Trong cuộc phỏng vấn hấp dẫn này, Sherrod DeGrippo, một chuyên gia tình báo về mối đe dọa dày dạn và có hơn 19 năm kinh nghiệm, sẽ phân tích sâu về lĩnh vực gián điệp mạng. Ngoài ra, còn có Judy Ng và Sarah Jones, hai chuyên gia đáng nể chuyên giải quyết mạng lưới các mối đe dọa mạng phức tạp có nguồn gốc từ Trung Quốc. Họ tập trung vào các hoạt động bí mật trong bối cảnh mối đe dọa hiện đại. Họ cùng nhau thảo luận về những thách thức mà những người bảo vệ thế giới kết nối của chúng ta phải đối mặt. Hãy chuẩn bị nhập tâm vào những chuyện chưa được kể và lắng nghe những kiến thức chuyên môn xuất sắc của những thám tử số này khi họ tìm hiểu thế giới ẩn giấu của chiến trường mạng Trung Quốc.
Trên tiền tuyến: Giải mã chiến thuật và kỹ thuật của tác nhân đe dọa từ Trung Quốc
Sarah Jones
Là nhà phân tích cấp cao về mối đe dọa, tôi nghiên cứu các nhóm APT (mối đe dọa tấn công có chủ đích) có nguồn gốc từ Trung Quốc và hoạt động thay mặt cho chính phủ Trung Quốc. Tôi theo dõi quá trình phát triển phần mềm gây hại của họ và nghiên cứu các phương pháp thiết lập hạ tầng và xâm phạm mạng nạn nhân. Trước khi gia nhập Microsoft Threat Intelligence, tôi chủ yếu tập trung vào Trung Quốc nhưng tôi cũng đã từng nghiên cứu về các nhóm của Iran và Nga.
Trong phần lớn quá trình làm việc của tôi, đặc biệt là thời kỳ đầu trong sự nghiệp, tôi đã làm việc tại Trung tâm Điều hành An ninh và tập trung vào an ninh nội bộ của mạng lưới chính phủ và doanh nghiệp.
Một trong những điều tuyệt vời khi nghiên cứu các nhóm tác nhân đe dọa Trung Quốc là có khả năng theo dõi họ trong khoảng thời gian dài như vậy. Tôi thấy thú vị khi có thể nghiên cứu các nhóm mà tôi nhớ từ 10 năm trước và theo dõi quá trình phát triển của họ.
Judy Ng
Giống như Sarah, tôi cũng là nhà phân tích cấp cao về mối đe dọa. Ngoài phân tích mối đe dọa mạng, tôi còn tận dụng phân tích địa chính trị. Tôi đã theo dõi các tác nhân ở Trung Quốc dưới những góc nhìn khác nhau trong 15 năm đóng các vai trò hỗ trợ chính phủ Mỹ, các vị trí khởi nghiệp, các vị trí khác nhau trong tập đoàn Mỹ và tất nhiên là tại Microsoft, nơi tôi đã làm việc từ năm 2020.
Tôi bắt đầu tập trung vào Trung Quốc vì tôi luôn quan tâm đến nước này. Trong thời kỳ đầu sự nghiệp, mối quan tâm đó đã giúp tôi hiểu về bối cảnh mà các đồng nghiệp không nắm rõ vì họ không hiểu được một số sắc thái của ngôn ngữ hoặc văn hóa Trung Quốc.
Tôi nghĩ một trong những câu hỏi đầu tiên của tôi là “Judy, 'thịt gà' là gì? ‘Thịt gà’ trong tiếng Trung có nghĩa là gì?”
Câu trả lời là “botnet”. “Thịt gà” là từ lóng trong tiếng Trung mà những tác nhân đe dọa dùng trên các diễn đàn trực tuyến để nói về các botnet thây ma
Judy Ng
Trong công việc này, mọi thứ hàng ngày không giống nhau. Công việc rất thú vị. Bạn có thể khai thác tất cả các tín hiệu mạnh mẽ mà Microsoft thu được và chỉ cần dựa theo những dữ liệu đó.
Bạn sẽ không bao giờ thấy nhàm chán với tập dữ liệu ở đây. Bạn sẽ không bao giờ nói: “Ôi, chẳng có gì để tìm”. Sẽ luôn có điều gì đó đáng quan tâm và điều đó rất có ích vì hầu hết các thành viên trong nhóm Trung Quốc của chúng tôi đều rất tò mò.
Cho dù các thành viên tự mình tìm kiếm hay làm việc theo nhóm thì điều tuyệt vời là tất cả chúng tôi đều rất tò mò và có thể đi theo những con đường khác nhau.
Sarah Jones
Tôi cũng đồng ý với Judy. Mỗi ngày sẽ có các vấn đề mới và khác nhau. Mỗi ngày tôi đều biết thêm về một loại công nghệ mới hoặc phần mềm mới mà tác nhân đang cố gắng khai thác. Sau đó, tôi phải quay lại và đọc tài liệu nếu đó là chương trình công nghệ hoặc phần mềm mà tôi chưa từng nghe đến. Đôi khi tôi sẽ phải đọc RFC (yêu cầu bình luận) của một giao thức vì những tác nhân đe dọa đang thao túng hoặc lạm dụng một số khía cạnh của giao thức và buộc tôi phải quay lại tài liệu gốc để đọc.
Tôi thấy những điều này thực sự thú vị và tôi nghiên cứu mỗi ngày. Hằng ngày, tôi tìm hiểu về một khía cạnh mới của Internet mà tôi chưa từng biết đến và sau đó chạy đua để theo kịp những tác nhân đe dọa sao cho tôi có thể trở thành chuyên gia về thứ mà họ đã quyết định khai thác.
Sarah Jones
Khi có COVID, chúng ta đã thấy rất nhiều thay đổi. Đối với khách hàng, thế giới đã thay đổi. Đột nhiên, mọi người đều phải ở nhà và tìm cách tiếp tục công việc của mình. Chúng tôi thấy nhiều công ty phải cấu hình lại hoàn toàn các mạng và chúng tôi thấy nhân viên thay đổi cách làm việc, và tất nhiên, chúng tôi thấy các tác nhân đe dọa cũng phản ứng với tất cả những điều đó.
Ví dụ, khi lần đầu tiên thực hiện chính sách làm việc tại nhà, nhiều tổ chức phải cho phép truy cập từ nhiều địa điểm khác nhau vào một số hệ thống và tài nguyên rất nhạy cảm mà vốn thường không được truy cập ngoài văn phòng công ty. Chúng tôi thấy sau đó các tác nhân đe dọa cố gắng trà trộn, giả vờ là nhân viên làm việc từ xa và truy cập các tài nguyên này.
Khi COVID mới xảy ra, phải thiết lập nhanh cóng các chính sách truy cập trong môi trường doanh nghiệp và đôi khi không có thời gian nghiên cứu hay xem xét các phương pháp hay nhất. Vì rất nhiều tổ chức chưa xem lại các chính sách đó kể từ lần triển khai ban đầu nên chúng tôi thấy các tác nhân đe dọa ngày nay đang cố gắng tìm hiểu và khai thác các lỗ hổng, sai sót cấu hình.
Cài phần mềm gây hại vào máy tính để bàn không còn có giá trị nữa. Bây giờ điều giá trị là lấy được mật khẩu và mã thông báo để có thể truy cập các hệ thống nhạy cảm tương tự như các nhân viên làm việc từ xa đang làm.
Judy Ng
Tôi không biết liệu các tác nhân đe dọa có làm việc tại nhà hay không, nhưng chúng tôi có dữ liệu chi tiết cho thấy tình trạng đóng cửa do COVID đã ảnh hưởng như thế nào đến hoạt động của họ tại các thành phố nơi họ sống. Cho dù họ làm việc ở đâu thì cuộc sống của họ đều bị ảnh hưởng—giống như tất cả mọi người.
Đôi khi chúng tôi có thể thấy tác động khi toàn thành phố đóng cửa vì thấy máy tính của họ không hoạt động. Tôi thấy thú vị khi dữ liệu của chúng tôi cho thấy tác động của tất cả các đợt đóng cửa toàn khu vực.
Judy Ng
Tôi có một ví dụ điển hình, về một trong những tác nhân đe dọa mà chúng tôi theo dõi tên là Nylon Typhoon. Microsoft đã có động thái ngăn chặn nhóm này vào tháng 12 năm 2021 và làm gián đoạn hạ tầng mà nhóm này dùng để tấn công châu Âu, Mỹ Latinh và Trung Mỹ.
Theo đánh giá của chúng tôi, một số hoạt động bị nhằm vào có thể liên quan đến các hoạt động thu thập thông tin tình báo nhằm hiểu sâu về các đối tác tham gia Sáng kiến Vành đai và Con đường (BRI) của Trung Quốc liên quan các dự án hạ tầng của chính phủ Trung Quốc trên toàn cầu. Chúng tôi biết rằng những tác nhân đe dọa được nhà nước Trung Quốc bảo trợ đã tiến hành hoạt động gián điệp truyền thống và gián điệp kinh tế, và chúng tôi đánh giá hoạt động này có thể bao gồm cả hai.
Chúng tôi không chắc chắn 100% vì chúng tôi không có bằng chứng rõ ràng. Sau 15 năm, tôi có thể nói rằng rất khó tìm ra bằng chứng rõ ràng. Tuy nhiên, những gì chúng tôi có thể làm là phân tích thông tin, đưa ra bối cảnh và kết luận: "Với mức độ chắc chắn bằng này, chúng tôi đánh giá điều đó có thể xảy ra vì lý do này".
Sarah Jones
Một trong những xu hướng lớn nhất là chuyển trọng tâm từ thiết bị của người dùng và phần mềm gây hại tùy chỉnh sang các tác nhân mạo hiểm, tức là tập trung nguồn lực để khai thác các thiết bị biên và ở đó lâu dài. Những thiết bị này rất thú vị vì nếu ai đó có quyền truy cập, họ có thể ở đó một thời gian rất dài.
Một vài nhóm đã nghiên cứu rất sâu về các thiết bị này. Họ biết phần mềm cơ sở của mình hoạt động như thế nào. Họ biết các lỗ hổng của mỗi thiết bị và họ biết rằng nhiều thiết bị không hỗ trợ tính năng chống virus hoặc ghi nhật ký chi tiết.
Tất nhiên, các tác nhân đều biết các thiết bị như VPN mà giờ đây giống như chìa khóa thần kỳ. Khi các tổ chức bổ sung các lớp bảo mật như mã thông báo, xác thực đa yếu tố (MFA) và chính sách truy cập, các tác nhân ngày càng trở nên thông minh hơn để tìm cách vượt kiểm duyệt và vượt qua các biện pháp bảo vệ.
Tôi nghĩ nhiều tác nhân đã nhận ra rằng nếu họ có thể nằm vùng lâu dài thông qua một thiết bị như VPN thì họ không thực sự cần phải cài phần mềm gây hại ở bất cứ đâu. Họ chỉ cần cấp cho mình quyền truy cập để đăng nhập giả mạo bất kỳ người dùng nào.
Về cơ bản, họ tự tạo cho mình “chế độ thần kỳ GodMode” trên mạng bằng cách xâm phạm các thiết bị biên này.
Chúng tôi cũng nhận thấy xu hướng các tác nhân đang sử dụng Shodan, Fofa hoặc bất kỳ loại cơ sở dữ liệu nào để quét internet, lập danh mục thiết bị và xác định các cấp độ bản vá khác nhau.
Chúng tôi cũng thấy các tác nhân tự quét nhiều vùng rộng lớn trên Internet, đôi khi từ danh sách mục tiêu đã có sẵn, để tìm kiếm những thứ có thể khai thác được. Khi tìm thấy thứ gì đó, họ sẽ quét một lần nữa để thực sự khai thác thiết bị và sau đó quay lại để truy cập mạng.
Sarah Jones
Cả hai. Điều này phụ thuộc vào tác nhân. Một số tác nhân phục vụ một quốc gia nhất định nào đó. Đó là mục tiêu đã định của họ nên tất cả những gì họ quan tâm là các thiết bị ở quốc gia đó. Nhưng các tác nhân khác có nhiều mục tiêu về chức năng, vì vậy họ sẽ tập trung vào các lĩnh vực cụ thể như tài chính, năng lượng hoặc sản xuất. Họ sẽ xây dựng danh sách mục tiêu trong nhiều năm về các công ty mà họ quan tâm và những tác nhân này biết chính xác về những thiết bị và phần mềm mà mục tiêu của họ đang sử dụng. Vì vậy, chúng tôi thấy một số tác nhân quét danh sách mục tiêu đã được xác định trước để xem liệu các mục tiêu đã vá một lỗ hổng nào đó hay chưa.
Judy Ng
Các tác nhân có thể làm việc rất cụ thể, có phương pháp và chính xác, nhưng đôi khi họ cũng gặp may mắn. Chúng ta phải nhớ họ cũng là người thôi. Khi họ quét hoặc lấy dữ liệu bằng một sản phẩm thương mại, đôi khi họ gặp may và lấy được bộ thông tin phù hợp ngay từ đầu để giúp bắt đầu hoạt động.
Sarah Jones
Chắc chắn là như vậy. Nhưng cách phòng thủ đúng đắn không chỉ là vá lỗi. Giải pháp hiệu quả nhất nghe có vẻ đơn giản nhưng lại rất khó thực hiện. Các tổ chức phải hiểu và kiểm kê các thiết bị kết nối internet của mình. Họ phải biết phạm vi mạng của mình trông như thế nào và chúng tôi biết rằng điều đó đặc biệt khó thực hiện trong môi trường có cả thiết bị đám mây và thiết bị tại chỗ.
Quản lý thiết bị không hề dễ dàng và tôi không muốn giả vờ là nó dễ dàng, nhưng hiểu về các thiết bị trên mạng của mình và cấp độ bản vá cho từng thiết bị đó là bước đầu tiên ta có thể thực hiện.
Khi ta biết mình có những gì, ta có thể tăng khả năng ghi nhật ký và đo từ xa từ các thiết bị đó. Cố gắng ghi nhật ký thật chi tiết. Những thiết bị này rất khó bảo vệ. Cách tốt nhất để bảo vệ các thiết bị này là ghi nhật ký và tìm kiếm các điểm bất thường
Judy Ng
Tôi ước mình có thể biết về kế hoạch của chính phủ Trung Quốc. Thật không may là tôi không biết. Nhưng những gì chúng ta có thể thấy có lẽ là khao khát tiếp cận thông tin.
Quốc gia nào cũng đều khao khát điều này.
Chúng tôi cũng thích thông tin của chúng tôi nữa. Chúng tôi thích dữ liệu của chúng tôi.
Sarah Jones
Judy là chuyên gia về Sáng kiến Vành đai và Con đường (BRI) và chuyên gia địa chính trị. Chúng tôi dựa vào những thông tin chuyên sâu của bà khi xem xét các xu hướng, đặc biệt là khi nhắm mục tiêu. Đôi khi chúng ta sẽ thấy một mục tiêu mới xuất hiện và nó thực sự khó hiểu. Nó không giống những gì họ đã làm trước đây và vì vậy chúng tôi sẽ đưa nó cho Judy. Judy sẽ nói với chúng tôi: "À, nước này đang có một cuộc họp kinh tế quan trọng hoặc đang đàm phán về việc xây dựng một nhà máy mới ở vị trí này".
Judy cung cấp cho chúng tôi bối cảnh có giá trị, bối cảnh thiết yếu để hiểu lý do tại sao những tác nhân đe dọa lại đang hành động như vậy. Chúng ta đều biết cách dùng Bing Translate và chúng ta đều biết cách tra cứu tin tức, nhưng khi có điều gì đó khó hiểu, Judy có thể nói với chúng ta: "À, thực ra bản dịch đó có nghĩa như thế này" và đó có thể là điều khác biệt.
Khi theo dõi các tác nhân đe dọa Trung Quốc, cần có kiến thức văn hóa về cơ cấu chính phủ của họ cũng như cách hoạt động của các công ty và tổ chức của họ. Công việc của Judy giúp phân tích cơ cấu của các tổ chức này và cho chúng ta biết họ hoạt động thế nào, tức là họ kiếm tiền và tương tác với chính phủ Trung Quốc thế nào.
Judy Ng
Như Sarah đã nói, đó là trao đổi thông tin. Chúng tôi luôn hoạt động trong Teams Chat. Chúng tôi luôn chia sẻ những thông tin chuyên sâu mà chúng tôi có thể đã thấy nhờ dữ liệu đo từ xa, điều giúp chúng tôi hướng tới một kết luận khả thi.
Judy Ng
Tôi làm như thế nào à? Dành nhiều thời gian lướt web và đọc. Tuy nhiên, thật ra, tôi nghĩ một trong những điều có giá trị nhất chỉ đơn giản là biết cách dùng các công cụ tìm kiếm khác nhau.
Tôi quen dùng Bing cũng như Baidu và Yandex.
Và đó là vì các công cụ tìm kiếm khác nhau lại cho ra kết quả khác nhau. Tôi không làm gì đặc biệt nhưng tôi biết tìm kiếm các kết quả khác nhau từ các nguồn khác nhau để có thể phân tích dữ liệu từ đó.
Ai trong nhóm cũng đều rất hiểu biết. Ai cũng có siêu năng lực chỉ cần biết phải hỏi ai. Và tôi thấy tuyệt vời khi chúng ta làm việc trong một nhóm mà ai cũng có thể thoải mái hỏi nhau, đúng không nhỉ? Chúng tôi luôn nói rằng không có câu hỏi nào là ngớ ngẩn cả.
Sarah Jones
Nơi này tồn tại là nhờ những câu hỏi ngớ ngẩn.
Sarah Jones
Bây giờ là thời điểm hoàn hảo để tham gia vào lĩnh vực bảo mật CNTT. Khi tôi mới bắt đầu, không có nhiều lớp học, tài nguyên hay cách thức để tìm hiểu. Bây giờ có chương trình đại học và thạc sĩ! Hiện nay có nhiều cách để vào nghề này. Đúng, có những cách có thể tốn rất nhiều tiền, nhưng cũng có những cách rẻ hơn và miễn phí.
Có một tài nguyên đào tạo miễn phí về bảo mật do Simeon Kakpovi và Greg Schloemer phát triển. Họ là đồng nghiệp của chúng tôi tại Microsoft Threat Intelligence. Công cụ này, được gọi là KC7, giúp mọi người có thể tìm hiểu về bảo mật CNTT, hiểu về mạng và tổ chức sự kiện cũng như tìm kiếm tác nhân.
Bây giờ ta cũng có thể tiếp xúc với tất cả các loại chủ đề khác nhau. Hồi tôi mới bắt đầu, cần phải làm việc tại một công ty có ngân sách hàng triệu đô la thì mới đủ tiền mua những công cụ này. Đối với nhiều người, đó là một rào cản khi muốn tìm hiểu về nghề này. Nhưng giờ đây, ai cũng có thể phân tích các mẫu phần mềm gây hại. Trước đây rất khó tìm các mẫu phần mềm gây hại và chương trình nghe trộm gói tin. Nhưng những rào cản đó đang dần không còn. Ngày nay, có rất nhiều công cụ và tài nguyên miễn phí trực tuyến, nơi ta có thể tự học theo khả năng.
Lời khuyên của tôi là hãy tìm ra lĩnh vực thích hợp mà bạn quan tâm. Bạn muốn nghiên cứu về phần mềm gây hại? Hay điều tra số? Hay thông tin về mối đe dọa? Hãy tập trung vào các chủ đề bạn yêu thích và tận dụng các tài nguyên có sẵn công khai, tìm hiểu nhiều nhất có thể dựa trên những tài nguyên đó.
Judy Ng
Điều quan trọng nhất là phải tò mò, phải không ạ? Ngoài sự tò mò, bạn phải biết phối hợp với người khác. Bạn phải nhớ đây là công việc nhóm, không ai có thể một mình đảm trách an ninh mạng.
Tôi thấy điều quan trọng là khả năng làm việc theo nhóm. Tôi thấy điều quan trọng là phải tò mò và sẵn sàng học hỏi. Bạn phải thoải mái hỏi và tìm cách phối hợp với đồng nghiệp.
Sarah Jones
Chắc chắn rồi, chắc chắn đúng như vậy. Tôi muốn nhấn mạnh rằng Microsoft Threat Intelligence phối hợp với rất nhiều nhóm đối tác tại Microsoft. Chúng tôi chủ yếu dựa vào kiến thức chuyên môn của các đồng nghiệp để hiểu những gì các tác nhân đang làm và lý do họ làm việc đó. Chúng tôi không thể làm công việc của mình nếu không có họ.
Theo dõi Microsoft Security