I dette fengslende intervjuet gjennomfører Sherrod DeGrippo, en erfaren trusselinformasjonekspert med over 19 års erfaring, et dypdykk i cyberspionasjens verden. Sammen med Judy Ng og Sarah Jones, to formidable spesialister dedikert til å løse opp det intrikate nettet av cybertrusler som kommer fra Kina, setter de fokuset på skjulte aktiviteter i det moderne trussellandskapet. Sammen diskuterer de utfordringer som de som beskytter vår sammenkoblede verden, støter på. Gjør deg klar for å fordype deg i de historiene som ikke blir fortalt, og den ekstraordinære ekspertisen til disse digitale detektivene mens de navigerer i den skjulte verdenen til Kinas cyberslagmark.
På frontlinjen: Dekoding av kinesisk trusselaktørtaktikk og -teknikker
Sarah Jones
Som senior trusselanalytiker etterforsker jeg APT (avansert vedvarende trussel) -grupper som kommer fra Kina og jobber på vegne av kinesiske myndigheter. Jeg sporer utviklingen deres av skadelig programvare over tid og etterforsker metodene for å lage infrastruktur- og kompromitterende offernettverk. Før jeg ble med i Microsoft trusselinformasjon, fokuserte jeg hovedsakelig på Kina, men jeg har også jobbet med iranske og russiske grupper.
I løpet av det meste av bakgrunnen min, særlig tidlig i karrieren, jobbet jeg i sikkerhetsoperasjonssentre og fokuserte på intern sikkerhet for myndighets- og bedriftsnettverk.
Én av de beste tingene med å studere kinesiske trusselaktørgrupper, er muligheten til å spore dem over lange tidsperioder. Det er veldig interessant å kunne etterforske grupper som jeg husker fra 10 år tilbake, og se utviklingen over tid.
Judy Ng
Som Sarah er jeg også en senior trusselanalytiker som bruker geopolitisk analyse i tillegg til cybertrusselanalyse. Jeg har fulgt aktører i Kina fra ulike perspektiver de siste 15 årene i karrieren min – blant annet roller som støtter amerikanske myndigheter, stillinger i nyetableringer, ulike steder i det korporative USA, og selvsagt i Microsoft, hvor jeg har vært siden 2020.
Jeg startet med fokus på Kina fordi jeg alltid har vært interessert i landet. Tidlig i karrieren min hjalp denne interessen meg med å se sammenhenger som ikke kollegene mine så, fordi de ikke forstod alle nyansene i Kinas språk og kultur.
Jeg tror ett av de første spørsmålene mine var: «Judy, hva er ‘kjøttkylling’? Hva betyr ‘kjøttkylling’ på kinesisk?»
Svaret var «botnett». «Kjøttkylling» var kinesisk slang som trusselaktørene brukte på nettfora for å beskrive zombie-botnett
Judy Ng
I dette arbeidet gjør du aldri det samme arbeidet hver dag. Det er veldig spennende. Du kan dra nytte av alle de kraftfulle signalene som Microsoft får, og la dataene veilede deg.
Du kjeder deg aldri av datasettet her. Du vil aldri si «Åh, det er ingenting å jakte på.». Det kommer alltid til å være noe av interesse, og det hjelper at resten av medlemmene i Kina-teamet er en nysgjerrig gjeng.
Enten det er selvbetjent veiledning eller en gruppe som ser på et subjekt, er det godt at vi alle er nysgjerrige og kan bevege oss i ulike retninger.
Sarah Jones
Jeg må si meg enig med Judy. Hver dag kommer med et nytt og annerledes sett av problemer. Hver dag lærer jeg om ny teknologi eller ny programvare som en aktør prøver å utnytte. Da må jeg gå tilbake og lese dokumentasjonen hvis det er en teknologi eller programvare jeg aldri har hørt om. Noen ganger må jeg lese forespørselen om kommentarer for en protokoll fordi trusselaktørene manipulerer eller misbruker et aspekt ved det, og det krever at jeg går tilbake til den opprinnelige dokumentasjonen og leser den.
Disse tingene synes jeg er veldig spennende, og jeg får jobbe med dem daglig. Hver dag lærer jeg om nye aspekter ved internett som jeg aldri før har hørt om, og jeg må ta igjen trusselaktørene slik at jeg kan bli ekspert på det de har bestemt seg for å utnytte.
Sarah Jones
Da COVID kom, opplevde vi mange endringer. For kundene har verden endret seg. Over natten dro alle hjem og prøvde å fortsette å gjøre jobben sin. Vi så hvordan en rekke bedrifter måtte konfigurere nettverkene sine helt på nytt, og vi så ansatte som endret måten de jobbet på, og vi så selvsagt trusselaktørene respondere på alt dette.
For eksempel da hjemmekontor-policyene først ble implementert, måtte mange organisasjoner aktivere tilgang fra mange ulike plasseringer, til noen veldig sensitive systemer og ressurser som ikke vanligvis var tilgjengelige utenfor bedriftsnettverkene. Vi så deretter hvordan trusselaktører prøvde gå i ett med omgivelsene og late som om de var eksterne arbeidere, som dermed fikk tilgang til disse ressursene.
Da COVID kom for første gang, måtte tilgangspolicyer for virksomhetsmiljøer etableres raskt, og noen ganger ble de opprettet uten tid til å etterforske og gjennomgå anbefalte fremgangsmåter. Ettersom så mange organisasjoner ikke har gjennomgått disse policyene siden den første utrullingen, ser vi at dagens trusselaktører prøver å oppdage og utnytte feilkonfigurasjoner og sårbarheter.
Å plassere skadelig programvare på stasjonære datamaskiner har ikke så stor verdi lenger. Nå handler det om å få passord og tokener som gir tilgang til sensitive systemer, på samme måte som eksterne arbeidere får.
Judy Ng
Jeg vet ikke om trusselaktørene kunne jobbe hjemmefra, men vi har data som gir innsikt i hvordan COVID-nedstengningen påvirket aktiviteten deres, i byene der de bodde. Uansett hvor de gjorde arbeidet, ble livene deres påvirket – på samme måte som alle andre.
Noen ganger kunne vi se effekten av nedstengninger i hele byer, grunnet mangelen på dataaktivitet. Det var så interessant å se effekten av alle disse distriktsomfattende nedstengningene i dataene våre.
Judy Ng
Jeg har et godt eksempel – en av trusselaktørene vi sporer, Nylon Typhoon. Microsoft iverksatte tiltak mot denne gruppen i desember 2021 og avbrøt infrastruktur som var rettet mot Europa, Latin-Amerika og Mellom-Amerika.
Etter vår vurdering involverte noe av offeraktiviteten sannsynligvis informasjonsinnsamlingsoperasjoner som skulle gi innsikt i partnere involvert i Belte-vei-initiativet (BRI) for infrastrukturprosjekter drevet av kinesiske myndigheter verden over. Vi vet at kinesiske statssponsede trusselaktører gjennomfører tradisjonell spionasje og økonomisk spionasje, og etter vår vurdering er denne aktiviteten sannsynligvis hos begge.
Vi er ikke 100 % sikre, for vi har ikke håndfaste bevis. Etter 15 år kan jeg si at det å finne håndfaste bevis er veldig vanskelig. Det vi kan gjøre, er å analysere informasjon, hente inn kontekst, og si «Vi vurderer med dette konfidensnivået at vi mener det er sannsynlig, basert på denne årsaken.».
Sarah Jones
En av de største trendene involverer skiftende fokus fra brukerendepunkter og tilpasset skadelig programvare til aktører som virkelig lever på kanten – og samler ressurser om utnytting av kantenheter og opprettholdelse av utholdenhet. Disse enhetene er interessante fordi hvis noen får tilgang, kan de bli der veldig lenge.
Noen grupper har gjort imponerende dypdykk i disse enhetene. De vet hvordan fastvaren deres fungerer. De kjenner sårbarhetene til alle enhetene, og de vet at mange enheter ikke støtter antivirusprogrammer eller detaljert logging.
Aktørene vet selvfølgelig at enheter som VPN-er nå er som nøkler til himmelriket. Etter hvert som organisasjoner legger til flere sikkerhetslag som tokener, godkjenning med flere faktorer (MFA) og tilgangspolicyer, blir aktørene smartere når det gjelder omgåelse og slippe gjennom forsvar.
Jeg tror mange av aktørene har innsett at hvis de er i stand til å holde ut lenge nok gjennom en enhet som en VPN, trenger de ikke egentlig å distribuere skadelig programvare. De trenger bare å gi selv tilgang så de kan logge på som en hvilken som helst bruker.
De gir rett og slett seg selv «gud-modus» på nettverket ved å kompromittere disse kantenhetene.
Vi ser også en trend der aktørene bruker Shodan, Fofa eller andre typer databaser som skanner internett, katalogenheter, og identifiserer ulike oppdateringsnivåer.
Vi ser også aktører som gjennomfører egne skanninger av store deler av internett – noen ganger fra tidligere mållister – i søken etter ting som kan utnyttes. Når de finner noe, skanner de på nytt for å faktisk utnytte enheten og deretter komme tilbake senere for å få tilgang til nettverket.
Sarah Jones
Det er begge deler. Det kommer an på aktøren. Noen aktører er ansvarlige for et bestemt land. Dette er målsettet deres, så alt de bryr seg om er enhetene i dette landet. Men andre aktører har funksjonelle målsett – slik at de fokuserer på bestemte sektorer som økonomi, energi eller produksjon. De har bygd en målliste over flere år, med selskaper de bryr seg om, og disse aktørene vet akkurat hvilke enheter og hvilken programvare målene kjører. Så vi observerer at noen aktører skanner en forhåndsdefinert målliste for å se om målene er oppdatert for en bestemt sårbarhet.
Judy Ng
Aktørene kan være veldig målrettede og metodiske og presise, men de kan også ha uflaks. Vi må huske på at de er mennesker. Når de kjører skanninger eller henter data med et kommersielt produkt, er de ofte bare heldige og får riktig sett med informasjon helt fra starten, for å få hjelp til å sette i gang en operasjon.
Sarah Jones
Dette stemmer absolutt. Men riktig type forsvar er mer enn bare oppdateringer. Den mest effektive løsningen høres enkel ut, men den er veldig vanskelig i praksis. Organisasjoner må forstå og lage lister over enhetene som er eksponert for internett. De må vite hvordan nettverksperimeterne ser ut, og vi vet at dette er spesielt vanskelig å gjøre i hybride miljøer med både skybaserte og lokale enheter.
Enhetsbehandling er ikke enkelt, og jeg skal ikke late som det er det, men å kjenne til enhetene på nettverket – og oppdateringsnivået for hver av dem – er det første skrittet du kan ta.
Så snart du vet hva du har, kan du øke loggingsfunksjonen og telemetrien fra disse enhetene. Streb etter detaljnivå i loggene. Disse enhetene er vanskelige å forsvare. Enn nettverksforsvarers beste sjanse for å forsvare disse enhetene er logging og se etter avvik
Judy Ng
Jeg skulle ønske jeg hadde en krystallkule for å se planene til kinesiske myndigheter. Dessverre har jeg ikke det. Men det vi kan se, er sannsynligvis en hunger etter tilgang til informasjon.
Alle nasjoner har denne hungeren.
Vi liker også informasjonen vår. Vi liker dataene våre.
Sarah Jones
Judy er Belte-vei-initiativ (BRI) -eksperten vår og eksperten innen geopolitikk. Vi stoler på innsikten hennes når vi ser på trender, særlig når det gjelder målretting. Noen ganger ser vi et nytt mål komme opp, og det gir ikke alltid mening. Det passer ikke med det de tidligere har gjort, så vi sender det til Judy som forteller oss at «Ah, det skal være et viktig økonomisk møte i dette landet, eller det er forhandlinger rundt byggingen av en ny fabrikk på denne plasseringen.».
Judy gir oss verdifull kontekst – essensiell kontekst – om hvorfor trusselaktører gjør det de gjør. Vi vet alle hvordan vi bruker Bing Translate, og vi vet alle hvordan vi slår opp nyhetshistorier, men når noe ikke gir mening, kan Judy fortelle oss at «Vel, denne oversettelsen betyr faktisk dette.», og det kan utgjøre hele forskjellen.
Sporing av kinesiske trusselaktører krever kulturell kunnskap om hvordan myndighetene er strukturert og hvordan selskaper og institusjoner opererer. Judys arbeid løser opp strukturen til disse organisasjonene og forteller hvordan de fungerer – hvordan de tjener penger og samhandler med kinesiske myndigheter.
Judy Ng
Som Sarah sa så er det kommunikasjon. Vi er alltid på Teams-chat. Vi deler alltid innsiktene vi har sett i telemetrien som har hjulpet oss med å jobbe mot en mulig konklusjon.
Judy Ng
Hva er trikset mitt? Masse tid brukt på internett og lesing. Helt alvorlig, så tror jeg ´én av de mest verdifulle tingene helt enkelt er å vite hvordan du bruker ulike søkemotorer.
Jeg er komfortabel med Bing, men også med Baidu og Yandex.
Og det er fordi ulike søkemotorer leverer ulike resultater. Jeg gjør ikke noe spesielt, men jeg vet at jeg må se etter ulike resultater fra ulike kilder slik at jeg kan analysere dataene derfra.
Alle på teamet har mye kunnskap. Alle har superkrefter – det gjelder bare å vite hvem du skal spørre. Og det er flott at vi arbeider på et team hvor alle er komfortable med stille hverandre spørsmål, ikke sant? Vi sier alltid at det ikke finnes dumme spørsmål.
Sarah Jones
Dette stedet drives av dumme spørsmål.
Sarah Jones
Dette er det perfekte tidspunkt for å gå inn på IT-sikkerhet. Da jeg startet, fantes det ikke mange klasser eller ressurser eller måter å utforske på. Nå finnes det både programmer både for lavere grader og master! Nå finnes det mange måter å komme inn i yrket på. Ja, det finnes veier som kan koste mye, men det finnes også veier som koster mindre og er gratis.
Én gratis sikkerhetsopplæringsressurs ble utviklet av Simeon Kakpovi og Greg Schloemer, våre kolleger hos Microsoft trusselinformasjon. Dette verktøyet kalles KC7, og gjør det å få kjennskap til IT-sikkerhet, forstå nettverk og vertshendelser, og å jakte på aktører tilgjengelig for alle.
Nå er det også mulig å få innblikk i alle slags emner. Da jeg startet, måtte man jobbe hos selskaper som hadde budsjetter på mange millioner dollar, for å få råd til disse verktøyene. For mange var dette en tilgangsbarriere. Men nå kan hvem som helst analysere skadelig programvare-eksempler. Det pleide å være vanskelig å finne eksempler på skadelig programvare og pakkefangst. Men disse barrierene forsvinner. I dag finnes det så mange kostnadsfrie og nettbaserte verktøy og ressurser hvor du kan lære på egenhånd og i ditt eget tempo.
Mitt råd er å finne ut hvilken nisje som driver interessen din. Vil du etterforske skadelig programvare? Digital kriminalteknikk Trusselinformasjon? Rett oppmerksomheten mot favorittemnene dine, og utnytt offentlig tilgjengelige ressurser, og lær så mye du kan med disse.
Judy Ng
Det viktigste er å være nysgjerrig, ikke sant? I tillegg til å være nysgjerrig må du samarbeide bra med andre. Du må huske at dette er en lagidrett – ingen kan stå for cybersikkerheten alene.
Det er viktig å kunne jobbe i team. Det er viktig å være nysgjerrig og åpen for å lære. Du må være komfortabel med å stille spørsmål og finne måter å jobbe med andre teammedlemmer på.
Sarah Jones
Det er definitivt sant. Jeg vil understreke at Microsoft trusselinformasjon jobber med mange partnerteam hos Microsoft. Vi stoler i stor grad på ekspertisen til kollegene våre, for å få hjelp til å forstå hva aktørene gjør, og hvorfor de gjør det. Vi kunne ikke gjort jobben vår uten dem.
Følg Microsoft Sikkerhet