În acest interviu captivant, Sherrod DeGrippo, un expert în investigarea amenințărilor cu peste 19 ani la activ în domeniu, dirijează o aprofundare a domeniului spionajului cibernetic. Alături de el sunt Judy Ng și Sarah Jones, două specialiste grozave dedicate descâlcirii ițelor complicate ale amenințărilor cibernetice originare din China, care aduc în atenția publicului activitățile ascunse din peisajul amenințărilor moderne. Împreună, discută despre provocările întâmpinate de cei care ne păzesc lumea interconectată. Pregătiți-vă să vă adânciți în poveștile nespuse și experiența extraordinară a acestor detectivi digitali, pe măsură ce navighează câmpul ascuns de luptă cibernetică al Chinei.
În prima linie: Decodând tehnicile și tacticile actorilor de amenințare chinezi
Sarah Jones
Ca analist senior al amenințărilor, cercetez grupurile APT (amenințare persistentă avansată) cu originea în China și care lucrează în folosul guvernului chinez. Le urmăresc dezvoltarea malware-ului și le cercetez metodele de creare a infrastructurii și de compromitere a rețelelor victimelor. Înainte de a mă alătura echipei Investigarea amenințărilor Microsoft, mă concentram în principal pe China, dar am analizat și grupuri din Iran sau Rusia.
Am dobândit mare parte din experiență, în special la începutul carierei, în Centre de operațiuni de securitate unde mă concentram pe securitatea internă a rețelelor corporative sau guvernamentale.
Unul dintre lucrurile grozave în ceea ce privește studierea grupurilor de actori de amenințare din China este abilitatea de a-i monitoriza pe termen așa lung. Este foarte interesant să pot cerceta grupuri pe care le țin minte de acum 10 ani și să le văd evoluția până acum.
Judy Ng
La fel ca Sarah, și eu sunt analist senior al amenințărilor și valorific analiza geopolitică peste analiza amenințărilor cibernetice. Am urmărit actorii din China din diferite perspective în ultimii 15 ani de carieră, inclusiv în roluri care sprijină guvernul Statelor Unite, în start-upuri, diverse locuri din America corporativă și, bineînțeles, la Microsoft, unde sunt din 2020.
Am început să mă axez pe China pentru că întotdeauna a prezentat interes pentru mine. La începutul carierei mele, acest interes m-a ajutat să ofer context care le scăpa colegilor care poate că nu înțelegeau unele nuanțe ale culturii sau limbii chineze.
Cred că una dintre primele întrebări pe care le-am primit a fost „Judy, ce este «puiul de carne»? Ce înseamnă «pui de carne» în chineză?”
Și răspunsul a fost „botnet”. „Pui de carne” era jargonul chinezesc pe care actorii de amenințare îl foloseau pe forumuri online pentru a descrie un botnet zombi
Judy Ng
În munca asta, pur și simplu nu faci același lucru în fiecare zi. Este palpitant. Poți să valorifici toate semnalele puternice pe care le obține Microsoft și doar să lași datele respective să te ghideze.
Nu te vei plictisi niciodată cu setul de date de aici. Nu vei spune niciodată „Ah, nu e nimic de căutat activ”. Întotdeauna va fi ceva de interes și ajută și faptul că majoritatea colegilor noștri de echipă sunt curioși din fire.
Fie că este vorba despre o căutare activă auto-ghidată sau un efort de grup asupra unui subiect, e un lucru grozav că suntem toți curioși și putem porni pe căi diferite.
Sarah Jones
Sunt de acord cu Judy. Fiecare zi vine cu un set de probleme noi, diferite. În fiecare zi, învăț despre o nouă tehnologie sau un nou software pe care un actor încearcă să le exploateze. Atunci trebuie să mă apuc să citesc documentația dacă este vorba de o tehnologie sau un program software de care n-am mai auzit. Uneori, trebuie să citesc RFC-ul (Request for Comments) pentru un protocol dacă actorii de amenințare manipulează sau abuzează de un aspect de acolo, iar asta înseamnă că trebuie să mă duc înapoi la documentația originală și să o citesc.
Aceste lucruri mă captivează și am ocazia să lucrez cu ele zilnic. În fiecare zi, învăț despre un nou aspect al internetului de care n-am mai auzit înainte și apoi mă străduiesc să ajung din urmă actorii de amenințare, pentru a deveni expert în acel lucru pe care s-au hotărât ei să-l exploateze.
Sarah Jones
Odată cu COVID, am văzut multe schimbări. Pentru clienți, lumea s-a schimbat. Peste noapte, toată lumea s-a dus acasă și a încercat să lucreze în continuare. Am văzut multe firme care au trebuit să-și reconfigureze complet rețelele, angajați care și-au schimbat modul în care lucrau și, bineînțeles, am văzut cum răspund actorii de amenințare la toate astea.
De exemplu, când implementarea politicilor de lucru de acasă erau la început, multe organizații trebuiau să permită accesul din multe locații diferite la niște resurse și sisteme confidențiale care nu erau în mod normal disponibile în afara birourilor corporative. Atunci am văzut actori de amenințare care încercau să se amestece în zgomotul de fond, pretinzând că sunt lucrători la distanță și accesând aceste resurse.
Când a lovit COVID, politicile de acces pentru mediile din întreprinderi au trebuit stabilite rapid și, uneori, au fost făcute fără suficient timp de cercetare și examinare a celor mai bune practici. Pentru că un număr mare de organizații nu și-au reexaminat acele politici de la implementarea inițială, vedem astăzi actori de amenințare care încearcă să descopere și să exploateze configurații greșite și vulnerabilități.
Punerea unui malware pe desktop nu mai este atât de valoroasă. Acum este vorba despre obținerea parolelor și tokenurilor care permit accesul la sisteme confidențiale la fel cum fac lucrătorii de la distanță.
Judy Ng
Nu știu dacă actorii de amenințare au apucat să lucreze de acasă, dar avem date care oferă detalii despre modul în care carantina COVID a avut un impact asupra activității lor în orașele în care locuiau. Indiferent de unde lucrau, viețile lor au fost afectate, cum au fost ale tuturor.
Uneori, am putut vedea efectul carantinei la nivel de oraș din lipsa activității de pe computerele lor. A fost foarte interesant să vedem în datele noastre impactul carantinei pe districte.
Judy Ng
Am un exemplu foarte bun; este unul dintre actorii de amenințare pe care îi monitorizăm, Nylon Typhoon. Microsoft a acționat împotriva acestui grup în decembrie 2021 și a întrerupt infrastructura folosită pentru a viza Europa, America Latină și America Centrală.
În evaluarea noastră, activitatea unor victime este posibil să fi implicat operații de colectare a informațiilor care să furnizeze detalii despre partenerii din inițiativa Belt and Road (BRI) din China pentru proiecte de infrastructură derulate de guvernul chinez în întreaga lume. Știm că actorii de amenințare sponsorizați de China efectuează spionaj tradițional și spionaj economic, iar evaluarea noastră este că această activitate a implicat ambele tipuri.
Nu putem ști 100% pentru că nu avem dovada incriminatorie. După 15 ani, pot spune că este extrem de dificil de găsit o dovadă incriminatorie. Ce putem face, în schimb, este să analizăm informațiile, să le punem în context și să spunem „Evaluăm cu acest nivel de încredere și considerăm că este probabil din acest motiv.”
Sarah Jones
Una dintre cele mai proeminente tendințe este mutarea accentului de pe punctele finale ale utilizatorilor și malware personalizat la actori care chiar trăiesc pe muchie, adică își concentrează resursele pe exploatarea dispozitivelor de perimetru (edge) și menținerea persistenței. Aceste dispozitive sunt interesante pentru că dacă cineva obține acces la ele, ar putea sta acolo multă vreme.
Unele grupuri au aprofundat într-un mod impresionant aceste dispozitive. Știu cum le funcționează firmware-ul. Cunosc vulnerabilitățile pe care le are fiecare dispozitiv și știu că multe dispozitive nu acceptă antivirus sau înregistrare granulară în jurnal.
Bineînțeles, actorii știu că dispozitivele de tip VPN sunt acum chei de acces în regat. Pe măsură ce organizațiile adaugă niveluri de securitate, de exemplu, tokenuri, autentificare multifactor (MFA) și politici de acces, actorii se gândesc bine cum să evite aceste linii de apărare și să se strecoare dincolo de ele.
Cred că mulți actori și-au dat seama că, dacă sunt în stare să păstreze persistența pe termen lung printr-un dispozitiv ca VPN-ul, nu au nevoie de fapt să implementeze malware nicăieri. Pot să-și acorde pur și simplu acces care să le permită să se conecteze ca orice utilizator.
În esență, își acordă „rolul de Dumnezeu” în rețea, prin compromiterea acestor dispozitive de perimetru.
De asemenea, observăm o tendință în care actorii folosesc Shodan, Fofa sau orice fel de bază de date care scanează internetul, cataloghează dispozitivele și identifică diverse niveluri de corecții.
Mai vedem și actori care efectuează propriile scanări ale unor culoare ample de internet, uneori din liste de ținte preexistente, căutând lucruri care pot fi exploatate. Atunci când găsesc ceva, fac o nouă scanare pentru a exploata efectiv dispozitivul și revin ulterior să acceseze rețeaua.
Sarah Jones
Ambele cazuri. Depinde de actor. Unii actori sunt responsabili de o anumită țară. Acesta este setul lor de ținte, așa că nu le pasă decât de dispozitivele din acea țară. Dar alți actori au seturi de ținte funcționale, așa că se concentrează pe anumite sectoare, de exemplu, financiar, energetic sau de producție. Aceștia și-au construit o listă de ținte, timp de mai mulți ani, cu firme care-i interesează și acești actori știu exact ce dispozitive au și ce software rulează țintele lor. Așadar, observăm că unii actori scanează o listă predefinită de ținte pentru a vedea dacă acestea au aplicat corecții pentru o anumită vulnerabilitate.
Judy Ng
Actorii pot fi extrem de țintiți, metodici și preciși, dar mai au și noroc uneori. Trebuie să nu uităm că sunt oameni. Atunci când își rulează scanările sau culeg date cu un produs comercial, uneori au pur și simplu noroc și obțin setul de informații care le trebuie fix de la început, ceea ce îi ajută să inițieze operațiunea.
Sarah Jones
Fix așa. Dar o apărare bună nu înseamnă doar aplicarea unor corecții. Cea mai eficientă soluție pare simplă, dar este foarte dificilă în practică. Organizațiile trebuie să înțeleagă și să-și inventarieze dispozitivele expuse la internet. Trebuie să știe cum arată perimetrele rețelei lor. Știm că acest lucru este extrem de greu de făcut în mediile hibride în care sunt atât dispozitive locale, cât și în medii cloud.
Gestionarea dispozitivelor nu este lucru ușor și nu vreau să pretind că ar fi, dar primul pas pe care îl poți face este să-ți știi dispozitivele din rețea și nivelurile corecțiilor pentru fiecare în parte.
După ce știi exact ce ai, poți crește capacitatea de înregistrare în jurnal și telemetria pentru acele dispozitive. Trebuie să tinzi spre granularitate în jurnale. Aceste dispozitive sunt greu de apărat. Cele mai mari șanse pentru apărătorul unei rețele de a apăra aceste dispozitive este înregistrarea în jurnal și căutarea anomaliilor
Judy Ng
Mi-aș dori să am un glob de cristal în care să văd ce planuri are guvernul Chinei. Din păcate, nu am. Totuși, ce pot vedea este un apetit pentru accesul la informații.
Toate popoarele au acest apetit.
Și nouă ne plac informațiile. Ne plac datele.
Sarah Jones
Judy este expertul nostru în geopolitică și în inițiativa Belt and Road (BRI). Ne bazăm pe opiniile ei atunci când ne uităm la tendințe, în special în ceea ce privește țintele. Uneori, vedem că apare o nouă țintă și nu pare să aibă niciun sens. Nu se potrivește cu ce au făcut anterior așa că apelăm la Judy care ne spune „A, păi va avea loc o întâlnire economică importantă în această țară sau sunt negocieri în legătură cu construirea unei noi fabrici în această locație”.
Judy ne oferă context valoros, esențial despre motivele actorilor de amenințare. Toți știm să folosim Bing Translate și să căutăm știri, dar atunci când ceva nu are sens, Judy ne poate spune „Ei bine, acea traducere înseamnă, de fapt, asta”, un lucru care face cu adevărat diferența.
Monitorizarea actorilor de amenințare chinezi necesită cunoștințe culturale despre modul în care le este structurat guvernul și cum funcționează companiile și instituțiile lor. Munca pe care o face Judy ne ajută să descâlcim structura acestor organizații și ne permite să știm cum funcționează, cum fac bani și cum interacționează cu guvernul chinez.
Judy Ng
Așa cum a spus și Sarah, este vorba despre comunicare. Suntem permanent în chatul Teams. Împărtășim mereu detalii pe care poate că le-am observat din telemetrie, care ne-au ajutat să ajungem la o posibilă concluzie.
Judy Ng
Care îmi este secretul? O grămadă de timp petrecut pe internet și citind. Serios acum, cred că unul dintre cele mai valoroase lucruri este să știi, pur și simplu, cum să folosești diverse motoare de căutare.
Îmi convine Bing, dar folosesc și Baidu sau Yandex.
Iar asta pentru că motoare de căutare diferite oferă rezultate diferite. Nu fac nimic special, dar știu să caut rezultate din diverse surse, pentru a putea analiza datele de acolo.
Toți din echipă știu foarte multe. Toți au superputeri, trebuie doar să știi pe cine să întrebi. Și e grozav că lucrăm într-o echipă în care toată lumea se simte confortabil să-și pună întrebări unul altuia, nu? Întotdeauna spunem că nu există întrebări stupide.
Sarah Jones
Locul acesta este alimentat de întrebări stupide.
Sarah Jones
Acum este momentul ideal să trecem la securitatea IT. Când eram la început, nu existau prea multe cursuri, resurse sau moduri de a explora. Acum există programe de licență și de masterat. Sunt multe moduri prin care poți ajunge să ai această profesie. Da, unele căi costă mult, dar există și modalități cu cost redus sau chiar gratuite.
O resursă gratuită de instruire în securitate a fost dezvoltată de Simeon Kakpovi și Greg Schloemer, colegii noștri de la Investigarea amenințărilor Microsoft. Acest instrument, care se numește KC7, face mai accesibile tuturor implicarea în securitatea IT, înțelegerea evenimentelor de pe gazdă și din rețea și căutarea activă a actorilor.
În plus, acum poți avea expunere la tot felul de subiecte. Când am început eu, trebuia să lucrezi într-o firmă cu un buget de milioane de dolari pentru a-ți putea permite asemenea instrumente. Pentru mulți, aceasta a fost o barieră. Dar acum, oricine poate analiza eșantioane malware. Înainte era greu să găsești eșantioane malware și capturi de pachete. Dar acele bariere se ridică acum. Astăzi, există atât de multe resurse și instrumente online din care se poate învăța pe cont propriu și în ritmul fiecăruia.
Sfatul meu este să vă dați seama ce nișă vă stârnește interesul. Vreți să faceți cercetare de malware? Criminalistică digitală? Investigarea amenințărilor? Identificați subiectele preferate și profitați de resursele disponibile public pentru a învăța cât de mult posibil din ele.
Judy Ng
Cel mai important lucru este să ai curiozitate, nu? Pe lângă curiozitate, trebuie să poți lucra bine cu ceilalți. De reținut că acesta este un sport de echipă. Nimeni nu poate face securitate cibernetică de unul singur.
Este important să puteți lucra în echipă. Este important să fiți curioși și dispuși să învățați. Trebuie să vă obișnuiți să puneți întrebări și să găsiți modalități de a lucra cu colegii de echipă.
Sarah Jones
Absolut, așa este. Vreau să subliniez că Investigarea amenințărilor Microsoft colaborează cu multe echipe partenere din Microsoft. Ne bazăm în mare măsură pe expertiza colegilor noștri, care ne ajută să înțelegem ce fac actorii și de ce anume. Nu ne-am putea face treaba fără ei.
Urmăriți Microsoft Security