. La soluzione più efficace sembra semplice, ma è molto difficile metterla in pratica. Le organizzazioni devono capire ed effettuare un inventario dei loro dispositivi esposti a Internet. Devono conoscere i perimetri della loro rete, e sappiamo che è particolarmente difficile farlo negli ambienti ibridi con dispositivi cloud e locali.

La gestione dei dispositivi non è semplice, e non voglio fare finta che lo sia, ma conoscere i dispositivi sulla rete (e i livelli di patch per ognuno di loro) è il primo passo da compiere.

Quando conosci quello che hai, puoi aumentare le capacità di registrazione e la telemetria da quei dispositivi. Cerca a tutti i costi la granularità nei registri. Questi dispositivi sono difficili da proteggere. La cosa migliore da fare per difendere la rete di questi dispositivi è registrare e cercare eventuali anomalie

Judy Ng

Vorrei avere una sfera di cristallo per sapere quali sono i piani del governo cinese. Purtroppo non ce l'ho. Ma quello che possiamo vedere è probabilmente il desiderio di accedere alle informazioni.

Ogni stato vuole questo.

Ci piacciono anche le nostre informazioni. Ci piacciono i nostri dati.

Sarah Jones

Judy è la nostra esperta di geopolitica e della Nuova via della seta (Belt and Road Initiative, BRI). Ci affidiamo alle sue informazioni dettagliate quando analizziamo le tendenze, soprattutto nel targeting. A volte vediamo emergere un nuovo target e non ha molto senso. Non coincide con i dati precedenti, quindi lo facciamo presente a Judy, che ci dice che magari c'è un'importante riunione economica in questo Paese o che sono in corso negoziazioni sulla costruzione di una nuova fabbrica in questa area geografica.

Judy ci fornisce un contesto prezioso, un contesto essenziale, sul perché gli attori di minacce fanno quello che fanno. Tutti sappiamo come usare Bing Translate, e tutti sappiamo come cercare notizie di cronaca, ma quando qualcosa non ha senso, Judy può dirci che effettivamente la traduzione significa questo, e ciò può fare davvero la differenza.

Il monitoraggio degli attori di minacce cinesi richiede conoscenze culturali su come è strutturato il governo e su come vengono gestite le aziende e le istituzioni. Il lavoro di Judy aiuta a chiarire la struttura di queste organizzazioni e ci dice come funzionano, come guadagnano e interagiscono con il governo cinese.

Judy Ng

Come ha detto Sara, è la comunicazione. Siamo tutti nella chat di Teams. Condividiamo sempre le informazioni dettagliate ottenute dalla telemetria che ci hanno permesso di raggiungere una conclusione possibile.

Judy Ng

Qual è il mio trucco? Passare molto tempo su Internet e leggere. Davvero, penso che una delle cose più importanti sia semplicemente sapere come usare diversi motori di ricerca.

So usare Bing, ma anche Baidu e Yandex.

E questo perché diversi motori di ricerca forniscono risultati diversi. Non faccio niente di speciale, ma so cercare diversi risultati da fonti diverse per analizzare i dati da lì.

Tutti i membri del team sono molto esperti. Tutti hanno superpoteri: basta solo sapere a chi chiedere. Ed è fantastico lavorare in un team dove nessuno ha paura di fare domande agli altri, vero? Diciamo sempre che non esistono domande stupide.

Sarah Jones

Questo posto è basato sulle domande stupide.

Sarah Jones

Ora è il momento perfetto per interessarsi alla sicurezza IT. Quando ho iniziato io, non c'erano molti corsi o risorse o modi di esplorare. Ora ci sono programmi per studenti universitari e master! Ora sono disponibili tanti modi per imparare questo lavoro. Sì, ci sono percorsi che possono costare molto, ma ne esistono alcuni anche più economici o gratuiti.

Una risorsa di formazione sulla sicurezza gratuita è stata sviluppata da Simeon Kakpovi e Greg Schloemer, i nostri colleghi di Microsoft Threat Intelligence. Questo strumento, chiamato KC7, rende accessibile per tutti la sicurezza IT, la comprensione della rete e la ricerca di attori di minacce.

Ora è possibile trovare informazioni su qualsiasi argomento. Quando ho iniziato io, dovevi lavorare in un'azienda che aveva un budget di milioni di dollari per permettersi questi strumenti. Per molte persone, questo rappresentava un ostacolo. Ma ora chiunque può analizzare campioni di malware. Era difficile trovare campioni di malware e acquisizioni pacchetti. Ma quelle barriere stanno crollando. Oggi, ci sono così tanti strumenti e risorse gratis e online dove si può imparare autonomamente.

Il mio consiglio è di scoprire l'ambito specifico che ci interessa. Vuoi fare ricerche sul malware? Analisi forensi digitali? Intelligence sulle minacce? Punta ai tuoi argomenti preferiti, sfrutta le risorse pubblicamente disponibili e impara il più possibile grazie ad esse.

Judy Ng

la cosa più importante da fare è essere curiosi. Oltre alla curiosità, bisogna anche saper collaborare con gli altri. Bisogna ricordare che questo è uno sport di squadra: nessuno può occuparsi di cybersecurity da solo.

È importante riuscire a lavorare in team. È importante essere curiosi e disposti a imparare. Bisogna sentirsi a proprio agio nel fare domande e saper trovare dei modi per lavorare con i colleghi.

Sarah Jones

È verissimo. Voglio sottolineare che Microsoft Threat Intelligence lavora con molti team partner in Microsoft. Ci basiamo molto sull'esperienza dei nostri colleghi per comprendere cosa stanno facendo gli attori e perché lo stanno facendo. Non potremmo svolgere il nostro lavoro senza di loro.

Articoli correlati

Volt Typhoon attacca l'infrastruttura critica statunitense con tecniche Living off the Land

È stato riscontrato che Volt Typhoon, l'attore di minacce sponsorizzato dallo stato cinese, utilizza tecniche clandestine per attaccare l'infrastruttura critica statunitense, fare spionaggio e introdursi in ambienti compromessi.

Inserire l'intelligence sulle minacce informatiche nel contesto geopolitico

L'esperta di intelligence sulle minacce Fanta Orr spiega in che modo l'analisi dell'intelligence sulle minacce sveli il "perché" dietro l'attività di minaccia informatica e contribuisca a proteggere i clienti che potrebbero essere dei target vulnerabili.

L'igiene informatica di base previene il 98% degli attacchi

Un'igiene informatica di base rimane il modo migliore per difendere le identità, i dispositivi, i dati, le app, l'infrastruttura e le reti di un'organizzazione da circa il 98% di tutte le minacce informatiche. Scopri suggerimenti pratici in una guida completa.

Segui Microsoft Security