På frontlinjen: Afkodning af kinesiske trusselsaktørers taktikker og teknikker

Med COVID oplevede vi mange ændringer. For kunderne er verden forandret. Natten over tog alle hjem og forsøgte at blive ved med at udføre deres arbejde. Vi så, at mange virksomheder helt måtte omkonfigurere deres netværk, og vi så, at medarbejderne ændrede deres måde at arbejde på, og selvfølgelig så vi vores trusselsaktører reagere på alt det.

Da politikker for arbejde hjemmefra først blev udrullet, måtte mange organisationer f.eks. aktivere adgang fra mange forskellige lokationer til nogle meget følsomme systemer og ressourcer, der normalt ikke var tilgængelige uden for virksomhedens kontorer. Vi så, at trusselsaktører derefter forsøgte at blande sig med støjen, hvor de foregav at være fjernarbejdere, som tilgik disse ressourcer.

Da COVID først ramte, skulle der hurtigt etableres adgangspolitikker for virksomhedsmiljøer, og nogle gange skete det uden tid til at researche og gennemse bedste praksisser. Fordi så mange organisationer ikke har genbesøgt disse politikker siden den oprindelige udrulning, ser vi i dag, at trusselsaktører forsøger at finde og udnytte fejlkonfigurationer og sårbarheder.

Der er ikke længere så værdifuldt at placere malware på computere. Nu handler det om at få adgangskoder og tokens, der giver adgang til følsomme systemer på samme måde, som fjernarbejdere har det.

Jeg ved ikke, om trusselsaktørerne fik mulighed for at arbejde hjemmefra, men vi har data, der giver noget indsigt i, hvordan COVID-nedlukninger påvirkede deres aktivitet i de byer, de boede i. Uanset hvor de arbejdede, blev deres liv påvirket – ligesom med alle andre.

Nogle gange kunne vi se effekten af nedlukninger af hele byer i form af manglende aktivitet på deres computere. Det var også interessant at se virkningen af alle disse rullende nedlukninger af hele distrikter i vores data.

Jeg har et godt eksempel – en af de trusselsaktører, vi sporer, Nylon Typhoon. Microsoft reagerede mod denne gruppe i december 2021 og forstyrrede infrastruktur, der bruges til at målrette mod Europa, Latinamerika og Centralamerika.

Efter vores vurdering involverede noget offeraktivitet efterretningsindhentningsoperationer, hvis formål var at give indsigt om partnere, der var involveret i Kinas Belt and Road Initiative (BRI) for kinesiske statsstyrede infrastrukturprojekter jorden over. Vi ved, at kinesiske statssponsorerede trusselsaktører udfører traditionel spionage og økonomisk spionage, og vores vurdering er, at denne aktivitet sandsynligvis omfattede begge.

Vi er ikke 100 % sikre, for vi har ikke et afgørende bevis. Efter 15 år kan jeg fortælle, at det er meget svært at finde det afgørende bevis. Men det, vi trods alt kan gøre, er at analysere oplysninger, indføre kontekst, og sige: "Vi vurderer med dette tillidsniveau, at vi mener, at det er sandsynligt, af denne årsag".

En af de største tendenser involverer skift af fokus fra brugerslutpunkter og tilpasset malware, til aktører, der virkelig bevæger sig på kanten – de koncentrer ressourcer om udnyttelse af kantenheder og opretholdelse af tilstedeværelse. Disse enheder er interessante, for hvis nogen få adgang, kan de blive der i meget lang tid.

Nogle grupper har foretaget imponerende dybdegående undersøgelser af disse enheder. De ved, hvordan deres firmware virker. De kender de sårbarheder, hver enhed har, og de ved, at mange enheder ikke understøtter antivirus eller granulær logføring.

Selvfølgelig ved aktører, at enheder såsom VPN'er nu er som nøgler til kongeriget. Efterhånden som organisationer tilføjer sikkerhedslag, f.eks. tokens, multifaktorgodkendelse (MFA) og adgangspolitikker, bliver aktører gode til at omgå og bevæge sig gennem forsvarslinjerne.

Jeg tror, at det er gået op for mange aktører, at hvis de kan opretholde en langvarig tilstedeværelse via en enhed såsom en VPN, behøver de ikke at udrulle malware nogen steder. De kan blot give dem selv adgang, som lader dem logge ind som enhver bruger.

De giver i bund og grund dem selv "gud-tilstand" på netværket ved at kompromittere disse kantenheder.

Vi ser også en tendens, hvor aktører bruger Shodan, Fofa eller en anden slags database, der scanner internettet, katalogiserer enheder og identificerer patchniveauer.

Vi ser også, at aktører udfører deres egne scanninger af store dele af internettet – nogle gange fra mållister, der allerede eksisterer – når de søger efter ting, der kan udnyttes. Når de finder noget, foretager de endnu en scanning for faktisk at udnytte enheden, for at komme tilbage senere for at få adgang til netværket.

Det er begge. Det afhænger af aktøren. Nogle aktører er ansvarlige for et givet land. Det er deres målsæt, så de er kun interesserede i enheder i det land. Men andre aktører har funktionelle målsæt – så de vil fokusere på specifikke sektorer, f.eks. finans, energi eller fremstilling. De vil have opbygget en målliste i løbet af flere år, bestående af virksomheder, de er interesserede i, og disse aktører ved præcis, hvilke enheder og hvilken software, deres mål kører. Så vi observerer, at nogle aktører scanner en forhåndsdefineret målliste for at se, om målene er blevet patchet for en bestemt sårbarhed.

Aktører kan være meget målrettede, systematiske og præcise, men nogle gange har de intet held. Vi skal huske, at de er mennesker. Når de kører deres scanninger og henter data med et kommercielt produkt, er de nogle gange heldige og får den rigtige samling oplysninger lige starten, som hjælper med at søsætte deres operation.

Det er præcis det. Men det rigtige forsvar er mere end blot patching. Den mest effektive løsning lyder enkel, men den er svær i praksis. Organisationer skal forstå og føre opgørelse over deres enheder, som er eksponeret mod internettet. De skal vide, hvordan deres netværksparametre ser ud, og vi ved, at det er særligt svært at gøre i hybride miljøer med enheder både i cloud og i det lokale miljø.

Enhedshåndtering er ikke nemt, og jeg vil ikke foregive, at det er nemt, men det første skridt, du kan tage, er at være bekendt med enhederne på dit netværk – og patchniveauerne for hver enkelt af dem.

Når du ved, hvad du har, kan du øge logføringsfunktionaliteten med telemetrien fra disse enheder. Stræb efter granulære logfiler. Disse enheder er besværlige at forsvare. En netværksforsvarers bedste bud på at forsvare disse enheder er logføring og at være på udkig efter uregelmæssigheder

Jeg ville ønske, at jeg havde en krystalkugle, der kunne fortælle, hvad den kinesiske regerings planer er. Men det har jeg desværre ikke. Men det, vi kan se, er muligvis en appetit på adgang til oplysninger.

Alle nationer har den appetit.

Vi kan også lide vores oplysninger. Vi kan lide vores data.

Judy er vores Belt and Road Initiative-ekspert (BRI) og geopolitiske ekspert. Vi gør brug af hendes indsigt, når vi ser på tendenser, særligt for målretning. Nogle gange ser vi et nyt mål dukke op, og det giver ikke rigtig mening. Det passer ikke ind i det, vi tidligere har gjort, og så nævner vi det for Judy, som siger til os: "Åh ja, der finder et vigtigt økonomisk møde sted i dette land, eller der er forhandlinger om opførslen af en ny fabrik på denne placering".

Judy giver os værdifuld kontekst – essentiel kontekst – om hvorfor trusselsaktører gør det, de gør. Vi ved alle, hvordan man bruger Bing Translate, og vi ved alle, hvordan man søger efter nyhedshistorier, men når noget ikke givet mening, kan Judy fortælle os: "Ja, den oversættelse betyder faktisk dette", og det kan være den afgørende forskel.

Sporing af kinesiske trusselsaktører kræver kulturel viden om, hvordan deres regering er struktureret, og hvordan deres virksomheder og institutioner opererer. Judys arbejder hjælper os med at forstå disse organisationers struktur og hvordan de fungerer – hvordan de tjener penge og interagerer med den kinesiske regering.

Som Sarah sagde, er det kommunikation. Vi er altid på Teams-chat. Vi deler altid de indsigter, vi kan have set fra telemetri, som hjalp os med at arbejde hen mod en mulig konklusion.

Hvad er mit trick? Masser af hæng ud-tid på internettet og læsning. Mere seriøst, jeg mener, at den mest værdifulde ting er blot at vide, hvordan man bruger forskellige søgemaskiner.

Jeg har det godt med Bing, men også med Baidu og Yandex.

Og der er fordi, forskellige søgemaskiner leverer forskellige resultater. Jeg gør ikke noget særligt, men jeg ved, hvordan man leder efter forskellige resultater fra forskellige kilder, så jeg kan analysere data derfra.

Alle på teamet er meget vidende. Alle har superkræfter – det handler blot om at vide, hvem du skal spørge. Og det er fantastisk, at vi arbejder på et team, hvor alle er komfortable med at stille hinanden spørgsmål, ikke? Vi siger altid, at der ikke findes dumme spørgsmål.

Dette sted er drevet af dumme spørgsmål.

Nu er den rette tid til at blive en del af it-sikkerhed. Da jeg i sin tid startede, var der ikke megen undervisning eller mange ressourcer eller måder at udforske på. Nu er der bachelor- og kandidatprogrammer! Nu er der mange måder at komme ind i den profession på. Ja, der er veje, der kan koste mange penge, men der findes også billigere og gratis veje.

Én gratis ressource til oplæring i sikkerhed blev udviklet af  Simeon Kakpovi  og Greg Schloemer, vores kollegaer hos Microsoft Threat Intelligence. Dette værktøj ved navn KC7 gør det muligt for alle at komme ind i it-sikkerhed, forstå netværk og værtshændelser og jage aktører.

Nu er det også muligt at blive eksponeret for alle slags forskellige emner. Da jeg først startede, skulle du arbejde for en virksomhed, der havde et budget på flere millioner dollars, for at have råd til disse værktøjer. For mange var det en adgangshindring. Men nu kan alla analysere malwareprøver. Det var førhen svært at finde malwareprøve og pakkeopsamlinger. Men disse barrierer forsvinder. I dag er der så mange gratis onlineværktøjer og -ressourcer, hvor du kan lære selv i dit eget tempo.

Mit råd er at finde ud af, hvilken niche du er interesseret i. Vil du udføre malwareresearch? Digital efterforskning? Oplysninger om trusler? Find frem til dine favoritemner, og gør brug af offentligt tilgængelige ressourcer, og lær så meget som muligt med dem.

Det vigtigste er at være nysgerrig, ikke sandt? Foruden at være nysgerrig skal du samarbejde godt med andre. Du skal huske, at dette er en holdsport – ingen kan udføre cybersikkerhed alene.

Det er vigtigt at kunne arbejde på et team. Det er vigtigt at være nysgerrig og åben for at lære. Du skal være komfortabel med at stille spørgsmål og finde måder at samarbejde med dine teammedlemmer på.

Det er så sandt, som det er sagt. Jeg vil gerne understrege, at Microsoft Threat Intelligence samarbejder med mange partnerteams hos Microsoft. Vi er dybt afhængige af vores kollegaers ekspertise som en hjælp til at forstå, hvad aktører laver, og hvorfor de gør det. Vi kunne ikke udføre vores arbejde uden dem.