Nesta entrevista cativante, Sherrod DeGrippo, uma especialista experiente em informações sobre ameaças com mais de 19 anos de experiência, explora aprofundadamente o domínio da ciberespionagem. Juntamente com Judy Ng e Sarah Jones, duas formidáveis especialistas que se dedicam a desvendar a complexa teia de ciberameaças com origem na China, evidenciam as atividades secretas no âmbito do panorama de ameaças moderno. Juntos, debatem os desafios enfrentados por aqueles que protegem o nosso mundo interligado. Prepare-se para se deixar envolver nas histórias não contadas e na extraordinária experiência destas detetives digitais, enquanto navegam no reino oculto do campo de batalha cibernético da China.
Registe-se já para ver o seminário Web a pedido com informações do Relatório de defesa digital da Microsoft de 2024.
Na primeira linha: Descodificar as táticas e técnicas dos atores de ameaças chineses
Sarah Jones
Como analista sénior de ameaças, pesquiso grupos APT (ameaça avançada persistente) originários da China e que trabalham em nome do governo chinês. Acompanho o desenvolvimento do seu malware ao longo do tempo e investigo os seus métodos para criar infraestruturas e comprometer as redes das vítimas. Antes de me juntar às Informações sobre Ameaças da Microsoft, foquei-me principalmente na China, mas também trabalhei em grupos iranianos e russos.
Em grande da minha experiência, especialmente no início da minha carreira, trabalhei em Centros de Operações de Segurança e foquei-me na segurança interna de redes governamentais e empresariais.
Uma das grandes vantagens de estudar os grupos de atores de ameaças da China, é a possibilidade de os seguir durante períodos de tempo tão longos. É muito interessante poder investigar grupos de que me lembro de há 10 anos e observar a sua evolução ao longo do tempo.
Judy Ng
Tal como a Sarah, também sou analista de ameaças sénior, que tira partido aa análise geopolítica, além da análise de ciberameaças. Nos últimos 15 anos da minha carreira, tenho acompanhado atores baseados na China de diferentes perspetivas, incluindo funções de apoio ao governo dos EUA, posições inicias, diferentes lugares em corporações americanas e, claro, na Microsoft, onde estou desde 2020.
Comecei por me focar na China, porque sempre me interessei pelo país. No início da minha carreira, esse interesse ajudou-me a fornecer um contexto que os meus colegas não conseguiam, pois talvez não compreendessem algumas das nuances do idioma ou da cultura chinesas.
Acho que uma das minhas primeiras perguntas foi: “Judy, o que é ‘carne de frango’? O que significa ‘carne de frango’ em chinês?”
A resposta era “botnet”. ‘Carne de frango’ era o calão chinês que os atores de ameaças usavam em fóruns online para descrever botnets zombies
Judy Ng
Neste trabalho, não fazemos a mesma coisa todos os dias. É emocionante. Podemos aproveitar todos os sinais poderosos que a Microsoft recebe e deixar que esses dados nos guiem.
Nunca nos fartamos de conjuntos de dados aqui. Nunca vamos dizer: “Não há nada para investigar”. Vai sempre haver algo interessante e também ajuda que a maioria dos nossos colegas na equipa chinesa sejam muito curiosos.
Quer se trate de uma investigação autónoma ou de um esforço de grupo para analisar um assunto, é ótimo que todos sejamos curiosos e possamos seguir caminhos diferentes.
Sarah Jones
Tenho de concordar com a Judy. Todos os dias há um problema novo e diferente. Todos os dias descubro uma nova tecnologia ou um novo software, do qual um ator está a tentar tirar partido. Tenho de voltar a ler a documentação, caso seja uma tecnologia ou um programa de software de que nunca ouvi falar. Por vezes, tenho de ler o RFC (pedido de comentários) de um protocolo, porque os atores da ameaça estão a manipular ou a abusar de algum aspeto do mesmo, o que exige que se volte a ler a documentação original.
Estas coisas são muito emocionantes para mim e posso trabalhar nelas todos os dias. Todos os dias posso aprender sobre um novo aspeto da Internet do qual nunca ouvi falar e, depois, apresso-me para apanhar os atores das ameaças, para me tornar uma especialista no que eles decidiram explorar.
Sarah Jones
Com a COVID, vimos muitas mudanças. Para os clientes, o mundo mudou. De um dia para o outro, todos foram para casa e tentaram continuar o seu trabalho. Vimos muitas empresas a terem de reconfigurar completamente as suas redes e vimos colaboradores a mudarem a sua forma de trabalhar e, claro, vimos os nossos atores de ameaças a responderem a tudo isso.
Por exemplo, quando as políticas de trabalho a partir de casa começaram a ser implementadas, muitas organizações tiveram de permitir o acesso, a partir de muitos locais diferentes, a sistemas e recursos extremamente confidenciais que, normalmente, não estavam disponíveis fora dos escritórios da empresa. Vimos os atores de ameaças a tentaram aproveitar-se da confusão, ao fingirem ser trabalhadores remotos e aceder a estes recursos.
Quando a COVID apareceu, as políticas de acesso para ambientes empresariais tiveram de ser estabelecidas rapidamente e, por vezes, foram feitas sem tempo para investigar e analisar as melhores práticas. Como muitas organizações não analisam estas políticas desde essa implementação inicial, atualmente, vemos atores de ameaças a tentar descobrir e explorar configurações incorretas e vulnerabilidades.
Pôr malware em ambientes de trabalho já não é tão valioso. Agora, o foco é conseguir palavras-passe e tokens que permitam o acesso a sistemas confidenciais, da mesma forma que os colaboradores remotos fazem.
Judy Ng
Não sei se os atores de ameaças conseguiram trabalhar a partir de casa, mas temos dados que nos fornecem algumas informações sobre a forma como os encerramentos devido à COVID afetaram a sua atividade nas cidades onde viviam. Independentemente do local onde trabalhavam, as suas vidas foram afetadas, tal como as de todos os outros.
Por vezes, conseguíamos ver o efeito dos encerramentos em toda a cidade pela falta de atividade nos seus computadores. Foi muito interessante ver o impacto dos encerramentos em todo o distrito nos nossos dados.
Judy Ng
Tenho um ótimo exemplo, um dos atores de ameaça que seguimos, Nylon Typhoon. A Microsoft agiu contra este grupo em dezembro de 2021 e afetou a infraestrutura usada para visar a Europa, a América Latina e a América Central.
Na nossa avaliação, algumas das atividades das vítimas provavelmente envolveram operações de recolha de informações destinadas a fornecer informações sobre os parceiros envolvidos na Iniciativa "Uma Faixa, Uma Rota" (BRI) da China, para projetos de infraestruturas geridos pelo governo chinês em todo o mundo. Sabemos que os atores de ameaças patrocinados pelo estado chinês utilizam espionagem tradicional e espionagem económica, e a nossa avaliação é que esta atividade provavelmente se enquadrava em ambas.
Não temos 100% de certeza, porque não temos provas irrefutáveis. Ao fim de 15 anos, posso dizer-vos que é muito difícil encontrar provas irrefutáveis. O que podemos fazer, no entanto, é analisar a informação, pô-la em contexto e dizer: "Avaliamos com este nível de confiança que pensamos ser provável por esta razão".
Sarah Jones
Uma das maiores tendências envolve a mudança de foco dos pontos finais dos utilizadores e do malware personalizado para atores que vivem realmente no limite, ao focar recursos na exploração de dispositivos edge e manter a persistência. Estes dispositivos são interessantes, porque se alguém os conseguir aceder, podem lá ficar durante muito tempo.
Alguns grupos infiltraram-se de forma impressionantes nestes dispositivos. Sabem como o seu firmware funciona. Sabem as vulnerabilidades de cada dispositivo e sabem que muitos dispositivos não suportam antivírus ou registo granular.
Claro que os atores sabem que dispositivos como as VPN são uma espécie de chaves para o reino. À medida que as organizações acrescentam camadas de segurança, como tokens, autenticação multifator (MFA) e políticas de acesso, os atores estão a tornar-se mais espertos para contornar e escapar às defesas.
Penso que muitos atores se aperceberam de que, se conseguirem manter a persistência a longo prazo através de um dispositivo como uma VPN, não precisam de instalar malware em lado nenhum. Podem conceder a si próprios um acesso que lhes permita iniciar sessão como qualquer utilizador.
Basicamente, dão a si próprios um "modo de deus" na rede ao comprometerem estes dispositivos edge.
Também vemos uma tendência em que os atores utilizam Shodan, Fofa ou qualquer tipo de base de dados que analisa a Internet, cataloga dispositivos e identifica diferentes níveis de patch.
Também vemos atores a efetuarem as suas próprias análises de grandes áreas da Internet, por vezes a partir de listas de alvos pré-existentes, à procura de coisas que possam ser exploradas. Quando encontram algo, fazem outra análise para explorar o dispositivo e voltam mais tarde para aceder à rede.
Sarah Jones
São ambos. Depende do ator. Alguns atores são responsáveis por um determinado país. Esse é conjunto dos alvos deles, portanto, só se interessam em dispositivos nesse país. Mas outros atores têm conjuntos de alvos funcionais, pelo que se irão focar em setores específicos como finanças, energia ou fabrico. Ao longo de vários anos, têm construído uma lista de alvos de empresas que lhes interessam e estes atores sabem exatamente que dispositivos e software os seus alvos estão a utilizar. Observamos alguns atores a analisar uma lista de alvos pré-definida para ver se os alvos foram corrigidos para uma determinada vulnerabilidade.
Judy Ng
Os atores podem ser muito seletivos, metódicos e precisos, mas por vezes também têm sorte. Temos de nos lembrar que eles são humanos. Quando efetuam as suas análises ou recolhem dados com um produto comercial, por vezes têm sorte e obtêm o conjunto certo de informações desde o início, para ajudar a iniciar a sua operação.
Sarah Jones
É mesmo isso. Mas a defesa certa é mais do que apenas a aplicação de patches. A solução mais eficaz parece simples, mas é muito difícil de pôr em prática. As organizações têm de compreender e fazer inventários dos dispositivos que estão expostos à Internet. Têm de saber como são os seus perímetros de rede e sabemos que isso é especialmente difícil de fazer em ambientes híbridos, com dispositivos na nuvem e no local.
A gestão de dispositivos não é fácil e não quero fingir que é, mas ter conhecimento dos dispositivos na sua rede, e os níveis de patch para cada um deles, é o primeiro passo a tomar.
Depois de saberem o que têm, é possível aumentar a capacidade de registo e a telemetria desses dispositivos. Deve procurar-se granularidade nos registos. Estes dispositivos são difíceis de defender. A melhor aposta de um defensor da rede para defender estes dispositivos é registar e procurar anomalias
Judy Ng
Gostava de ter uma bola de cristal para ver quais são os planos do governo chinês. Infelizmente, não tenho. Mas o que conseguimos ver é provavelmente uma apetência pelo acesso à informação.
Todas as nações têm essa apetência.
Também gostamos de informação. Gostamos de dados.
Sarah Jones
A Judy é a nossa especialista na Iniciativa "Uma Faixa, Uma Rota" (BRI) e em geopolítica. Dependemos do trabalho dela ao olharmos para tendências, especialmente em alvos. Por vezes, vemos um novo alvo surgir e não faz qualquer sentido. Não se enquadra no que fizeram anteriormente e, por isso, falamos da situação com a Judy, que nos diz: "Está a decorrer uma reunião económica importante neste país, ou há negociações para a construção de uma nova fábrica neste local".
A Judy dá-nos contextos valiosos, essenciais, sobre o motivo pelo qual os atores fazem o que fazem. Todos sabemos como utilizar o Bing Translate e todos sabemos como procurar notícias, mas quando algo não faz sentido, a Judy diz-nos: "Bem, na verdade, esta tradução significa isto", e isso pode fazer toda a diferença.
A monitorização de atores de ameaças chineses exige conhecimentos culturais sobre a estrutura do seu governo e o funcionamento das suas empresas e instituições. O trabalho da Judy ajuda a desvendar a estrutura destas organizações e permite-nos saber como funcionam, como ganham dinheiro e interagem com o governo chinês.
Judy Ng
Como a Sarah disse, é a comunicação. Estamos sempre no chat do Teams. Estamos sempre a partilhar as informações que podemos ter obtido através da telemetria e que nos ajudaram a chegar a uma possível conclusão.
Judy Ng
Qual é o meu truque? Muito tempo passado na Internet e a ler. Agora a sério, acho que uma das coisas mais importantes é simplesmente saber como usar diferentes motores de busca.
Sinto-me confortável com o Bing, mas também com o Baidu e o Yandex.
E isto é porque diferentes motores de busca fornecem resultados diferentes. Não estou a fazer nada de especial, mas sei que devo procurar resultados diferentes em fontes diferentes para poder analisar os dados a partir daí.
Todos os membros da equipa têm vastos conhecimentos. Todos têm superpoderes, é uma questão de saber a quem perguntar. É fantástico trabalharmos numa equipa onde todos estão à vontade para fazer perguntas uns aos outros, não é? Dizemos sempre que não há perguntas parvas.
Sarah Jones
Este sítio evolui com perguntas parvas.
Sarah Jones
Agora, é a altura perfeita para falar de segurança informática. Quando comecei, não havia muitas aulas, recursos ou formas para explorar. Agora, há licenciaturas e mestrados! Agora, há muitas formas de seguir a profissão. Sim, há caminhos que custam muito dinheiro, mas também há caminhos mais em conta e gratuitos.
Um recurso de formação em segurança foi desenvolvido por Simeon Kakpovi e Greg Schloemer, os nossos colegas nas Informações sobre Ameaças da Microsoft. Esta ferramenta, chamada KC7, faz com que entrar em segurança informática, compreender eventos de rede e de anfitrião e procurar atores seja acessível a todos.
Agora, também é possível ter exposição a todos os tipos de diferentes tópicos. Quando comecei, tínhamos de trabalhar numa empresa com um orçamento multimilionário para conseguir pagar essas ferramentas. Para muitos, essa era uma barreira de entrada. Mas, agora, qualquer um pode analisar amostras de malware. Costumava ser difícil encontrar amostras de malware e capturas de pacote. Mas essas barreiras estão a desmoronar-se. Atualmente, há muitas ferramentas e recursos online e gratuitos, com as quais podemos aprender sozinhos, ao nosso próprio ritmo.
O meu conselho é descobrir que nicho vos interessa. Querem fazer investigação de malware? Análise forense digital? Informações sobre ameaças? Foquem-se nos vossos tópicos favoritos, aproveitem os recursos disponíveis ao público e aprendam o máximo que puderem com eles.
Judy Ng
O mais importante é ser curioso, certo? Juntamente com a curiosidade, temos de trabalhar bem com outros. Temos de nos lembrar que isto é um desporto de equipa, ninguém pode fazer cibersegurança sozinho.
É importante conseguir trabalhar numa equipa. É importante ser curioso e disposto a aprender. Temos de ter à vontade para fazer perguntas e encontrar formas de trabalhar com os colegas.
Sarah Jones
Isso é verdade, sem dúvida. Gostaria de salientar que as Informações sobre Ameaças da Microsoft trabalham com muitas equipas de parceiros da Microsoft. Dependemos bastante da experiência dos nossos colegas para nos ajudarem a compreender o que os atores estão a fazer e porque o fazem. Não conseguiríamos fazer o nosso trabalho sem eles.
Siga o Microsoft Security