I denna fängslande intervju gör Sherrod DeGrippo, en erfaren hotinformationsexpert med över 19 års erfarenhet, en djupdykning i cyberspionagets rike. Tillsammans med Judy Ng och Sarah Jones, två formidabla specialister som hängivet arbetar med att reda ut det invecklade nätet av cyberhot som härrör från Kina, sätter de fokus på de hemliga aktiviteter som gömmer sig i det moderna hotlandskapet. Tillsammans diskuterar de vilka utmaningar de som skyddar vår sammanlänkade värld står inför. Förbered dig på att dras in i dessa digitala detektivers otaliga berättelser när de med sin extraordinära expertis navigerar sig fram i det kinesiska cyberslagfältets dolda rike.
Från frontlinjerna: Att avkoda en kinesisk hotaktörs taktiker och tekniker
Sarah Jones
Som chefshotanalytiker undersöker jag kinesiska grupper som ägnar sig åt avancerat långvarigt hot (APT) och som arbetar på uppdrag av den kinesiska regeringen. Jag spårar hur de utvecklar skadlig programvara över tid och undersöker vilka metoder de använder för att skapa infrastruktur och skada de angripna nätverken. Innan jag började på Microsoft Threat Intelligence fokuserade jag huvudsakligen på Kina, men jag har även studerat iranska och ryska grupper.
Under en stor del av min tidigare karriär, särskilt i början, arbetade jag på olika säkerhetscenter och fokuserade på den interna säkerheten i myndighets- och företagsnätverk.
Något av det mest fantastiska med att studera kinesiska hotaktörsgrupper är att man kan spåra dem under så långa tidsperioder. Det är väldigt intressant att kunna studera grupper som jag minns från 10 år tillbaka i tiden och se hur de har utvecklats sedan dess.
Judy Ng
Precis som Sarah är jag också en chefshotanalytiker och jobbar med geopolitisk analys i tillägg till cyberhotanalysen. Jag har följt Kina-baserade aktörer från olika perspektiv under de senaste 15 åren av min karriär – där jag bl.a. har jobbat för den amerikanska regeringen, startupföretag och på olika platser i företags-Amerika, och slutligen naturligtvis på Microsoft, där jag har varit sedan 2020.
Jag började med fokus på Kina eftersom det alltid har intresserat mig. Tidigt i min karriär hjälpte det intresset mig att skapa sammanhang som mina kollegor inte kunde se, kanske eftersom de inte förstod alla nyanserna i det kinesiska språket och kulturen.
Jag tror att en av de första frågorna jag fick var: ”Judy, vad är ’köttkyckling’? Vad betyder ’köttkyckling’ på kinesiska?”
Svaret var ”botnät.” ”Köttkyckling” var ett kinesiskt slanguttryck som hotaktörer använde på onlineforum för att beskriva zombiebotnät
Judy Ng
I det här jobbet gör du helt enkelt inte samma sak varje dag. Det är inspirerande. Du är bara att ta vara på all den slagkraftiga information som Microsoft får, och sedan låta den informationen vägleda dig.
Du blir aldrig uttråkad av all den information som omger dig här. Man säger aldrig ”Äh, det finns inget att jaga”. Det finns alltid något av intresse, och det är knappast till en nackdel att alla i Kina-teamet är en samling nyfikna typer.
Oavsett om man håller i jakten på egen hand eller i grupp, så är det fantastiskt att vi alla är så nyfikna av oss och kan testa olika tänkbara vägar.
Sarah Jones
Jag håller med Judy. Varje dag innebär ett nytt och annorlunda problem. Varje dag lär jag mig om en ny teknik eller ett nytt program som en aktör försöker utnyttja. Om det är en teknik eller ett program som jag aldrig har hört talas om, så måste jag gå tillbaka och läsa dokumentationen. Ibland måste jag läsa begäran om kommentarer för ett protokoll eftersom hotaktörerna manipulerar eller missbrukar någon aspekt av det, vilket kräver att man går tillbaka till och läser den ursprungliga dokumentationen.
Det här är saker som jag tycker är jättespännande, och jag får jobba med dem varje dag. Varje dag får jag lära mig en ny aspekt av Internet som jag aldrig hade hört talas om tidigare, och sen gäller det att hinna ikapp hotaktörerna, så att jag kan bli expert på det som de har bestämt sig för att utnyttja.
Sarah Jones
I samband med Covid såg vi en hel del förändringar. För kunderna har världen ändrats. Plötsligt höll sig alla hemma och försökte göra sitt jobb hemifrån. Vi såg hur många företag tvingades konfigurera om sina nätverk helt och hållet, och vi såg hur anställda förändrade sitt sätt att arbeta, och naturligtvis såg vi hur våra hotaktörer svarade på allt detta.
När exempelvis policyerna för arbete hemifrån först lanserades tvingades många organisationer att möjliggöra åtkomst från många olika platser till en del mycket känsliga system och resurser som vanligtvis inte var tillgängliga utanför företagens kontor. Vi såg hur hotaktörer försökte smälta in i mängden och låtsas vara distansarbetare, så att de skulle få åtkomst till de här resurserna.
När Covid-pandemin först bröt ut var det viktigt att man snabbt etablerade åtkomstpolicyer för företagsmiljöerna, och ibland gjordes detta med sådan brådska att man inte hann ta fram lösningar efter bästa praxis. Eftersom många organisationer ännu inte har hunnit revidera dessa policyer, så kan vi idag se hur hotaktörer försöker upptäcka och utnyttja felkonfigurationer och sårbarheter.
Att infiltrera skrivbordsenheter med skadlig programvara är inte lika intressant längre. Nu handlar det om att skaffa lösenord och token som ger åtkomst till känsliga system på samma sätt som för fjärrarbetare.
Judy Ng
Jag vet inte om hotaktörerna fick arbeta hemifrån, men vi har data som ger en del insikter om hur covid-avstängningarna påverkade deras aktivitet i de städer där de bodde. Oavsett var de arbetade, så påverkades deras liv – precis som alla andras.
Ibland kunde vi se hur utegångsförbud i städerna resulterade i en brist på aktivitet på deras datorer. Det var så intressant att se hur alla dessa distriktsomfattande avstängningar avspeglades i våra data.
Judy Ng
Jag har ett bra exempel – Nylon Typhoon, som är en av de hotaktörer vi spårar. Microsoft vidtog åtgärder mot denna grupp i december 2021 och störde den infrastruktur som de använde för att rikta in sig på Europa, Latinamerika och Centralamerika.
Enligt vår bedömning bestod en del av den offerinriktade aktiviteten sannolikt av underrättelseinsamlingsoperationer som syftade till att ge insikter om de partner som är involverade i Kinas Belt and Road Initiative (BRI) för den kinesiska regeringens infrastrukturprojekt runt om i världen. Vi vet att kinesiska statligt sponsrade hotaktörer bedriver traditionellt spionage och ekonomiskt spionage, och vår bedömning är att denna aktivitet troligen sträckte sig över båda fälten.
Vi är inte 100 % säkra eftersom vi inte har tagit någon på bar gärning. Efter 15 år kan jag intyga att det verkligen är svårt att ta någon på bar gärning. Vad vi kan göra är dock att analysera information, sätta in den i ett sammanhang och säga: ”Enligt vår bedömning anser vi med ett stort mått av säkerhet att det är troligt av den här anledningen”.
Sarah Jones
En av de största trenderna handlar om att flytta fokus från användarens slutpunkter och anpassad skadlig programvara till aktörer som verkligen rör sig vid gränsen, och som koncentrerar sina resurser på att – att koncentrera resurserna på att exploatera gränsenheter och upprätthålla sin uthållighet. Dessa enheter är intressanta, därför att om någon skaffar sig åtkomst till dem kan de vistas där väldigt länge.
Vissa grupper har gjort imponerande intrång på dessa enheter. De vet hur deras inbyggda programvara fungerar. De vet vilka sårbarheter varje enhet har, och de vet att många av dessa enheter inte stöder antivirus eller granulär loggning.
Hotaktörerna vet naturligtvis att enheter som virtuella privata nätverk kan utgöra nycklarna till kungariket. När organisationer lägger till ytterligare lager av säkerhet som token, multifaktorautentisering (MFA) och åtkomstpolicyer, så utvecklar aktörerna smarta sätt att kringgå och ta sig igenom dessa försvar.
Jag tror att många aktörer har insett att om de kan upprätthålla långvarig uthållighet, t.ex. på en VPN-enhet, så behöver de egentligen inte distribuera skadlig programvara någonstans. Allt de behöver göra är att ge sig själva åtkomst så att de kan logga in som vilken användare som helst.
De gör i princip sig själva till ”gudar” i nätverken genom att kompromettera dessa gränsenheter.
Vi ser också en trend där hotaktörer använder Shodan, Fofa eller någon sorts databas som genomsöker Internet, katalogiserar enheter och identifierar olika korrigeringsnivåer.
Vi ser också hotaktörer som gör sina egna genomsökningar av stora delar av Internet – ibland från redan existerande mållistor – i jakt på saker som de kan exploatera. När de hittar något gör de en ny genomsökning om hur de ska kunna utnyttja enheten, och därefter återkommer de och infiltrerar nätverket.
Sarah Jones
Båda. Det beror på aktören. Vissa aktörer har ansvar för ett visst land. Det är deras bestämda mål. Så allt de bryr sig om är enheter i det landet. Men andra aktörer har funktionella mål, vilket innebär att de fokuserar på specifika sektorer som finans, energi eller tillverkning. De lär under flera år ha byggt upp en mållista med företag att fokusera på, och dessa aktörer vet exakt vilka enheter och vilka program som deras mål använder sig av. Så vi kan se att några aktörer genomsöker en fördefinierad mållista för att se om några av målobjekten har korrigerats för en viss sårbarhet.
Judy Ng
Aktörerna kan vara väldigt målinriktade, metodiska och precisa, men ibland har de också tur. Vi får inte glömma bort att de bara är människor. När de kör sina genomsökningar eller hämtar data med en kommersiell produkt, så har de ibland bara tur och får rätt information direkt från början, vilket gör det lätt för dem att initiera sin operation.
Sarah Jones
Så är det definitivt. Men ett bra försvar är mer än bara korrigeringar. Den mest effektiva lösningen låter enkel men är väldigt svår i praktiken. Organisationerna måste ha insikt om problemet och inventera alla enheter som är anslutna till Internet. De måste veta hur deras nätverksperimetrar ser ut, och vi vet att det är en särskilt svår uppgift när det handlar om hybridmiljöer, som består av både molnet och lokala enheter.
Enhetshantering är inte lätt, och jag vill inte låtsas som att det är det, men att ha kännedom om enheterna i ditt nätverk – och korrigeringsnivåerna för var och en av dem – är ett första steg att ta.
När du väl vet vad det är du har, så kan du öka loggningskapaciteten och telemetrin från dessa enheter. Sträva efter kornighet i loggarna. De här enheterna är svåra att försvara. Det bästa man kan göra för att skydda nätverket i det här fallet är att logga och leta efter avvikelser
Judy Ng
Jag önskar jag hade en kristallkula i vilken jag kunde se vilka planer den kinesiska regeringen har. Men det har jag tyvärr inte. Men vad vi kan se är förmodligen en önskan om åtkomst till information.
Alla nationer har samma önskan.
Vi uppskattar också information. Vi uppskattar våra data.
Sarah Jones
Judy är expert på geopolitik och vår expert på Belt and Road Initiative (BRI). Vi förlitar oss på hennes insikter när vi tittar på trender, särskilt när det gäller målinriktning. Ibland kan vi se hur ett nytt mål dyker upp som vi inte blir riktigt kloka på. Det ligger inte i linje med vad de har gjort tidigare. Då vänder vi oss till Judy, som säger något i stil med: ”Åh, det pågår ett viktigt ekonomiskt möte i det här landet, eller så pågår det förhandlingar kring byggandet av en ny fabrik på den här platsen”.
Judy förser oss med en kontext – den avgörande kontext som förklarar varför hotaktörerna gör som de gör. Vi vet alla hur man använder översättning i Bing, och vi vet alla hur man söker efter nyheter, men när det ändå inte blir begripligt kan Judy säga: "Okej, den översättningen betyder faktiskt det här" – och det kan vara vad som gör skillnaden.
Att spåra kinesiska hotaktörer kräver kunskap om deras kultur, hur deras regering är strukturerad och hur deras företag och institutioner fungerar. Judys arbete är till stor hjälp när vi försöker reda ut dessa organisationers struktur och det visar oss hur de fungerar – hur de tjänar pengar och interagerar med den kinesiska regeringen.
Judy Ng
Som Sarah sa, så handlar det om kommunikation. Vi är alltid ute på Teams-chatten. Vi delar alltid med oss av de insikter vi kan ha fått från telemetrin som hjälpte oss att arbeta mot en möjlig slutsats.
Judy Ng
Min hemlighet? Mycket hängande ute på Internet och mycket läsande. Allvarligt talat, så tror jag att en av de mest värdefulla sakerna helt enkelt är att veta hur man ska använda olika sökmotorer.
Jag känner mig hemtam med Bing, men även med Baidu och Yandex.
Och anledningen till det är att olika sökmotorer ger olika resultat. Jag gör inte något speciellt, men jag vet hur jag ska leta efter olika resultat från olika källor, så att jag sedan kan analysera de data jag fått fram.
Alla i teamet är mycket kunniga. Alla har superkrafter – det är bara att veta vem man ska fråga. Och det är skönt att vi arbetar i ett team där alla känner att de kan ställa frågor till varandra, eller hur? Vi säger alltid att det inte finns några dumma frågor.
Sarah Jones
Det här är en miljö som utvecklas framåt tack vare dumma frågor.
Sarah Jones
Nu är det perfekta tillfället ta itu med IT-säkerhet. När jag först började fanns det inte många utbildningar, resurser eller sätt att utforska. Nu finns det universitetskurser och master-program! Nu finns det många sätt att komma in i yrket. Ja, det finns dyra alternativ, men även billiga och kostnadsfria.
En kostnadsfri säkerhetsutbildningsresurs har utvecklats av Simeon Kakpovi och Greg Schloemer, våra kolleger på Microsoft Threat Intelligence. Det här verktyget, som kallas KC7, gör det möjligt för alla att förkovra sig vad gäller IT-säkerhet, nätverk, värdevenemang och hotaktörsjakt.
Nu är det även möjligt att få alla typer av ämnen belysta. När jag var ny i yrket, krävdes det att man arbetade på ett företag som hade en budget på flera miljoner dollar om man skulle ha råd med dessa verktyg. För många var det en barriär att övervinna. Men nu kan vem som helst analysera prover på skadlig programvara. Det brukade vara svårt att hitta exempel på skadlig programvara och göra paketinspelningar. Men de barriärerna håller på att raseras. Idag finns det många gratisverktyg, onlineverktyg och resurser där du kan lära dig på egen hand och i din egen takt.
Mitt råd är att du tar reda på vilken nisch det är som stimulerar ditt intresse. Vill du forska kring skadlig programvara? Digital kriminalteknik? Hotinformation? Ta sikte på dina favoritämnen och dra nytta av de allmänt tillgängliga resurser som finns och lär dig så mycket du kan med hjälp av dem.
Judy Ng
Och den viktigaste grejen är att vara nyfiken, eller hur? Förutom nyfikenheten måste du även kunna samarbeta med andra. Du måste komma ihåg att detta är en lagsport – ingen kan garantera cybersäkerheten på egen hand.
Det är viktigt att kunna arbeta i ett team. Det är viktigt att vara nyfiken och vara öppen för att lära sig nya saker. Du måste vara bekväm med att ställa frågor till dina teamkollegor och hitta sätt att arbeta med dem.
Sarah Jones
Det är verkligen sant. Jag vill betona att Microsoft Threat Intelligence arbetar med många partnerteam på Microsoft. Vi förlitar oss mycket på våra kollegors expertis när vi försöker förstå vad hotaktörerna gör och varför de gör det de gör. Vi skulle inte kunna göra vårt arbete utan dem.
Följ Microsoft Security