В това завладяващо интервю Шерод ДеГрипо, опитен експерт по киберразузнаване с над 19-годишен опит, навлиза дълбоко в сферата на кибершпионажа. Заедно с Джуди Нг и Сара Джоунс, двама страхотни специалисти, посветили се на разплитането на сложната мрежа от киберзаплахи, идващи от Китай, те обръщат внимание на тайните дейности в съвременния пейзаж на заплахите. Заедно те обсъждат предизвикателствата, пред които са изправени тези, които защитават нашия взаимосвързан свят. Подгответе се да се потопите в неразказаните истории и изключителния опит на тези дигитални детективи, докато се движат в скритото царство на китайското кибер бойно поле.
Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
На първите линии: Разшифроване на тактиките и техниките на китайските извършители, представляващи заплахи
Сара Джоунс
Като старши анализатор на заплахи изследвам групи за APT (дългосрочни неразкрити заплахи), които произхождат от Китай и работят от името на китайското правителство. Проследявам развитието на злонамерения им софтуер във времето и изследвам методите им за създаване на инфраструктура и компрометиране на мрежите на жертвите. Преди да се присъединя към Набор от ресурси на Microsoft срещу заплахи, се фокусирах основно върху Китай, но съм работила и върху ирански и руски групи.
През по-голямата част от кариерата си, особено в началото на кариерата си, съм работила в центрове за операции по сигурността и съм се фокусирала върху вътрешната сигурност на правителствени и корпоративни мрежи.
Едно от най-хубавите неща при изучаването на китайските групи от извършители, представляващи заплаха, е възможността да ги проследяваме за толкова дълъг период от време. Много е интересно да мога да изследвам групи, които си спомням отпреди 10 години, и да наблюдавам развитието им с течение на времето.
Джуди Нг
Подобно на Сара, аз също съм старши анализатор на заплахи, като използвам геополитически анализ в допълнение към анализа на киберзаплахите. През последните 15 години от кариерата си следя китайските участници от различни гледни точки - включително роли в подкрепа на правителството на САЩ, позиции в стартъпи, различни места в корпоративна Америка и, разбира се, в Microsoft, където съм от 2020 г.
Започнах с фокус върху Китай, защото винаги съм имала интерес към него. В началото на кариерата ми този интерес ми помогна да осигуря контекст, който убягваше на колегите, които може би не разбираха някои от нюансите на китайския език или култура.
Мисля, че един от първите ми въпроси беше: „Джуди, какво е „пилешко месо“? Какво означава „пилешко месо“ на китайски?“
Отговорът беше „ботнет“. „Пилешко месо“ беше китайският жаргон, който участниците в заплахите използваха в онлайн форумите, за да опишат зомби ботнети
Джуди Нг
В тази работа просто не се прави едно и също нещо всеки ден. Тя е вълнуваща. Можете да използвате всички мощни сигнали, които Microsoft получава, и просто да оставите тези данни да ви водят.
Никога няма да ви омръзне наборът от данни тук. Никога няма да си кажете: „О, няма какво да преследвам“. Винаги ще има нещо, което да представлява интерес, а и ни помага фактът, че повечето от колегите ни в екипа в Китай са просто любопитни хора.
Независимо дали става дума за самостоятелно издирване, или за групово разглеждане на даден обект, чудесно е, че всички сме любопитни и можем да тръгнем по различни пътища.
Сара Джоунс
Трябва да се съглася с Джуди. Всеки ден е нов и различен набор от проблеми. Всеки ден научавам за нова технология или нов софтуер, който някое действащо лице се опитва да експлоатира. След това трябва да се върна и да прочета документацията, ако става въпрос за технология или софтуерна програма, за която никога не съм чувала. Понякога се налага да прочета RFC (искане за коментар) за даден протокол, защото участниците в заплахите манипулират или злоупотребяват с някакъв негов аспект, а това изисква да се върна към оригиналната документация и да я прочета.
Тези неща са наистина вълнуващи за мен и имам възможност да работя по тях всеки ден. Всеки ден научавам за нов аспект на интернет, за който не съм чувала, и след това се надпреварвам с участниците в заплахите, за да мога да стана експерт в нещото, което те са решили да използват.
Сара Джоунс
При COVID видяхме много промени. За клиентите светът се е променил. За една нощ всички се прибраха вкъщи и се опитаха да продължат да вършат работата си. Видяхме, че много компании трябваше напълно да преконфигурират мрежите си, видяхме как служителите промениха начина си на работа и, разбира се, видяхме как нашите участници в заплахите реагираха на всичко това.
Например, когато политиките за работа от вкъщи бяха въведени за първи път, много организации трябваше да разрешат достъп от много различни места до някои много чувствителни системи и ресурси, които обикновено не бяха достъпни извън корпоративните офиси. Тогава видяхме, че участниците в заплахите се опитват да се слеят с шума, преструвайки се на дистанционни служители, и да получат достъп до тези ресурси.
Когато COVID се появи за пръв път, политиките за достъп за корпоративните среди трябваше да бъдат създадени набързо и понякога това ставаше без време за проучване и преглед на най-добрите практики. Тъй като много организации не са преразгледали тези политики след първоначалното им въвеждане, днес виждаме, че участниците в заплахите се опитват да открият и използват неправилни конфигурации и уязвимости.
Поставянето на злонамерен софтуер на настолните компютри вече не е толкова ценно. Сега става въпрос за получаване на пароли и токени, които позволяват достъп до чувствителни системи по същия начин, както това правят отдалечените служители.
Джуди Нг
Не знам дали участниците в заплахите са успели да работят от вкъщи, но разполагаме с данни, които дават известна представа за това как спирането на работата по време на COVID е повлияло на дейността им в градовете, където са живели. Без значение къде са вършили работата си, животът им е бил засегнат - точно както на всички останали.
Понякога можехме да видим ефекта от спирането на работата в целия град по липсата на активност на техните компютри. Беше много интересно да видим в нашите данни влиянието на всички тези периодични спирания в целия район.
Джуди Нг
Имам чудесен пример - един от участниците в заплахите, които следим, Nylon Typhoon. Microsoft предприе действия срещу тази група през декември 2021 г. и наруши инфраструктурата, използвана за атаки срещу Европа, Латинска и Централна Америка.
Според нашата оценка част от дейността на жертвите вероятно е включвала операции за събиране на разузнавателна информация, целящи да осигурят информация за партньорите, участващи в китайската инициатива „Пояс и път“ (BRI), за инфраструктурни проекти, управлявани от китайското правителство по целия свят. Знаем, че спонсорираните от китайската държава участници в заплахите извършват традиционен и икономически шпионаж, а нашата оценка е, че тази дейност вероятно обхваща и двете.
Не сме 100% сигурни, защото нямаме доказателства за това. След 15 години мога да ви кажа, че намирането на димяща пушка е много трудно. Това, което можем да направим, обаче, е да анализираме информацията, да включим контекста и да кажем: „С тази степен на увереност оценяваме, че това е вероятно поради тази причина.“
Сара Джоунс
Една от най-значимите тенденции е изместването на фокуса от крайните потребителски точки и персонализирания злонамерен софтуер към участници, които наистина живеят на границата - съсредоточаване на ресурсите върху експлоатацията на крайните устройства и поддържане на устойчивост. Тези устройства са интересни, защото ако някой получи достъп, може да пребивава там много дълго време.
Някои групи са направили впечатляващи дълбоки проучвания на тези устройства. Те знаят как работи техният фърмуер. Те познават уязвимостите на всяко устройство и знаят, че много устройства не поддържат антивирусни програми или детайлно регистриране.
Разбира се, участниците знаят, че устройствата като VPN вече са като ключове за царството. Тъй като организациите добавят слоеве на сигурност като токени, многофакторно удостоверяване (MFA) и политики за достъп, участниците стават все по-умни в заобикалянето и промъкването през защитата.
Мисля, че много участници са осъзнали, че ако са в състояние да поддържат дългосрочна устойчивост чрез устройство като VPN, всъщност не е необходимо да разполагат злонамерен софтуер където и да било. Те просто могат да си осигурят достъп, който да им позволи да влязат като всеки потребител.
По същество те си осигуряват „божествен режим“ в мрежата, като компрометират тези крайни устройства.
Наблюдаваме също така тенденция, при която участниците използват Shodan, Fofa или друг вид база данни, която сканира интернет, каталогизира устройствата и идентифицира различни нива на пачове.
Виждаме също така, че участниците извършват собствени сканирания на големи части от интернет – понякога по предварително изготвени списъци с цели – в търсене на неща, които могат да бъдат експлоатирани. Когато намерят нещо, те правят друго сканиране, за да експлоатират устройството, и се връщат по-късно, за да получат достъп до мрежата.
Сара Джоунс
И двете. Зависи от действащото лице. Някои действащи лица са отговорни за дадена държава. Това е техният целеви набор, така че единственото, което ги интересува, са устройствата в тази държава. Но други участници имат функционални целеви групи – така че те ще се съсредоточат върху конкретни сектори, като например финанси, енергетика или производство. В продължение на няколко години те ще са изградили целеви списък с компании, които ги интересуват, и тези участници знаят точно какви устройства и софтуер използват техните цели. Така че наблюдаваме как някои участници сканират предварително определен списък с цели, за да видят дали целите са коригирали дадена уязвимост.
Джуди Нг
Действащите лица могат да бъдат много целенасочени, методични и прецизни, но понякога имат и късмет. Трябва да помним, че те са хора. Когато провеждат сканирането си или събират данни с търговски продукт, понякога просто имат късмет и получават правилния набор от информация от самото начало, за да подпомогнат започването на операцията си.
Сара Джоунс
Това определено е така. Но правилната защита е нещо повече от просто коригиране. Най-ефективното решение звучи просто, но на практика е много трудно. Организациите трябва да разберат и инвентаризират своите устройства, които са изложени на интернет. Те трябва да знаят как изглеждат периметрите на мрежите им, а знаем, че това е особено трудно да се направи в хибридни среди с облачни и локални устройства.
Управлението на устройствата не е лесно и не искам да се преструвам, че е така, но да знаете за устройствата в мрежата си – и нивата на корекция за всяко от тях – е първата стъпка, която можете да направите.
След като знаете с какво разполагате, можете да увеличите възможностите за регистриране и телеметрия от тези устройства. Стремете се към детайлност на регистрите. Тези устройства са трудни за защита. Най-добрият вариант за защита на тези устройства е воденето на регистър и търсенето на аномалии
Джуди Нг
Иска ми се да имам кристална топка за да видя какви са плановете на китайското правителство. За съжаление, нямам. Но това, което можем да видим, вероятно е апетит за достъп до информация.
Всяка нация има такъв апетит.
Ние също обичаме нашата информация. Харесваме данните си.
Сара Джоунс
Джуди е нашият експерт по инициативата „Пояс и път“ (BRI) и геополитически експерт. Разчитаме на нейните прозрения, когато разглеждаме тенденциите, особено в областта на таргетирането. Понякога виждаме, че се появява нова цел и тя няма никакъв смисъл. Тя не се вписва в това, което са правили преди, и затова ще я отнесем до Джуди, която ще ни каже: „О, в тази страна се провежда важна икономическа среща или има преговори около изграждането на нов завод на това място.“
Джуди ни дава ценен контекст – съществен контекст – за това защо участниците в заплахата правят това, което правят. Всички знаем как да използваме Bing Translate и как да преглеждаме новините, но когато нещо няма смисъл, Джуди може да ни каже: „Ами, този превод всъщност означава това“, а това може да се окаже решаващо.
Проследяването на участници в заплахи от Китай изисква културни познания за това как е структурирано тяхното правителство и как функционират техните компании и институции. Работата на Джуди помага да се разплете структурата на тези организации и ни позволява да разберем как функционират те – как печелят пари и взаимодействат с китайското правителство.
Джуди Нг
Както каза Сара, това е комуникация. Винаги сме в чата на Teams. Винаги споделяме прозренията, които може да сме видели от телеметрията и които са ни помогнали да работим за възможно заключение.
Джуди Нг
Какъв е моят трик? Много време за работа в интернет и четене. Сериозно обаче смятам, че едно от най-ценните неща е просто да знам как да използвам различните търсачки.
Чувствам се удобно в Bing, но също така и в Baidu, и в Yandex.
И това е така, защото различните търсачки дават различни резултати. Не правя нищо специално, но знам да търся различни резултати от различни източници, за да мога да анализирам данните оттам.
Всички в екипа са много компетентни. Всеки има свръхспособности – просто трябва да знаете кого да попитате. И е чудесно, че работим в екип, в който всеки се чувства комфортно да си задава въпроси, нали? Винаги казваме, че няма глупави въпроси.
Сара Джоунс
Това място се захранва от глупави въпроси.
Сара Джоунс
Сега е идеалният момент да се заемете с ИТ сигурност. Когато започнах, нямаше много класове, ресурси или начини за проучване. Сега има бакалавърски и магистърски програми! Сега има много начини да навлезете в тази професия. Да, има пътища, които могат да струват много пари, но има и по-нискобюджетни и безплатни пътища.
Един от безплатните ресурси за обучение по сигурност е разработен от Симеон Какпови и Грег Шломер, наши колеги от Набор от ресурси на Microsoft срещу заплахи. Този инструмент, наречен KC7, прави навлизането в ИТ сигурността, разбирането на събитията в мрежата и хостовете и проследяването на участници достъпни за всеки.
Сега е възможно да се запознаете и с най-различни теми. Когато аз започнах, трябваше да работите в компания с бюджет от няколко милиона долара, за да си позволите тези инструменти. За мнозина това беше пречка за достъп. Но сега всеки може да анализира проби от злонамерен софтуер. Преди беше трудно да се намерят образци на злонамерен софтуер и заснети пакети. Но тези бариери падат. Днес има толкова много безплатни и онлайн инструменти и ресурси, където можете да се учите сами и със собствено темпо.
Моят съвет е да откриете нишата, която предизвиква интереса ви. Искате да се занимавате с изследване на злонамерен софтуер? Цифрова криминалистика? Разузнаване на заплахи? Насочете се към любимите си теми, възползвайте се от публично достъпните ресурси и научете колкото се може повече с тях.
Джуди Нг
Най-важното нещо е да сте любопитни, нали? Заедно с любопитството трябва да работите добре с другите. Трябва да помните, че това е екипен спорт – никой не може да се справи сам с киберсигурността.
Важно е да можете да работите в екип. Важно е да сте любопитни и отворени за учене. Трябва да се чувствате комфортно да задавате въпроси и да намирате начини да работите със съотборниците си.
Сара Джоунс
Това определено, определено е вярно. Бих искала да подчертая, че Набор от ресурси на Microsoft срещу заплахи работи с много партньорски екипи в Microsoft. Разчитаме много на експертния опит на нашите колеги, за да ни помогнат да разберем какво правят участниците и защо го правят. Не бихме могли да вършим работата си без тях.
Следвайте Microsoft