Trace Id is missing

An vorderster Front: Die Entschlüsselung der Taktiken und Techniken chinesischer Bedrohungsakteure

Portraitfoto von Sherrod DeGrippo, Microsoft Threat Intelligence Strategy Director

In diesem aufschlussreichen Interview gewährt Sherrod DeGrippo, ein ausgewiesener Threat Intelligence-Experte mit über 19 Jahren Erfahrung, tiefe Einblicke in die Welt der Cyberspionage. Zusammen mit Judy Ng und Sarah Jones, zwei herausragenden Spezialistinnen, die sich der Entwirrung des komplexen Netzes von Cyberbedrohungen aus China verschrieben haben, beleuchtet er die verdeckten Aktivitäten innerhalb der modernen Bedrohungslandschaft. Gemeinsam erörtern sie, vor welchen Herausforderungen diejenigen stehen, die unsere vernetzte Welt schützen. Lassen Sie sich von den unerzählten Geschichten und dem außergewöhnlichen Fachwissen dieser digitalen Detektive inspirieren, die das geheime Universum von Chinas Cyberschlachtfeld erkunden.

Sarah Jones

Als Senior Threat Analyst untersuche ich APT-Gruppen (Advanced Persistent Threats) aus China, die im Auftrag der chinesischen Regierung arbeiten. Ich verfolge die Entwicklung ihrer Malware im Laufe der Zeit und untersuche ihre Methoden zum Aufbau von Infrastrukturen und zur Kompromittierung von Zielnetzwerken. Bevor ich zu Microsoft Threat Intelligence kam, lag mein Schwerpunkt auf China, aber ich habe mich auch mit iranischen und russischen Gruppen beschäftigt.

Während eines Großteils meiner bisherigen Laufbahn, vor allem zu Beginn, habe ich in Security Operations Centers gearbeitet und war dabei schwerpunktmäßig mit der internen Sicherheit von Regierungs- und Unternehmensnetzwerken befasst.

Einer der großen Vorteile bei der Untersuchung chinesischer Bedrohungsgruppen ist, dass man sie über einen langen Zeitraum verfolgen kann. Es ist sehr interessant, Gruppen zu untersuchen, die ich noch von vor 10 Jahren kenne, und ihre Entwicklung im Laufe der Zeit zu beobachten.

Judy Ng

Wie Sarah bin auch ich Senior Threat Analyst und beschäftige mich neben der Analyse von Cyberbedrohungen auch mit geopolitischen Analysen. In den letzten 15 Jahren meiner beruflichen Laufbahn habe ich chinesische Akteure aus verschiedenen Blickwinkeln beobachtet – von Funktionen zur Unterstützung der US-Regierung über Startup-Positionen bis hin zu verschiedenen Positionen in amerikanischen Unternehmen und natürlich bei Microsoft, wo ich seit 2020 tätig bin.

Ich habe mich auf China konzentriert, weil ich mich schon immer für dieses Land interessiert habe. Zu Beginn meiner Karriere hat mir dieses Interesse geholfen, Zusammenhänge zu vermitteln, die Kollegen, die nicht alle Nuancen der chinesischen Sprache oder Kultur verstanden haben, vielleicht entgangen wären.

Ich glaube, eine meiner ersten Fragen war: "Judy, was ist ein 'Masthuhn'? Was bedeutet 'Masthuhn' auf Chinesisch?"

Die Antwort lautete: "Botnet". "Masthuhn" war das chinesische Slangwort, mit dem Bedrohungsakteure in Online-Foren Zombie-Botnets bezeichneten.

Judy Ng

Bei dieser Arbeit macht man nicht jeden Tag das Gleiche. Sie ist sehr spannend. Man kann all die aussagekräftigen Signale nutzen, die Microsoft erhält, und sich einfach von diesen Daten leiten lassen.

Daten werden hier nie langweilig. Man wird nie sagen: "Oh, da gibt es nichts zu entdecken". Es gibt immer etwas Interessantes, und es ist sehr hilfreich, dass die meisten unserer Kolleginnen und Kollegen im China-Team sehr neugierig sind.

Ob man alleine auf Spurensuche geht oder im Team ein Subjekt ins Visier nimmt, es ist einfach großartig, dass wir alle neugierig sind und verschiedene Wege gehen können.

Sarah Jones

Ich kann Judy nur zustimmen. Jeden Tag kommen neue und andere Probleme ans Licht. Jeden Tag lerne ich etwas über eine neue Technologie oder eine neue Software, die ein Bedrohungsakteur auszunutzen versucht. Wenn es sich um eine Technologie oder Software handelt, von der ich noch nie gehört habe, muss ich mich zuerst in die entsprechende Dokumentation einlesen. Manchmal muss ich auch den RFC (Request for Comments) für ein Protokoll lesen, weil die Bedrohungsakteure einen Aspekt des Protokolls manipulieren oder missbrauchen, und dazu muss ich die Originaldokumentation lesen.

Für mich sind diese Dinge wirklich spannend, und ich arbeite jeden Tag daran. Jeden Tag lerne ich einen neuen Aspekt des Internets kennen, von dem ich vorher noch nie etwas gehört habe, und versuche dann, so schnell wie möglich den gleichen Wissensstand wie die Angreifer zu erreichen und eine Expertin in dem Bereich zu werden, den sie ausnutzen wollen.

Sarah Jones

Mit COVID ist es zu vielen Veränderungen gekommen. Für Kunden hat sich die Welt verändert. Von einem Tag auf den anderen mussten alle zu Hause bleiben und versuchen, von dort aus ihre Arbeit fortzusetzen. Viele Unternehmen mussten ihre Netzwerke komplett neu konfigurieren, die Mitarbeitenden haben ihre Arbeitsweisen geändert, und natürlich haben Bedrohungsakteure auf all das reagiert.

Als zum Beispiel Richtlinien für das Arbeiten von zu Hause aus eingeführt wurden, mussten viele Unternehmen den Zugriff auf einige sehr sensible Systeme und Ressourcen, die normalerweise außerhalb der Firmenbüros nicht verfügbar waren, von vielen verschiedenen Standorten aus ermöglichen. Wir haben erlebt, wie Bedrohungsakteure versucht haben, sich unter die Belegschaft zu mischen, indem sie sich als Remotearbeitskräfte ausgaben, und sich Zugang zu diesen Ressourcen zu verschafften.

Zu Beginn von COVID mussten schnell Zugriffsrichtlinien für Unternehmensumgebungen festgelegt werden, und manchmal blieb keine Zeit, um nach bewährten Verfahren zu suchen und diese zu prüfen. Da viele Unternehmen diese Richtlinien seit ihrer Einführung nicht überarbeitet haben, versuchen Angreifer heute, Fehlkonfigurationen und Schwachstellen zu finden und auszunutzen.

Das Einschleusen von Malware auf Desktops hat an Attraktivität verloren. Jetzt geht es darum, an Passwörter und Token zu gelangen, die den Zugang zu sensiblen Systemen ermöglichen, und zwar auf die gleiche Weise, wie es Remotearbeitskräfte tun.

Judy Ng

Ich weiß nicht, ob die Bedrohungsakteure von zu Hause aus operierten, aber wir verfügen über Daten, die Aufschluss darüber geben, wie sich die Abschaltungen während COVID auf ihre Aktivitäten in den Städten auswirkten, in denen sie lebten. Unabhängig davon, wo sie ihrer Tätigkeit nachgingen, war ihr Leben wie das aller anderen eingeschränkt.

Manchmal konnten wir die Auswirkungen der stadtweiten Ausfälle an der geringeren Aktivität ihrer Computer ablesen. Es war sehr interessant, die Auswirkungen all dieser bezirksweiten Ausfälle in unseren Daten zu sehen.

Judy Ng

Dazu habe ich ein sehr gutes Beispiel: einen der Bedrohungsakteure, die wir beobachten, Nylon Typhoon. Microsoft ging im Dezember 2021 gegen diese Gruppe vor und setzte die Infrastruktur außer Betrieb, die für Angriffe in Europa, Lateinamerika und Zentralamerika genutzt wurde.

Wir gehen davon aus, dass es sich bei einigen Aktionen der Täter wahrscheinlich um nachrichtendienstliche Aktivitäten handelte, die darauf abzielten, Informationen über Partner zu sammeln, die an Chinas "Belt and Road Initiative" ("Neue Seidenstraße") für Infrastrukturprojekte der chinesischen Regierung auf der ganzen Welt beteiligt sind. Wir wissen, dass chinesische staatlich unterstützte Bedrohungsakteure sowohl traditionelle Spionage als auch Wirtschaftsspionage betreiben, und wir gehen davon aus, dass sich besagte Aktivitäten wahrscheinlich auf beide Bereiche erstreckten.

Wir sind uns dessen nicht hundertprozentig sicher, weil es keine eindeutigen Beweise gibt. Nach 15 Jahren kann ich aus Erfahrung sagen, dass es wirklich schwierig ist, den entscheidenden Beweis zu finden. Aber wir können Informationen analysieren, den Kontext berücksichtigen und sagen: "Wir halten es mit diesem und jenen Konfidenzniveau für wahrscheinlich, dass es aus diesem und jenem Grund passiert ist."

Sarah Jones

Einer der größten Trends ist die Verlagerung des Schwerpunkts von den Endpunkten der Benutzer und maßgeschneiderter Malware hin zu Akteuren, die wirklich am Edge agieren und ihre Ressourcen auf die Ausnutzung von Edgegeräten und die Aufrechterhaltung der Persistenz konzentrieren. Diese Geräte sind attraktiv, weil ein Angreifer, der einmal Zugang zu ihnen hat, diesen sehr lange behalten kann.

Einige Gruppen haben sich mit diesen Geräten beeindruckend intensiv befasst. Sie wissen, wie ihre Firmware funktioniert. Sie kennen die Schwachstellen jedes Geräts und wissen, dass viele Geräte keinen Virenschutz oder keine detaillierte Protokollierung unterstützen.

Natürlich wissen Bedrohungsakteure auch, dass Instrumente wie VPNs mittlerweile Schlüssel zum Königreich sind. Da Unternehmen immer mehr Sicherheitsebenen wie Token, Multi-Faktor-Authentifizierung (MFA) und Zugriffsrichtlinien einführen, werden die Angreifer immer raffinierter darin, Schutzmaßnahmen zu umgehen und zu überwinden.

Ich denke, dass viele Akteure erkannt haben, dass sie, wenn sie in der Lage sind, eine langfristige Persistenz über ein Instrument wie ein VPN aufrechtzuerhalten, nicht wirklich irgendwo Malware installieren müssen. Sie können sich einfach selbst Zugriffsrechte gewähren, die es ihnen ermöglichen, sich als beliebiger Benutzer anzumelden.

Durch die Kompromittierung dieser Edgegeräte verschaffen sie sich im Wesentlichen einen "Gottesstatus" im Netzwerk.

Wir beobachten auch einen Trend, bei dem Akteure Shodan, Fofa oder andere Datenbanken nutzen, die das Internet scannen, Geräte katalogisieren und verschiedene Patch-Level identifizieren.

Wir beobachten außerdem, dass Akteure selbst große Teile des Internets scannen – manchmal auf der Grundlage bereits existierender Ziellisten – und nach ausnutzbaren Objekten suchen. Wenn sie etwas finden, führen sie einen weiteren Scan durch, um das Gerät konkret auszunutzen, und kehren später zurück, um sich Zugang zum Netzwerk zu verschaffen.

Sarah Jones

Beides trifft zu. Es hängt vom Akteur ab. Manche Akteure sind für ein bestimmtes Land zuständig. Das ist ihr Ziel, also interessieren sie sich nur für die Geräte in diesem Land. Andere Akteure haben funktionale Zielbereiche, d. h. sie konzentrieren sich auf bestimmte Branchen wie Finanzen, Energie oder Fertigung. Sie haben über mehrere Jahre hinweg eine Zielliste von Unternehmen erstellt, die für sie von Interesse sind, und diese Akteure wissen genau, welche Geräte und Software ihre Zielgruppen verwenden. So beobachten wir etwa, dass einige Akteure Zielunternehmen auf einer vordefinierten Zielliste scannen, um herauszufinden, ob sie Patches für eine bestimmte Sicherheitslücke installiert haben.

Judy Ng

Bedrohungsakteure können sehr zielgerichtet, methodisch und präzise vorgehen, manchmal haben sie aber auch einfach nur Glück. Wir dürfen nicht vergessen, dass es sich um Menschen handelt. Wenn sie ihre Scans durchführen oder Daten mit einem kommerziellen Produkt abgreifen, haben sie manchmal einfach Glück und erhalten auf Anhieb die richtigen Informationen, um ihre Operation zu starten.

Sarah Jones

Das ist sicherlich der Fall. Aber eine gute Verteidigung braucht mehr als Patches. Die effektivste Lösung klingt einfach, ist aber in der Praxis sehr schwierig. Organisationen müssen ihre Geräte, die Zugang zum Internet haben, kennen und inventarisieren. Sie müssen wissen, wie ihre Netzwerkperimeter aussehen, und wir wissen, dass dies in hybriden Umgebungen mit Geräten in der Cloud und vor Ort besonders schwierig ist.

Die Geräteverwaltung ist keine leichte Aufgabe, und ich möchte auch nicht so tun, als ob sie das wäre, aber die Geräte im eigenen Netzwerk zu kennen – und die Patch-Level für jedes einzelne – ist der erste Schritt, den man machen kann.

Sobald man weiß, was man hat, kann man die Protokollierungs- und Telemetriefunktionen für diese Geräte erweitern. Achten Sie auf die Granularität der Protokolle. Diese Geräte sind schwierig zu schützen. Der beste Weg, ein Netzwerk zu schützen, besteht darin, diese Geräte zu protokollieren und nach Anomalien zu suchen.

Judy Ng

Ich wünschte, ich hätte eine Kristallkugel, um zu wissen, was die chinesische Regierung vorhat. Leider habe ich keine. Aber was wir sehen können, ist wahrscheinlich ein Appetit auf Zugang zu Informationen.

Diesen Appetit haben alle Länder.

Auch wir schätzen unsere Informationen. Wir schätzen unsere Daten.

Sarah Jones

Judy ist unsere Expertin für die "Belt and Road Initiative" ("Neue Seidenstraße") und geopolitische Fragen. Wir verlassen uns auf ihr Wissen, wenn wir uns mit Trends beschäftigen, vor allem was Ziele angeht. Manchmal taucht ein neues Ziel auf, das irgendwie nicht ins Bild passt. Es passt nicht zu dem, was die Akteure vorher gemacht haben, und dann gehen wir damit zu Judy, die uns sagt: "Oh, in diesem Land findet ein wichtiges Geschäftstreffen statt" oder "Es finden gerade Verhandlungen über den Bau einer neuen Fabrik an diesem Ort statt."

Durch Judy erhalten wir wertvolle – wesentliche – Informationen darüber, warum Bedrohungsakteure tun, was sie tun. Wir alle wissen, wie man Bing Translate benutzt, und wir alle wissen, wie man nach Nachrichtenmeldungen sucht, aber wenn etwas keinen Sinn ergibt, kann Judy uns sagen: "Nun, diese Übersetzung bedeutet eigentlich dies", und das kann einen entscheidenden Unterschied machen.

Um chinesischen Bedrohungsakteuren auf die Spur zu kommen, braucht man kulturelles Wissen darüber, wie die chinesische Regierung strukturiert ist und wie ihre Unternehmen und Institutionen funktionieren. Judys Arbeit ermöglicht es uns, die Strukturen dieser Organisationen zu entwirren und zu verstehen, wie sie funktionieren, wie sie Geld verdienen und wie sie mit der chinesischen Regierung interagieren.

Judy Ng

Wie Sarah schon sagte, spielt Kommunikation eine große Rolle. Wir sind ständig im Teams-Chat. Wir tauschen immer die Erkenntnisse aus, die wir aus Telemetriedaten gewonnen haben und die uns geholfen haben, eine mögliche Schlussfolgerung zu ziehen.

Judy Ng

Was mein Trick ist? Ich bin viel im Internet und lese viel. Aber im Ernst: Ich glaube, eines der nützlichsten Dinge ist einfach zu wissen, wie man verschiedene Suchmaschinen benutzt.

Ich arbeite gut mit Bing, aber auch mit Baidu und Yandex.

Das liegt daran, dass verschiedene Suchmaschinen unterschiedliche Ergebnisse liefern. Ich mache nichts Besonderes, aber ich weiß, dass ich verschiedene Ergebnisse aus verschiedenen Quellen suchen muss, um die Daten auf dieser Grundlage analysieren zu können.

Jeder im Team ist sehr kompetent. Jeder hat Superkräfte – man muss nur wissen, wen man fragen muss. Und es ist wunderbar, dass wir in einem Team arbeiten, in dem es jedem leicht fällt, dem anderen Fragen zu stellen, oder? Wir sagen immer, dass es keine dummen Fragen gibt.

Sarah Jones

Dieser Ort lebt von dummen Fragen.

Sarah Jones

Jetzt ist der ideale Zeitpunkt, um in die IT-Sicherheit einzusteigen. Als ich anfing, gab es nicht viele Ausbildungsmöglichkeiten, Ressourcen oder Möglichkeiten, das Thema zu vertiefen. Jetzt gibt es Bachelor- und Masterstudiengänge! Jetzt gibt es viele Möglichkeiten, in den Beruf einzusteigen. Ja, einige Wege können viel Geld kosten, aber es gibt auch kostengünstigere und kostenlose Möglichkeiten.

Eine kostenlose Ressource für Sicherheitsschulungen wurde von Simeon Kakpovi und Greg Schloemer, unseren Kollegen bei Microsoft Threat Intelligence, entwickelt. Dieses Programm namens KC7macht den Einstieg in die IT-Sicherheit, das Verständnis von Netzwerk- und Host-Ereignissen und das Aufspüren von Angreifern für alle zugänglich.

Jetzt ist es auch möglich, sich in alle möglichen anderen Themen einzuarbeiten. Als ich anfing, musste man in einem Unternehmen mit einem Millionenbudget arbeiten, um sich diese Instrumente leisten zu können. Das war für viele eine Einstiegshürde. Aber heute kann jeder Malware-Samples analysieren. Früher war es schwierig, Malware-Samples und Paketerfassungen zu finden. Aber diese Hürden werden immer kleiner. Heute gibt es unzählige kostenlose Onlinetools und -ressourcen, mit denen man sich in seinem eigenen Tempo selbst weiterbilden kann.

Mein Rat ist, sich eine Nische zu suchen, die einen sehr interessiert. Möchten Sie Malware-Forschung betreiben? Digitale Forensik? Bedrohungsanalyse? Konzentrieren Sie sich auf Ihre bevorzugten Themen und nutzen Sie die öffentlich zugänglichen Ressourcen, um so viel wie möglich zu lernen.

Judy Ng

Das Wichtigste ist, neugierig zu sein, nicht wahr? Neben der Neugier muss man gut mit anderen zusammenarbeiten können. Man darf nie vergessen, dass es sich um einen Mannschaftssport handelt – niemand kann Cybersicherheit alleine bewältigen.

Teamfähigkeit ist wichtig. Es ist wichtig, neugierig und lernbereit zu sein. Man muss gerne Fragen stellen und nach Wegen suchen, um mit seinen Teamkollegen zusammenzuarbeiten.

Sarah Jones

Das ist definitiv so. Ich möchte betonen, dass Microsoft Threat Intelligence mit vielen Partner-Teams bei Microsoft zusammenarbeitet. Um zu verstehen, was Bedrohungsakteure tun und warum sie es tun, sind wir in hohem Maße auf die Expertise unserer Kolleginnen und Kollegen angewiesen. Ohne sie wäre unsere Arbeit nicht möglich.

Verwandte Artikel

Volt Typhoon infiltriert kritische US-Infrastruktur mit LOTL-Techniken (Living off the Land).

Es wurde beobachtet, dass der vom chinesischen Staat finanzierte Bedrohungsakteur Volt Typhoon mit verdeckten Techniken auf kritische US-Infrastruktur abzielt, Spionage betreibt und sich in kompromittierten Umgebungen festsetzt.

Cyber Threat Intelligence im geopolitischen Kontext

Die Threat Intelligence-Expertin Fanta Orr erläutert, wie Threat Intelligence-Analysen dazu beitragen können, die Gründe hinter Cyberbedrohungen zu erkennen und Kunden besser zu schützen, die möglicherweise angreifbare Ziele darstellen.

98 % aller Angriffe durch grundlegende Cyberhygiene vermeidbar

Grundlegende Cyberhygiene ist nach wie vor die beste Methode, um die Identitäten, Geräte, Daten, Anwendungen, Infrastrukturen und Netzwerke eines Unternehmens vor 98 % aller Cyberbedrohungen zu schützen. Lesen Sie nützliche Tipps in einem umfassenden Leitfaden.

Microsoft Security folgen