U ovom zanimljivom intervjuu, Šerod Degripo, iskusni stručnjak za informacije o pretnjama sa više od 19 godina iskustva, detaljno objašnjava oblast kibernetičke špijunaže. Zajedno sa Džudi Ng i Sarom Džons, dva izuzetna stručnjaka poreklom iz Kine čiji je rad posvećen raspetljavanju zamršene mreže kibernetičkih pretnji, stavljaju u fokus tajne aktivnosti u savremenom kibernetičkom okruženju. Zajednički razmatraju probleme sa kojima se suočavaju svi koji se bave zaštitom našeg međusobno povezanog sveta. Pripremite se da uronite u neispričane priče i izuzetnu stručnost ovih digitalnih detektiva dok vas vode kroz skriveni svet kineskog kibernetičkog bojnog polja.
Na prvim linijama fronta: Dešifrovanje taktika i tehnika kineskih zlonamernih aktera
Sara Džons
Kao viši analitičar pretnji, istražujem grupe za APT (napredna neprekidna pretnja) koje potiču iz Kine i obavljaju poslove u ime kineske vlade. Pratim kako se vremenom odvija njihov razvoj na polju malvera i istražujem njihove metode za kreiranje infrastrukture i ugrožavanje mreža žrtava. Pre nego što sam se pridružila timu za Microsoft informacije o pretnjama, prvenstveno sam se fokusirala na Kinu, ali sam se bavila i iranskim i ruskim grupama.
Veći deo mog poslovnog iskustva, posebno na početku karijere, bio je vezan za rad u centrima za bezbednosne operacije sa fokusom na unutrašnju bezbednost vladinih i korporativnih mreža.
Sjajna stvar u vezi sa proučavanjem grupa zlonamernih aktera iz Kine je mogućnost njihovog praćenja tokom dugih vremenskih perioda. Veoma je zanimljivo to što mi se pruža mogućnost da istražujem grupe kojih se sećam od pre 10 godina i da posmatram kako se odvija njihov razvoj.
Džudi Ng
Kao i Sara, i ja sam viši analitičar pretnji i u analizi kibernetičkih pretnji prvenstveno koristim geopolitčku analizu. Pratila sam kineske aktere iz različitih perspektiva u poslednjih 15 godina karijere – uključujući uloge podrške vladi SAD, pozicije u novoosnovanim preduzećima, različita mesta u okviru korporativne Amerike i naravno u korporaciji Microsoft, gde se nalazim od 2020. godine.
Počela sam sa fokusom na Kinu, jer me je to uvek zanimalo. Na početku karijere, to interesovanje mi je omogućilo da pružim kontekst koji kolege nisu mogle da sagledaju jer možda nisu razumeli neke nijanse kineskog jezika ili kulture.
Mislim da je jedno od mojih prvih pitanja bilo: „Džudi, šta je „mesnata piletina“? Šta „mesnata piletina“ znači na kineskom?“
Odgovor je bio „botnet“. „Mesnata piletina“ bio je kineski žargon koji su zlonamerni akteri koristili na forumima na mreži za opis zombi botnet mreža
Džudi Ng
U ovom poslu, ne možete jednostavno raditi isto svakog dana. Uzbudljivo je. Možete iskoristiti sve moćne signale koje Microsoft dobija i samo pustiti da vas ti signali vode.
Ovde vam skup podataka nikada neće dosaditi. Nikada nećete reći: „Oh, ne može se ništa pronaći“. Uvek će biti nečeg zanimljivog, a od pomoći je i to što je većina naših kolega u kineskom timu samo grupa radoznalih ljudi.
Bilo da se radi o samostalnoj potrazi ili grupnom nastojanju u traganju za određenim licem, odlično je to što smo svi radoznali i krećemo se različitim putevima.
Sara Džons
Moram da se složim sa Džudi. Svaki dan je nov i donosi različit skup problema. Svakog dana naučim nešto novo o tehnologiji ili saznam za novi softver koji akter pokušava da iskoristi. Onda moram da se vratim i pročitam dokumentaciju ako se radi o tehnologiji ili softverskom programu za koji nikad nisam čula. Ponekad moram da pročitam RFC (zahtev za komentare) za protokol, jer zlonamerni akteri nekim njegovim aspektom manipulišu i zloupotrebljavaju ga, a to zahteva da se vratim originalnoj dokumentaciji i da je pročitam.
Te stvari su mi zaista uzbudljive i svakog dana radim na njima. Svakog dana naučim nešto o nekom novom aspektu interneta za koji ranije nisam čula, a zatim požurim da uhvatim korak sa zlonamernim akterima kako bih bila stručna za ono što su odlučili da iskoriste.
Sara Džons
COVID je doveo do mnogih promena. Kada su u pitanju korisnici, svet se promenio. Preko noći, svi su otišli kući i pokušali da nastave sa poslom. Videli smo kako mnoga preduzeća moraju ponovo da konfigurišu svoje mreže, videli smo zaposlene koji menjaju način rada i naravno, videli smo i da naši zlonamerni akteri reaguju na sve te promene.
Na primer, kada su prvi put uvedene smernice za rad od kuće, mnoge organizacije su morale da omoguće pristup sa mnogo različitih lokacija nekim veoma osetljivim sistemima i resursima koji inače nisu bili dostupni korporativnim kancelarijama. Bili smo svedoci pokušaja zlonamernih aktera da se u to vreme stope sa sveopštom bukom, lažno se predstavljajući kao udaljeni radnici, i da pristupe tim resursima.
Kada se COVID prvi put pojavio, smernice za pristup okruženjima preduzeća morale su biti brzo uspostavljene, a u nekim slučajevima je to urađeno bez dovoljno vremena za istraživanje i razmatranje najboljih praksi. Budući da veoma mnogo organizacija nije razmotrilo te smernice otkad su prvi put uvedene, sada vidimo zlonamerne aktere koji pokušavaju da otkriju i iskoriste pogrešne konfiguracije i ranjivosti.
Postavljanje malvera na računare više nije toliko značajno. Sada je aktuelno nabavljanje lozinki i tokena koji omogućavaju pristup osetljivim sistemima, na isti način na koji to čine udaljeni radnici.
Džudi Ng
Ne znam da li su zlonamerni akteri morali da rade od kuće, ali imamo podatke koji pružaju neke uvide o tome kako su zatvaranja u vreme COVID-a uticala na njihove aktivnosti u gradovima u kojima su živeli. Bez obzira na to gde su obavljali rad, njihovi životi su – kao i svi drugi – bili pogođeni.
Ponekad smo uticaj zatvaranja u gradovima mogli da vidimo i usled nedostatka aktivnosti na njihovim računarima. Bilo je veoma zanimljivo videti u našim podacima uticaj svih tih zatvaranja čitavih oblasti.
Džudi Ng
Imam odličan primer – jedan od zlonamernih aktera koje pratimo, Nylon Typhoon. Korporacija Microsoft preduzela je akciju protiv ove grupe decembra 2021. godine i poremetila rad infrastrukture koja je korišćena za ciljanje Evrope, Latinske Amerike i Centralne Amerike.
Naša je procena da su neke aktivnosti žrtava verovatno podrazumevale operacije prikupljanja obaveštajnih podataka koje su imale za cilj da pruže uvid u delovanje partnera uključenih u kinesku Inicijativu Pojas i put (BRI) za potrebe projekata kineske vlade u vezi sa infrastrukturom širom sveta. Znamo da zlonamerni akteri koje finansira kineska država sprovode tradicionalnu špijunažu i ekonomsku špijunažu, a mi smatramo da je ova aktivnost verovatno obuhvatala obe.
Nismo 100% sigurni, jer nemamo neosporan dokaz. Nakon 15 godina, mogu vam reći da je otkrivanje neospornog dokaza zaista teško. Ono što ipak možemo da uradimo je da analiziramo informacije, dovedemo ih u kontekst i kažemo: „Smatramo da sa ovim stepenom pouzdanosti možemo reći da je to verovatno iz ovog razloga.“
Sara Džons
Jedan od najvećih trendova podrazumeva pomeranje fokusa sa korisničkih krajnjih tačaka i prilagođenog malvera na aktere koji zaista žive na ivici – koncentrisanje resursa na ugrožavanje ivičnih uređaja i održavanje postojanosti. Ti uređaji su zanimljivi, jer ako neko dobije pristup, može tamo da ostane veoma dugo.
Neke grupe su se na impresivan način detaljno posvetile ovim uređajima. Oni znaju kako njihov firmver funkcioniše. Oni poznaju ranjivosti koje ima svaki uređaj i znaju da mnogi uređaji ne podržavaju antivirusni program ili granularno evidentiranje.
Naravno, oni znaju da su uređaji kao što je VPN sada isto što i ključevi kraljevstva. Pošto organizacije dodaju slojeve bezbednosti kao što su tokeni, višestruka potvrda identiteta (MFA) i smernice za pristup, akteri sve mudrije zaobilaze odbranu i provlače se kroz nju.
Mislim da su mnogi akteri shvatili da, ukoliko su u stanju da preko uređaja kao što je VPN održe dugotrajnu postojanost, zapravo ne moraju nigde da postavljaju malver. Jednostavno mogu sebi da odobre pristup koji im omogućava da se prijave kao bilo koji korisnik.
Oni sebi u suštini daju „režim boga“ na mreži, ugrožavajući ivične uređaje.
Primećujemo i trend u kojem akteri koriste Shodan, Fofa ili neku drugu vrstu baze podataka koja skenira internet, kataloge uređaja i identifikuje različite nivoe zakrpa.
Zapažamo i aktere koji sami skeniraju velike delove interneta – ponekad sa već postojećih listi sa metama – u potrazi za stvarima koje se mogu iskoristiti. Kada nešto pronađu, obaviće još jedno skeniranje kako bi istinski iskoristili uređaj, a zatim će se vratiti da kasnije pristupe mreži.
Sara Džons
I jedno i drugo. Zavisi od aktera. Neki akteri su odgovorni za određenu državu. To je njihov ciljni skup, tako da im je stalo samo do uređaja u toj državi. Međutim, drugi akteri imaju funkcionalne skupove ciljeva – tako da će se fokusirati na određene sektore poput finansija, energije ili proizvodnje. Oni će u periodu od nekoliko godina praviti listu sa metom na kojoj se nalaze preduzeća koja su im važna i ti akteri tačno znaju koje uređaje i softver koriste njihove mete. Iz tog razloga, posmatramo neke aktere kako skeniraju unapred definisanu listu sa metom kako bi proverili da li su mete zakrpljene za određenu ranjivost.
Džudi Ng
Akteri mogu biti veoma posvećeni metama, metodični i precizni, ali ponekad se dešava i da im se posreći. Moramo imati na umu da se radi o ljudima. Kada pokrenu skeniranje ili preuzmu podatke sa komercijalnim proizvodima, ponekad im se samo posreći da na samom početku dobiju pravi skup informacija, što im omogućava da započnu operaciju.
Sara Džons
To je to, definitivno. Ipak, prava odbrana je više od pukog krpljenja. Najefikasnije rešenje zvuči jednostavno, ali je u praksi veoma teško. Organizacije treba da znaju koji su uređaji izloženi internetu i da naprave evidenciju tih uređaja. Moraju da znaju kako izgledaju njihovi mrežni perimetri, a mi znamo da je to posebno teško u hibridnim okruženjima kako sa lokalnim tako i sa uređajima u oblaku.
Upravljanje uređajem nije lako i ne želim da vas zavaravam da jeste, ali poznavanje uređaja koje imate na mreži – i nivoa zakrpe za svaki od njih – prvi je korak koji možete da preduzmete.
Kada znate šta imate, možete povećati mogućnost evidentiranja i telemetriju sa tih uređaja. Trudite se da postignete granularnost u evidencijama. Te uređaje je teško odbraniti. Najbolja opcija za zaštitnika mreže sa ciljem odbrane ovih uređaja je evidentiranje i potraga za nepravilnostima
Džudi Ng
Volela bih da imam kristalnu kuglu kako bih videla planove kineske vlade. Nažalost, nemam. Ali ono što možemo da vidimo je glad za pristupom informacijama.
Takvu glad ima svaki narod.
Sviđaju nam se i informacije koje imamo. Sviđaju nam se naši podaci.
Sara Džons
Džudi je naš stručnjak za Inicijativu Pojas i put (BRI) i geopolitički stručnjak. Oslanjamo se na njene uvide kada gledamo trendove, posebno u ciljanju. Ponekad ćemo videti da se pojavljuje nova meta i da ona zaista nema nikakvog smisla. Ne slaže se ni sa čim što su ranije radili, pa ćemo to odneti Džudi, a ona će nam reći: „O, u ovoj zemlji se odvija neki važan ekonomski sastanak ili su možda u toku pregovori oko izgradnje nove fabrike na ovoj lokaciji.“
Džudi nam pruža dragocen kontekst – suštinski kontekst – o tome zašto zlonamerni akteri rade to što rade. Svi mi znamo se koristi Bing Translate i svi znamo kako da tražimo vesti, ali kad nešto nema smisla, Džudi nam može reći: „Pa, taj prevod zapravo znači ovo“ – i to može biti dovoljno.
Praćenje kineskih zlonamernih aktera zahteva kulturološko znanje o tome kakva je struktura njihove vlade i kako funkcionišu njihova preduzeća i institucije. Džudin rad pomaže u raspletu strukture tih organizacija i omogućava nam da shvatimo kako one funkcionišu – kako zarađuju novac i kako komuniciraju sa kineskom vladom.
Džudi Ng
Kao što je Sara rekla, u pitanju je komunikacija. Sve vreme smo u Teams ćaskanju. Uvek razmenjujemo uvide koje možda vidimo iz telemetrije, što nam pomaže da dođemo do mogućeg zaključka.
Džudi Ng
U čemu je moj trik? Mnogo vremena provedenog na internetu i u čitanju. Ozbiljno, ipak, mislim da je jedna od najznačajnijih stvari jednostavno znati kako da koristite različite pretraživače.
Ležerno koristim Bing, ali i Baidu, kao i Yandex.
A to je zato što različiti pretraživači daju različite rezultate. Ne radim ništa posebno, ali umem da tražim različite rezultate iz različitih izvora kako bih iz njih mogla da analiziram podatke.
Svi u timu su veoma dobro upućeni. Svako ima neku supermoć – treba samo znati koga da pitate. I zaista je sjajno što radimo u timu u kojem svi jedni drugima rado postavljaju pitanja, zar ne? Stalno ponavljamo da ne postoje glupa pitanja.
Sara Džons
Ovo mesto pokreću glupa pitanja.
Sara Džons
Sada je savršeno vreme da se uđete u IT bezbednost. U vreme kada sam počela, nije bilo mnogo predavanja, izvora niti načina za istraživanje. Sada postoje programi za osnovne i master studije! Sada ima mnogo načina za ulazak u profesiju. Da, postoje putevi koji vas mogu mnogo koštati, ali ima i jeftinijih i besplatnih.
Jedan besplatan resurs za obuku o bezbednosti razvili su Simeon Kakpovi i Greg Šlemer, naše kolege u sektoru za Microsoft informacije o pretnjama. Uz ovu alatku, pod nazivom KC7, pristupanje sektoru za IT bezbednost, upoznavanje sa mrežnim i organizovanim događajima, kao i potraga za akterima, dostupni su svima.
Sada je moguće doći i do svih vrsta izlaganja na različite teme. U vreme kada sam tek počinjala, morali ste da radite u preduzeću koje je imalo budžet od više miliona dolara da biste sebi priuštili te alatke. Mnogima je to bila prepreka za ulazak. Ali sada svako može da analizira uzorke malvera. Nekada je bilo teško pronaći uzorke malvera i snimke paketa. Ali tih prepreka je sada sve manje. Danas postoji mnogo besplatnih alatki i resursa, kao i onih na mreži, gde možete učiti sami i svojim tempom.
Moj savet je da otkrijete poziv koji pobuđuje vaše interesovanje. Želite da se bavite istraživanjem malvera? Digitalnom forenzikom? Informacijama o pretnjama? Posvetite se omiljenim temama i iskoristite prednosti javno dostupnih resursa i uz njih naučite što više možete.
Džudi Ng
Najvažnija je radoznalost, zar ne? Uz radoznalost, morate da imate dobru saradnju sa drugima. Morate imati na umu da je ovo timski sport – niko se ne može sam baviti kibernetičkom bezbednošću.
Važno je biti sposoban za rad u timu. Važno je biti radoznao i otvoren za učenje. Morate rado i često da postavljate pitanja i pronalazite načine za rad sa kolegama.
Sara Džons
To je zaista, istinski tačno. Želim da naglasim da služba Microsoft informacije o pretnjama sarađuje sa mnogo partnerskih timova u korporaciji Microsoft. U velikoj meri se oslanjamo na stručnost kolega kako bi nam pomogli da shvatimo šta akteri rade i zašto to rade. Bez njih ne bismo mogli da obavljamo svoj posao.
Pratite Microsoft bezbednost