Nesta entrevista cativante, Sherrod DeGrippo, um experiente especialista em inteligência contra ameaças com mais de 19 anos de experiência, faz um mergulho profundo no reino da espionagem cibernética. Em conjunto com Judy Ng e Sarah Jones, duas formidáveis especialistas dedicadas a desvendar a intrincada rede de ameaças cibernéticas originárias da China, eles colocam em foco as atividades secretas no cenário moderno de ameaças. Juntos, eles discutem os desafios enfrentados por aqueles que protegem nosso mundo interconectado. Prepare-se para mergulhar nas histórias não contadas e na extraordinária experiência desses detetives digitais enquanto eles navegam no reino oculto do campo de batalha cibernético da China.
Inscreva-se agora para assistir ao seminário na Web e fique por dentro dos insights do Relatório de Defesa Digital da Microsoft de 2024.
Nas linhas de frente: decodificação de táticas e técnicas de atores de ameaças chineses
Sarah Jones
Como analista de ameaças sênior, pesquiso grupos de APT (ameaças avançadas persistente) originárias da China e que trabalham em nome do governo chinês. Acompanho o desenvolvimento do malware ao longo do tempo e pesquiso seus métodos para criar infraestrutura e comprometer as redes das vítimas. Antes de ingressar nas Informações sobre ameaças da Microsoft, meu foco principal era a China, mas também trabalhei visando grupos iranianos e russos.
Na maior parte da minha experiência, especialmente no início da minha carreira, trabalhei em Centros de Operações de Segurança e me concentrei na segurança interna de redes governamentais e corporativas.
Uma das melhores coisas sobre o estudo dos grupos de atores de ameaças da China é a capacidade de rastreá-los por longos períodos de tempo. É muito interessante poder pesquisar grupos dos quais me lembro de 10 anos atrás e observar sua evolução ao longo do tempo.
Judy Ng
Assim como Sarah, também sou analista sênior de ameaças, aproveitando a análise geopolítica além da análise de ameaças cibernéticas. Acompanhei atores baseados na China sob diferentes perspectivas nos últimos 15 anos de minha carreira, incluindo funções de apoio ao governo dos EUA, posições em startups, diferentes cargos corporativos na América e, é claro, na Microsoft, onde estou desde 2020.
Comecei com foco na China porque sempre tive interesse no país. No início de minha carreira, esse interesse me ajudou a fornecer o contexto que escapava aos colegas que talvez não entendessem algumas das nuances do idioma ou da cultura chinesa.
Acho que uma de minhas primeiras perguntas foi: "Judy, o que é frango com carne? O que significa frango com carne em chinês?"
A resposta foi "botnet". "Frango com carne" era a gíria chinesa que os atores de ameaças estavam usando em fóruns online para descrever botnets zumbis
Judy Ng
Nesse trabalho, a gente simplesmente não faz a mesma coisa todos os dias. É estimulante. Você pode aproveitar todos os sinais poderosos que a Microsoft obtém e deixar que esses dados o orientem.
Você nunca ficará entediado com o conjunto de dados aqui. Você nunca dirá: "Ah, não há nada para buscar". Sempre haverá algo de interesse e ajuda o fato de a maioria dos nossos colegas na equipe sobre a China é bastante curiosa.
Seja em uma busca autoguiada ou em um esforço em grupo para analisar um assunto, é ótimo que todos nós sejamos curiosos e possamos percorrer caminhos diferentes.
Sarah Jones
Tenho que concordar com a Judy. Cada dia é um conjunto de problemas novos e diferentes. Todos os dias aprendo sobre uma nova tecnologia ou um novo software que o ator está tentando explorar. De vez em quando tenho que voltar e ler a documentação se for uma tecnologia ou um programa de software do qual nunca ouvi falar. Às vezes, preciso ler a RFC (solicitação de comentários) de um protocolo porque os atores de ameaças estão manipulando ou abusando de algum aspecto dele, e isso exige que eu volte à documentação original e a leia.
Essas coisas são realmente empolgantes para mim, e eu trabalho nelas todos os dias. Todos os dias, aprendo sobre um novo aspecto da Internet do qual nunca ouvi falar e, em seguida, corro para acompanhar os atores de ameaças para que eu possa me tornar um especialista no que eles decidiram explorar.
Sarah Jones
Com a COVID, vimos muitas mudanças. Para os clientes, o mundo mudou. Do dia para a noite, todos foram para casa e tentaram continuar trabalhando. Vimos muitas empresas tendo que reconfigurar completamente suas redes e vimos funcionários mudando a maneira como trabalhavam e, é claro, vimos nossos atores de ameaças respondendo a tudo isso.
Por exemplo, quando as políticas de trabalho em casa começaram a ser implementadas, muitas organizações tiveram que permitir o acesso de muitos locais diferentes a alguns sistemas e recursos extremamente confidenciais que normalmente não estavam disponíveis fora dos escritórios corporativos. Vimos, então, atores de ameaças tentando se misturar ao ruído, fingindo ser trabalhadores remotos e acessando esses recursos.
Quando a COVID surgiu, as políticas de acesso para ambientes corporativos tiveram de ser estabelecidas rapidamente e, às vezes, eram feitas sem tempo para pesquisar e analisar as melhores práticas. Como muitas organizações não revisaram essas políticas desde a implementação inicial, vemos hoje atores de ameaças tentando descobrir e explorar configurações incorretas e vulnerabilidades.
Colocar malware em desktops não é mais tão valioso. Agora, trata-se de obter senhas e tokens que permitam o acesso a sistemas confidenciais da mesma forma que os funcionários remotos fazem.
Judy Ng
Não sei se os atores de ameaças conseguiram trabalhar em casa, mas temos dados que fornecem algumas informações sobre como as paralisações da COVID impactaram as atividades nas cidades onde moravam. Independentemente de onde trabalhavam, suas vidas foram afetadas, assim como as de todo mundo.
Às vezes, podíamos ver o efeito dos desligamentos em toda a cidade pela falta de atividade em seus computadores. Foi muito interessante ver o impacto de todas esses desligamentos em todo o distrito em nossos dados.
Judy Ng
Tenho um ótimo exemplo, um dos atores de ameaças que rastreamos, o Nylon Typhoon. A Microsoft tomou medidas contra esse grupo em dezembro de 2021 e interrompeu a infraestrutura usada para atingir a Europa, a América Latina e a América Central.
Em nossa avaliação, algumas das atividades das vítimas provavelmente envolviam operações de coleta de inteligência destinadas a fornecer informações sobre os parceiros envolvidos na BRI (Iniciativa Cinturão e Rota) da China para projetos de infraestrutura administrados pelo governo chinês em todo o mundo. Sabemos que os atores de ameaças patrocinados pelo Estado chinês realizam espionagem tradicional e econômica, e nossa avaliação é de que essa atividade provavelmente abrangeu ambas.
Não temos 100% de certeza porque não temos uma prova do crime. Depois de 15 anos, posso lhe dizer que é muito difícil encontrar a prova do crime. No entanto, o que podemos fazer é analisar as informações, trazer o contexto e dizer: "Avaliamos com esse nível de confiança que achamos que isso é provável por esse motivo".
Sarah Jones
Uma das maiores tendências envolve a mudança de foco de pontos de extremidade de usuários e malware personalizado para atores que realmente vivem na borda, concentrando recursos na exploração de dispositivos de borda e mantendo a persistência. Esses dispositivos são interessantes porque, se alguém obtiver acesso, poderá ficar lá por muito tempo.
Alguns grupos realizaram pesquisas profundas e impressionantes sobre esses dispositivos. Eles sabem como seu firmware funciona. Eles conhecem as vulnerabilidades de cada dispositivo e sabem que muitos dispositivos não suportam antivírus ou registro em log granular.
É claro que os atores sabem que dispositivos como VPNs agora são como chaves para o reino. À medida que as organizações adicionam camadas de segurança, como tokens, MFA (autenticação multifator) e políticas de acesso, os atores estão mais espertos para contornar e escapar das defesas.
Acho que muitos atores perceberam que, se conseguirem manter a persistência a longo prazo por meio de um dispositivo como uma VPN, não precisarão implantar malware em lugar nenhum. Eles podem simplesmente conceder a si mesmos acesso que permita fazer login como qualquer usuário.
Basicamente, eles consideram que estão no "modo deus" da rede ao comprometer esses dispositivos de borda.
Também vemos uma tendência em que os atores estão usando o Shodan, o Fofa ou qualquer tipo de banco de dados que faça varredura na Internet, catalogue dispositivos e identifique diferentes níveis de patches.
Também vemos atores conduzindo suas próprias varreduras de grandes áreas da Internet, às vezes a partir de listas de alvos pré-existentes, em busca de coisas que possam ser exploradas. Ao encontrarem algo, farão outra varredura para realmente explorar o dispositivo e voltarão mais tarde para acessar a rede.
Sarah Jones
São ambos. Depende do ator. Alguns atores são responsáveis por um determinado país. Esse é o conjunto de alvos deles, portanto, só se preocupam com os dispositivos desse país. Mas outros atores têm conjuntos de alvos funcionais, portanto, eles se concentrarão em setores específicos, como finanças, energia ou manufatura. Eles terão construído uma lista de alvos ao longo de vários anos de empresas que lhes interessam, e esses atores saberão exatamente quais dispositivos e softwares seus alvos estão executando. Assim, observamos alguns atores fazendo varreduras de uma lista de alvos predefinida para ver se eles aplicaram os patches de uma determinada vulnerabilidade.
Judy Ng
Os atores podem ser muito direcionados, metódicos e precisos, mas às vezes também têm sorte. Temos que lembrar que eles são humanos. Quando executam suas varreduras ou coletam dados com um produto comercial, às vezes têm sorte e obtêm o conjunto certo de informações desde o início, o que ajuda a iniciar sua operação.
Sarah Jones
Definitivamente é isso. Mas a defesa correta é mais do que apenas aplicar patches. A solução mais eficaz parece simples, mas é muito difícil na prática. As organizações precisam entender e inventariar os dispositivos expostos à Internet. Eles precisam saber como são os perímetros de suas redes, e sabemos que isso é especialmente difícil de fazer em ambientes híbridos com dispositivos na nuvem e no local.
O gerenciamento de dispositivos não é fácil, e não vou fingir que é, mas conhecer os dispositivos em sua rede, e os níveis de patch de cada um deles, é o primeiro passo que você pode dar.
Depois de saber o que você tem, é possível aumentar a capacidade de registro em log e a telemetria desses dispositivos. Esforce-se para obter granularidade nos logs. Esses dispositivos são difíceis de defender. A melhor opção de um defensor de rede para defender esses dispositivos é o registro em logs e a busca de anomalias
Judy Ng
Eu gostaria de ter uma bola de cristal para saber quais são os planos do governo da China. Infelizmente não tenho uma. Mas o que podemos ver é provavelmente uma voracidade pelo acesso às informações.
Todas as nações têm essa voracidade.
Também gostamos das nossas informações. Gostamos de nossos dados.
Sarah Jones
Judy é nossa especialista em BRI (Iniciativa Cinturão e Rota) e geopolítica. Contamos com seus insights quando estamos analisando tendências, especialmente na escolha de alvos. Às vezes, vemos um novo alvo surgir e ele realmente não faz sentido. Não se encaixa no que eles fizeram anteriormente e, por isso, levamos o assunto para Judy, que nos dirá: "Ah, está acontecendo uma reunião econômica importante neste país ou há negociações para a construção de uma nova fábrica neste local".
Judy nos dá um contexto valioso, um contexto essencial, sobre a razão para os atores de ameaças fazerem o que fazem. Todos nós sabemos como usar o tradutor do Bing e todos sabemos como procurar notícias, mas quando algo não faz sentido, a Judy pode nos dizer: "Bem, essa tradução na verdade significa isso", o que pode fazer toda a diferença.
Rastrear os atores de ameaças chineses requer conhecimento cultural sobre como esse governo está estruturado e como as suas empresas e instituições operam. O trabalho da Judy ajuda a desvendar a estrutura destas organizações e permite-nos saber como funcionam, como ganham dinheiro e interagem com o governo chinês.
Judy Ng
Como Sarah disse, é comunicação. Estamos sempre no chat do Teams. Estamos sempre compartilhando os insights que conseguimos obter da telemetria e que nos ajudaram a chegar a uma possível conclusão.
Judy Ng
Qual é o meu truque? Muito tempo lendo e analisando a Internet. Mas, falando sério, acho que uma das coisas mais valiosas é simplesmente saber como usar diferentes mecanismos de pesquisa.
Eu me sinto confortável com o Bing, mas também com o Baidu e o Yandex.
E isso ocorre porque diferentes mecanismos de pesquisa fornecem resultados diferentes. Não estou fazendo nada de especial, mas sei que devo procurar resultados diferentes de fontes diferentes para poder analisar os dados a partir daí.
Todos na equipe são muito bem informados. Todo mundo sabe muito sobre algo, basta saber a quem pedir. E é ótimo trabalharmos em uma equipe em que todos se sentem à vontade para fazer perguntas uns aos outros, certo? Sempre dizemos que não há perguntas bobas.
Sarah Jones
Este local é alimentado por perguntas bobas.
Sarah Jones
Agora é o momento perfeito para entrar na segurança de TI. Quando comecei, não havia muitas aulas, recursos ou maneiras de explorar. Agora há programas de graduação e mestrado! Atualmente, há muitas maneiras de ingressar na profissão. Sim, há caminhos que podem custar muito dinheiro, mas também há caminhos gratuitos e de baixo custo.
Um recurso gratuito de treinamento em segurança foi desenvolvido por Simeon Kakpovi e Greg Schloemer, nossos colegas de Informações sobre ameaças da Microsoft. Essa ferramenta, chamada KC7, torna acessível a qualquer pessoa o acesso à segurança de TI, à compreensão de eventos de rede e de host e à busca de atores.
Agora também é possível obter exposição a todos os tipos de tópicos diferentes. Quando comecei, era preciso trabalhar em uma empresa com um orçamento multimilionário para ter acesso a essas ferramentas. Para muitos, essa era uma barreira de entrada. Mas, agora, qualquer pessoa pode analisar amostras de malware. Antigamente, era difícil encontrar amostras de malware e de capturas de pacotes. Mas essas barreiras estão caindo. Hoje em dia, há muitas ferramentas e recursos online e gratuitos nos quais você pode aprender por conta própria e no seu próprio ritmo.
Meu conselho é descobrir o nicho que desperta seu interesse. Deseja fazer uma pesquisa sobre malware? Análise forense digital? Inteligência contra ameaças? Concentre-se em seus tópicos favoritos e aproveite os recursos disponíveis publicamente e aprenda o máximo que puder com eles.
Judy Ng
O mais importante é ser curioso, certo? Além da curiosidade, você precisa trabalhar bem com outras pessoas. É preciso lembrar que esse é um esporte de equipe, ninguém pode fazer segurança cibernética sozinho.
É importante saber trabalhar em equipe. É importante ser curioso e aberto ao aprendizado. Você deve se sentir confortável em fazer perguntas e encontrar maneiras de trabalhar com seus colegas de equipe.
Sarah Jones
Definitivamente, isso é verdade. Gostaria de enfatizar que as Informações sobre ameaças trabalha com muitas equipes parceiras da Microsoft. Confiamos muito na experiência dos nossos colegas para nos ajudar a compreender o que os atores estão fazendo e por que o fazem. Não poderíamos fazer nosso trabalho sem eles.
Siga a Segurança da Microsoft