V první linii: Dekódování taktik a technik čínských aktérů hrozeb

V souvislosti s COVIDem jsme viděli hodně změn. Pro zákazníky se svět změnil. Prakticky přes noc se všichni přesunuli domů a snažili se pokračovat v práci. Viděli jsme, že mnoho společností muselo zcela změnit konfiguraci svých sítí, zaměstnanci změnili způsob své práce a na to všechno samozřejmě reagovali i aktéři hrozeb.

Například při zavádění zásad práce z domova muselo mnoho organizací umožnit přístup z mnoha různých míst k některým velmi citlivým systémům a zdrojům, které obvykle nebyly dostupné mimo firemní kanceláře. Viděli jsme, jak se aktéři hrozeb pokoušejí vmísit do provozního šumu, předstírají, že jsou vzdálení pracovníci, a přistupují k těmto zdrojům.

Když se objevil COVID poprvé, bylo nutné zásady přístupu pro podniková prostředí zřídit rychle a někdy se to dělalo bez času na průzkum a přezkoumání osvědčených postupů. Protože mnoho organizací tyto zásady od jejich počátečního zavedení nerevidovalo, vidíme, že se dnes aktéři hrozeb snaží objevovat a zneužívat chybné konfigurace a místa možného ohrožení zabezpečení.

Umísťování malwaru na desktopové počítače už nemá takovou cenu. Nyní jde o získání hesel a tokenů, které umožňují přístup k citlivým systémům stejným způsobem jako u vzdálených pracovníků.

Nevím, jestli aktéři hrozeb začali pracovat z domova, ale máme k dispozici data, která poskytují určitý náhled na to, jak uzávěry v době COVIDu ovlivnila jejich činnost ve městech, kde žili. Ať už pracovali kdekoli, na jejich životy to mělo vliv – stejně jako životy všech ostatních.

Někdy jsme mohli z poklesu aktivity na jejich počítačích vypozorovat dopady celoměstských uzávěr. Bylo velmi zajímavé v našich datech sledovat dopad všech těchto celoplošných uzávěr.

Mám skvělý příklad – jednoho z aktérů hrozeb, které sledujeme, Nylon Typhoon. Společnost Microsoft proti této skupině zakročila v prosinci 2021 a narušila infrastrukturu používanou k útokům na Evropu, Latinskou Ameriku a Střední Ameriku.

Podle našeho názoru se některé aktivity u obětí pravděpodobně týkaly zpravodajských operací s cílem získat informace o partnerech zapojených do čínské iniciativy Hedvábná stezka (Belt and Road Initiative) pro čínské vládou řízené infrastrukturní projekty po celém světě. Víme, že čínští státem sponzorovaní aktéři provádějí tradiční špionáž a ekonomickou špionáž, a podle našeho názoru se tato činnost pravděpodobně týkala obou.

Nejsme si stoprocentně jistí, protože nemáme žádný usvědčující důkaz. Po patnácti letech vám můžu říct, že najít usvědčující důkaz je opravdu těžké. Co však můžeme udělat, je analyzovat informace, uvést souvislosti a říct: „S touto mírou jistoty se domníváme, že je to pravděpodobné z tohoto důvodu.“

Jeden z největších trendů zahrnuje přesun pozornosti od uživatelských koncových bodů a vlastního malwaru k aktérům, kteří skutečně „žijí na hraně“ a soustředí zdroje na zneužívání hraničních zařízení a udržování perzistence. Tato zařízení jsou zajímavá, protože pokud k nim někdo získá přístup, může tam pobývat velmi dlouho.

Některé skupiny provedly působivé hloubkové průzkumy těchto zařízení. Vědí, jak funguje jejich firmware. Znají místa možného ohrožení zabezpečení jednotlivých zařízení a vědí, že mnoho zařízení nepodporuje antivirové programy ani granulární protokolování.

Aktéři samozřejmě vědí, že zařízení jako sítě VPN, mají nyní obrovskou cenu. S tím, jak organizace přidávají další vrstvy zabezpečení, jako jsou tokeny, vícefaktorové ověřování (MFA) a zásady přístupu, jsou aktéři stále chytřejší v jejich obcházení a proklouzávání obranou.

Myslím, že mnoho aktérů si uvědomilo, že pokud jsou schopni udržovat dlouhodobou perzistenci prostřednictvím zařízení, jako je VPN, nepotřebují nikam nasazovat malware. Můžou si prostě udělit přístup, který jim umožní přihlásit se jako libovolný uživatel.

Napadením těchto hraničních zařízení si v podstatě zajistí „režim boha“ v síti.

Pozorujeme také trend, kdy aktéři používají řešení, jako je Shodan, Fofa nebo jakýkoli druh databáze skenující internet, katalogizují zařízení a identifikují různé úrovně oprav.

Vidíme také, že aktéři provádějí svá vlastní skenování rozsáhlých částí internetu – někdy na základě již existujících seznamů cílů – a hledají věci, které lze zneužít. Když něco najdou, provedou další skenování, aby dané zařízení skutečně mohli zneužít, a později se vrátí, aby získali přístup k síti.

Je to obojí. Záleží na konkrétním aktérovi. Někteří aktéři jsou zodpovědní za danou zemi. To je jejich cíl, takže je zajímají jen zařízení v této zemi. Jiní aktéři však mají funkční sady cílů, takže se zaměří na konkrétní odvětví, jako je finančnictví, energetika nebo výroba. Během několika let si vytvoří seznam cílových společností, na kterých jim záleží. Tito aktéři přesně vědí, jaká zařízení a software jejich cíle používají. Pozorujeme tedy, že někteří aktéři skenují předem definovaný seznam cílů, aby zjistili, jestli cíle mají opravu pro určité ohrožení zabezpečení.

Aktéři dokážou být velmi zaměření na konkrétní cíle, metodičtí a precizní, ale někdy mají také jen štěstí. Musíme si uvědomit, že jsou to lidé. Když provádějí skenování nebo získávají data pomocí nějakého komerčního produktu, mají někdy prostě štěstí a hned na začátku získají správný soubor informací, který jim pomůže zahájit operaci.

To je určitě ono. Správná obrana je však víc než jen používání oprav. Nejúčinnější řešení zní jednoduše, ale v praxi je velmi obtížné. Organizace musí znát a inventarizovat svá zařízení, která jsou vystavena internetu. Musí vědět, jak vypadají perimetry jejich sítí, a my víme, že to je obzvlášť obtížné v hybridních prostředích s cloudovými i místními zařízeními.

Správa zařízení není snadná a já nechci předstírat, že je, ale znalost zařízení ve vaší síti – a úrovně oprav u každého z nich – je prvním krokem, který můžete udělat.

Jakmile víte, co máte, můžete zvýšit schopnosti protokolování a telemetrie z těchto zařízení. Usilujte o granularitu protokolů. Tato zařízení je obtížné bránit. Nejlepší možností obránce sítě při obraně těchto zařízení je protokolování a hledání anomálií.

Přála bych si mít křišťálovou kouli, abych věděla, jaké má čínská vláda plány. Tu ale bohužel ale nemám. Co však můžeme vidět, je pravděpodobně apetit získávat přístup k informacím.

Každý stát má takový apetit.

I my máme rádi své informace. Máme rádi svá data.

Judy je naší expertkou na Iniciativu Hedvábná stezka a expertkou na geopolitiku. Na její postřehy spoléháme, když sledujeme trendy, zejména na trendy v cílení. Někdy se objeví nový cíl, který nedává žádný smysl. Neodpovídá tomu, co aktéři dělali předtím. Tak s tím zajdeme za Judy, která nám řekne: „Aha, v této zemi se koná důležitá ekonomická schůzka nebo se jedná o výstavbě nové továrny v této lokalitě.“

Judy nám poskytuje cenný kontext – zásadní kontext – o tom, proč aktéři hrozeb dělají to, co dělají. Všichni víme, jak používat překladač služby Bing, a všichni víme, jak vyhledávat novinové zprávy, ale když něco nedává smysl, Judy nám může říct: „No, ten překlad vlastně znamená tohle“, a to může být rozhodující.

Sledování čínských aktérů hrozeb vyžaduje kulturní znalosti o struktuře jejich vlády a fungování jejich společností a institucí. Judyina práce pomáhá rozplést strukturu těchto organizací a umožňuje nám zjistit, jak fungují – jak vydělávají peníze a jak komunikují s čínskou vládou.

Jak řekla Sarah, jde o komunikaci. Jsme nestále v chatu Teams. Vždy se dělíme o poznatky, které jsme mohli zjistit z telemetrie a které nám pomohly dopracovat se k možnému závěru.

Jaký je můj trik? Hodně času stráveného na internetu a čtením. Vážně si však myslím, že jednou z nejcennějších věcí je prostě vědět, jak používat různé vyhledávače.

Vyhovuje mi Bing, ale také Baidu a Yandex.

A to proto, že různé vyhledávače poskytují různé výsledky. Nedělám nic zvláštního, ale dokážu hledat různé výsledky z různých zdrojů, abych z nich mohla analyzovat data.

Všichni v týmu mají velké znalosti. Každý má nějaké superschopnosti – musíte jen vědět, koho se zeptat. A je skvělé, že pracujeme v týmu, kde nikomu nevadí se navzájem ptát jeden druhého, nemám pravdu? Vždycky říkáme, že neexistují hloupé otázky.

Toto místo je poháněno hloupými otázkami.

Teď je ideální doba začít se věnovat IT zabezpečení. Když jsem začínala, neexistovalo mnoho kurzů, zdrojů informací nebo způsobů, jak zkoumat tento obor. Dnes existují bakalářské a magisterské programy! Nyní je mnoho způsobů, jak se k této profesi dostat. Ano, jsou cesty, které můžou stát spoustu peněz, ale existují i levnější a bezplatné cesty.

Jeden z bezplatných zdrojů školení o zabezpečení vytvořili naši kolegové z Analýzy hrozeb Microsoft Simeon Kakpovi a Greg Schloemer. Tento nástroj, nazvaný KC7, umožňuje každému proniknou do problematiky zabezpečení IT, porozumět síťovým a hostitelským událostem a zjistit, jak proaktivně vyhledávat aktéry.

Nyní je také možné seznamovat se s nejrůznějšími tématy. Když jsem začínala, museli jste pracovat ve společnosti s rozpočtem na úrovni mnoha milionů dolarů, abyste si mohli dovolit tyto nástroje. Pro mnohé to byla překážka vstupu. Teď však může vzorky malwaru analyzovat kdokoli. Dříve bylo obtížné najít vzorky malwaru a zachycení paketů. Tyto bariéry však padají. Dnes existuje mnoho bezplatných a online nástrojů a zdrojů, kde se můžete učit sami a svým vlastním tempem.

Radím vám, abyste si našli konkrétní problematiku, která vás zajímá. Chcete provádět výzkum malwaru? Věnovat se digitální forenzní analýze? Zajímá vás analýza hrozeb? Zaměřte se na svá oblíbená témata, využijte veřejně dostupné zdroje a naučte se z nich co nejvíce.

Nejdůležitější je zvědavost, nemám pravdu? Vedle zvědavosti musíte ale také dobře spolupracovat s ostatními. Musíte si uvědomit, že jde o týmový sport – kybernetickou bezpečnost nezvládne nikdo sám.

Důležité je umět pracovat v týmu. Důležitá je zvědavost a otevřenost k učení. Nesmí vám vadit se ptát a hledat způsoby, jak spolupracovat se svými kolegy.

To je rozhodně, rozhodně pravda. Ráda bych zdůraznila, že tým Analýzy hrozeb Microsoft spolupracuje s mnoha partnerskými týmy v Microsoftu. Velmi spoléháme na odborné znalosti našich kolegů, kteří nám pomáhají porozumět tomu, co aktéři dělají a proč to dělají. Bez nich bychom nemohli dělat naši práci.