Στην πρώτη γραμμή: Αποκωδικοποίηση των τακτικών και των τεχνικών των κινεζικών παραγόντων απειλής

Με τον COVID, είδαμε πολλές αλλαγές. Για τους πελάτες, ο κόσμος έχει αλλάξει. Κατά τη διάρκεια της νύχτας, όλοι πήγαν στα σπίτια τους και προσπάθησαν να συνεχίσουν να κάνουν τη δουλειά τους. Είδαμε πολλές εταιρείες να πρέπει να αναδιαμορφώσουν πλήρως τα δίκτυά τους και είδαμε τους εργαζόμενους να αλλάζουν τον τρόπο εργασίας τους και, φυσικά, είδαμε τους παράγοντες απειλής να ανταποκρίνονται σε όλα αυτά.

Για παράδειγμα, όταν πρωτοεμφανίστηκαν οι πολιτικές για την εργασία από το σπίτι, πολλοί οργανισμοί έπρεπε να επιτρέψουν την πρόσβαση από πολλές διαφορετικές τοποθεσίες σε ορισμένα πολύ ευαίσθητα συστήματα και πόρους, τα οποία συνήθως δεν ήταν διαθέσιμα εκτός των εταιρικών γραφείων. Στη συνέχεια είδαμε παράγοντες απειλής να προσπαθούν να παραμείνουν απαρατήρητοι, προσποιούμενοι ότι είναι απομακρυσμένοι εργαζόμενοι, και να αποκτούν πρόσβαση σε αυτούς τους πόρους.

Όταν πρωτοεμφανίστηκε ο COVID, οι πολιτικές πρόσβασης για επιχειρησιακά περιβάλλοντα έπρεπε να θεσπιστούν γρήγορα και μερικές φορές γίνονταν χωρίς χρόνο για έρευνα και εξέταση των βέλτιστων πρακτικών. Επειδή πάρα πολλοί οργανισμοί δεν έχουν επανεξετάσει αυτές τις πολιτικές από εκείνη την αρχική ανάπτυξη, βλέπουμε σήμερα παράγοντες απειλής να προσπαθούν να ανακαλύψουν και να εκμεταλλευτούν λανθασμένες ρυθμίσεις και ευπάθειες.

Η εισαγωγή κακόβουλου λογισμικού σε επιτραπέζιους υπολογιστές δεν είναι πλέον τόσο πολύτιμη. Τώρα όλοι έχουν στραφεί στην απόκτηση κωδικών πρόσβασης και διακριτικών που επιτρέπουν την πρόσβαση σε ευαίσθητα συστήματα με τον ίδιο τρόπο που το κάνουν οι απομακρυσμένοι εργαζόμενοι.

Δεν ξέρω αν οι παράγοντες απειλής εργάζονταν από το σπίτι τους, αλλά έχουμε δεδομένα που παρέχουν κάποιες πληροφορίες σχετικά με το πώς οι διακοπές λειτουργίας των επιχειρήσεων λόγω του COVID επηρέασαν τη δραστηριότητά τους στις πόλεις όπου ζούσαν. Ανεξάρτητα από το πού έκαναν τη δουλειά τους, οι ζωές τους επηρεάστηκαν—όπως και οι ζωές όλων μας.

Μερικές φορές μπορούσαμε να δούμε την επίδραση των διακοπών λειτουργίας σε όλη την πόλη από την έλλειψη δραστηριότητας στους υπολογιστές τους. Ήταν πολύ ενδιαφέρον να δούμε τον αντίκτυπο όλων αυτών των περιοδικών διακοπών λειτουργίας σε επίπεδο περιφέρειας στα δεδομένα μας.

Έχω ένα εξαιρετικό παράδειγμα—ένας από τους φορείς απειλών που παρακολουθούμε, το Nylon Typhoon. Η Microsoft ανέλαβε δράση εναντίον αυτής της ομάδας τον Δεκέμβριο του 2021 και διέκοψε την υποδομή που χρησιμοποιούνταν για τη στόχευση της Ευρώπης, της Λατινικής Αμερικής και της Κεντρικής Αμερικής.

Κατά την εκτίμησή μας, ορισμένες δραστηριότητες των θυμάτων αφορούσαν πιθανότατα επιχειρήσεις συλλογής πληροφοριών που αποσκοπούσαν στην παροχή πληροφοριών σχετικά με τους εταίρους που συμμετέχουν στην κινεζική πρωτοβουλία Belt and Road Initiative (BRI) για τα κινεζικά κυβερνητικά έργα υποδομής σε όλο τον κόσμο. Γνωρίζουμε ότι οι κινεζικοί κρατικοί παράγοντες απειλής διεξάγουν παραδοσιακή κατασκοπεία και οικονομική κατασκοπεία, και η εκτίμησή μας είναι ότι αυτή η δραστηριότητα πιθανότατα περιλάμβανε και τα δύο.

Δεν είμαστε 100% σίγουροι γιατί δεν έχουμε αδιάσειστα στοιχεία. Μετά από 15 χρόνια, μπορώ να σας πω ότι είναι πολύ δύσκολο να βρεις αδιάσειστα στοιχεία. Αυτό που μπορούμε να κάνουμε, όμως, είναι να αναλύσουμε τις πληροφορίες, να τις ερμηνεύσουμε και να πούμε: "Εκτιμούμε με αυτό το επίπεδο εμπιστοσύνης ότι πιστεύουμε ότι είναι πιθανό για αυτόν τον λόγο".

Μία από τις μεγαλύτερες τάσεις περιλαμβάνει τη μετατόπιση της εστίασης από τα τελικά σημεία των χρηστών και το προσαρμοσμένο κακόβουλο λογισμικό σε παράγοντες που λειτουργούν πραγματικά στα άκρα—επικεντρώνοντας τους πόρους στην εκμετάλλευση των συσκευών αιχμής και τη διατήρηση της ανθεκτικότητας. Αυτές οι συσκευές είναι ενδιαφέρουσες, διότι αν κάποιος αποκτήσει πρόσβαση, θα μπορούσαν να παραμείνουν εκεί για πολύ μεγάλο χρονικό διάστημα.

Ορισμένες ομάδες διεισδύουν βαθιά σε αυτές τις συσκευές. Γνωρίζουν πώς λειτουργεί το υλικολογισμικό τους. Γνωρίζουν τα τρωτά σημεία που έχει κάθε συσκευή και γνωρίζουν επίσης ότι πολλές συσκευές δεν υποστηρίζουν λογισμικό προστασίας από ιούς ή τη λεπτομερή καταγραφή.

Φυσικά, οι δράστες γνωρίζουν ότι συσκευές όπως τα VPN είναι πλέον σαν τα κλειδιά του βασιλείου. Καθώς οι οργανισμοί προσθέτουν επίπεδα ασφάλειας, όπως διακριτικά, έλεγχο ταυτότητας πολλών παραγόντων (MFA) και πολιτικές πρόσβασης, οι δράστες γίνονται όλο και πιο έξυπνοι όσον αφορά την παράκαμψη και το ξεγλίστρημα μέσα από τους μηχανισμούς άμυνας.

Νομίζω ότι πολλοί από τους δράστες έχουν συνειδητοποιήσει ότι αν είναι σε θέση να διατηρήσουν μακροπρόθεσμη ανθεκτικότητα μέσω μιας συσκευής όπως ένα VPN, δεν χρειάζεται πραγματικά να αναπτύξουν κακόβουλο λογισμικό οπουδήποτε. Μπορούν απλώς να παραχωρήσουν στον εαυτό τους πρόσβαση που τους επιτρέπει να συνδεθούν ως οποιοσδήποτε χρήστης.

Ουσιαστικά δίνουν στους εαυτούς τους "υπερδυνάμεις" στο δίκτυο, παραβιάζοντας αυτές τις συσκευές αιχμής.

Βλέπουμε επίσης μια τάση όπου οι δράστες χρησιμοποιούν το Shodan, το Fofa ή οποιοδήποτε είδος βάσης δεδομένων που σαρώνει το διαδίκτυο, καταγράφει συσκευές και προσδιορίζει διαφορετικά επίπεδα επιδιόρθωσης.

Βλέπουμε επίσης φορείς να εκτελούν τις δικές τους σαρώσεις μεγάλων τμημάτων του διαδικτύου —μερικές φορές από προϋπάρχουσες λίστες στόχων—αναζητώντας πράγματα που μπορούν να αξιοποιηθούν. Όταν βρουν κάτι, θα κάνουν άλλη μια σάρωση για να εκμεταλλευτούν πραγματικά τη συσκευή και θα επιστρέψουν αργότερα για να αποκτήσουν πρόσβαση στο δίκτυο.

Ισχύουν και τα δύο. Εξαρτάται από τον δράστη. Ορισμένοι παράγοντες απειλής είναι υπεύθυνοι για μια δεδομένη χώρα. Αυτός είναι ο στόχος τους, οπότε το μόνο που τους ενδιαφέρει είναι οι συσκευές σε αυτή τη χώρα. Άλλοι παράγοντες απειλής όμως έχουν λειτουργικά σύνολα στόχων—έτσι θα επικεντρωθούν σε συγκεκριμένους τομείς όπως η χρηματοδότηση, η ενέργεια ή η μεταποίηση. Θα έχουν δημιουργήσει επί σειρά ετών μια λίστα στόχων με εταιρείες που τους ενδιαφέρουν και οι εν λόγω παράγοντες γνωρίζουν ακριβώς ποιες συσκευές και ποιο λογισμικό χρησιμοποιούν οι στόχοι τους. Έτσι, παρατηρούμε ορισμένους παράγοντες απειλής να σαρώνουν μια προκαθορισμένη λίστα στόχων για να δουν αν οι στόχοι έχουν επιδιορθώσει μια συγκεκριμένη ευπάθεια.

Οι δράστες μπορεί να είναι πολύ στοχευμένοι, μεθοδικοί και ακριβείς, αλλά μερικές φορές είναι και τυχεροί. Πρέπει να θυμόμαστε ότι είναι άνθρωποι. Όταν εκτελούν τις σαρώσεις τους ή συλλέγουν δεδομένα με ένα εμπορικό προϊόν, μερικές φορές είναι απλά τυχεροί και παίρνουν το σωστό σύνολο πληροφοριών από την αρχή, για να ξεκινήσουν τη λειτουργία τους.

Αυτό ακριβώς. Αλλά η σωστή άμυνα είναι κάτι περισσότερο από απλή επιδιόρθωση. Η πιο αποτελεσματική λύση ακούγεται απλή αλλά είναι πολύ δύσκολη στην πράξη. Οι οργανισμοί πρέπει να κατανοήσουν και να καταγράψουν τις συσκευές τους που είναι εκτεθειμένες στο διαδίκτυο. Πρέπει να γνωρίζουν πώς μοιάζουν οι περίμετροι του δικτύου τους και γνωρίζουμε ότι αυτό είναι ιδιαίτερα δύσκολο να γίνει σε υβριδικά περιβάλλοντα με συσκευές τόσο στο cloud όσο και εσωτερικής εγκατάστασης.

Η διαχείριση συσκευών δεν είναι εύκολη, και δεν θέλω να προσποιηθώ ότι είναι, αλλά η γνώση των συσκευών στο δίκτυό σας—και των επιπέδων επιδιόρθωσης για κάθε μία από αυτές—είναι το πρώτο βήμα που μπορείτε να κάνετε.

Μόλις μάθετε τι διαθέτετε, μπορείτε να αυξήσετε τη δυνατότητα καταγραφής και τηλεμετρίας από αυτές τις συσκευές. Επιδιώξτε την αναλυτικότητα των αρχείων καταγραφής. Αυτές οι συσκευές είναι δύσκολο να αμυνθούν. Το καλύτερο στοίχημα ενός υπερασπιστή δικτύου για την υπεράσπιση αυτών των συσκευών είναι η καταγραφή και η αναζήτηση ανωμαλιών

Μακάρι να είχα μια κρυστάλλινη σφαίρα για το ποια είναι τα σχέδια της κυβέρνησης της Κίνας. Δυστυχώς, δεν έχω. Αλλά αυτό που μπορούμε να δούμε είναι μάλλον για επιθυμία για πρόσβαση σε πληροφορίες.

Κάθε έθνος έχει αυτή την επιθυμία.

Μας αρέσουν και εμάς οι πληροφορίες μας. Μας αρέσουν τα δεδομένα μας.

Η Judy είναι η ειδικός μας στην πρωτοβουλία Belt and Road Initiative (BRI) και γεωπολιτικός εμπειρογνώμονας. Βασιζόμαστε στις γνώσεις της όταν εξετάζουμε τις τάσεις, ειδικά στη στόχευση. Μερικές φορές βλέπουμε να εμφανίζεται ένας νέος στόχος και δεν βγάζει κανένα νόημα. Δεν ταιριάζει με αυτό που έχουν κάνει στο παρελθόν, και έτσι θα το πάμε στην Judy, η οποία θα μας πει: "Α, γίνεται μια σημαντική οικονομική συνάντηση σε αυτή τη χώρα ή γίνονται διαπραγματεύσεις για την κατασκευή ενός νέου εργοστασίου σε αυτή τη θέση".

Η Judy μας δίνει πολύτιμο ερμηνευτικό υλικό—ουσιαστική ερμηνεία—σχετικά με το γιατί οι παράγοντες απειλής κάνουν ό,τι κάνουν. Όλοι ξέρουμε πώς να χρησιμοποιούμε τη Μετάφραση Bing και όλοι ξέρουμε πώς να αναζητούμε ειδήσεις, αλλά όταν κάτι δεν βγάζει νόημα, η Judy μπορεί να μας πει: "Λοιπόν, αυτή η μετάφραση στην πραγματικότητα σημαίνει αυτό", και αυτό μπορεί να κάνει τη διαφορά.

Ο εντοπισμός κινεζικών παραγόντων απειλής απαιτεί πολιτισμικές γνώσεις σχετικά με το πώς είναι δομημένη η κυβέρνησή τους και πώς λειτουργούν οι εταιρείες και τα θεσμικά τους όργανα. Το έργο της Judy βοηθά να ξετυλίξει το κουβάρι της δομής αυτών των οργανώσεων και μας επιτρέπει να μάθουμε πώς λειτουργούν—πώς κερδίζουν χρήματα και πώς αλληλεπιδρούν με την κινεζική κυβέρνηση.

Όπως είπε η Σάρα, είναι θέμα επικοινωνίας. Είμαστε πάντα στη Συνομιλία Teams. Μοιραζόμαστε πάντα τις γνώσεις που μπορεί να έχουμε δει από την τηλεμετρία, πράγμα που μας βοήθησε να εργαστούμε προς την κατεύθυνση ενός πιθανού συμπεράσματος.

Ποιο είναι το κόλπο μου; Πολύς χρόνος στο διαδίκτυο και στο διάβασμα. Σοβαρά, όμως, νομίζω ότι ένα από τα πιο πολύτιμα πράγματα είναι απλώς να γνωρίζετε πώς να χρησιμοποιείτε τις διάφορες μηχανές αναζήτησης.

Νιώθω άνετα με το Bing, αλλά και με το Baidu και το Yandex.

Και αυτό συμβαίνει γιατί οι διάφορες μηχανές αναζήτησης παρέχουν διαφορετικά αποτελέσματα. Δεν κάνω κάτι ιδιαίτερο, αλλά ξέρω να αναζητώ διαφορετικά αποτελέσματα από διαφορετικές πηγές, ώστε να μπορώ να αναλύσω τα δεδομένα από εκεί.

Όλοι στην ομάδα έχουν πολύ καλές γνώσεις. Όλοι διαθέτουν "υπερδυνάμεις"—απλά πρέπει να ξέρουμε ποιον να ρωτήσουμε. Και είναι υπέροχο που δουλεύουμε σε μια ομάδα όπου όλοι νιώθουν άνετα να κάνουν ερωτήσεις ο ένας στον άλλον, σωστά; Πάντα λέμε ότι δεν υπάρχουν ανόητες ερωτήσεις.

Αυτό το μέρος τροφοδοτείται από ανόητες ερωτήσεις.

Τώρα είναι η ιδανική στιγμή για να ασχοληθείτε με την ασφάλεια της τεχνολογίας πληροφορικής. Όταν πρωτοξεκίνησα, δεν υπήρχαν πολλά μαθήματα ή πόροι ή τρόποι εξερεύνησης. Τώρα υπάρχουν προπτυχιακά και μεταπτυχιακά προγράμματα! Τώρα υπάρχουν πολλοί τρόποι για να ασχοληθείτε με το επάγγελμα. Ναι, υπάρχουν λύσεις που μπορεί να κοστίζουν πολλά χρήματα, αλλά υπάρχουν και λύσεις με χαμηλότερο κόστος και δωρεάν.

Ένας δωρεάν εκπαιδευτικός πόρος για την ασφάλεια αναπτύχθηκε από τους Simeon Kakpovi και Greg Schloemer, τους συναδέλφους μας στην υπηρεσία "Πληροφορίες της Microsoft σχετικά με απειλές". Αυτό το εργαλείο, που ονομάζεται KC7, καθιστά την είσοδο στην ασφάλεια της πληροφορικής, την κατανόηση των συμβάντων του δικτύου και του κεντρικού υπολογιστή και το κυνήγι των δραστών προσιτά σε οποιονδήποτε.

Τώρα είναι δυνατή η έκθεση σε όλα τα είδη διαφορετικών θεμάτων. Όταν ξεκίνησα, έπρεπε να εργάζεσαι σε μια εταιρεία με προϋπολογισμό πολλών εκατομμυρίων δολαρίων για να έχεις την πολυτέλεια αυτών των εργαλείων. Για πολλούς, αυτό αποτελούσε εμπόδιο εισόδου. Τώρα όμως, ο καθένας μπορεί να αναλύσει δείγματα κακόβουλου λογισμικού. Παλαιότερα ήταν δύσκολο να βρείτε δείγματα κακόβουλου λογισμικού και καταγραφές πακέτων. Αλλά αυτά τα εμπόδια καταρρέουν. Σήμερα, υπάρχουν τόσα πολλά δωρεάν και διαδικτυακά εργαλεία και πόροι όπου μπορείτε να μάθετε μόνοι σας, ακολουθώντας τον δικό σας ρυθμό.

Η συμβουλή μου είναι να βρείτε τη θέση που σας κινεί το ενδιαφέρον. Θέλετε να κάνετε έρευνα για κακόβουλο λογισμικό; Ψηφιακή εγκληματολογία; Πληροφορίες σχετικά με απειλές; Εστιάστε στα αγαπημένα σας θέματα και επωφεληθείτε από τις δημόσια διαθέσιμες πηγές και μάθετε όσα περισσότερα μπορείτε με αυτές.

Το πιο σημαντικό πράγμα είναι να είστε περίεργοι, σωστά; Μαζί με την περιέργεια, πρέπει να συνεργάζεστε καλά με τους άλλους. Πρέπει να θυμάστε ότι πρόκειται για ομαδικό άθλημα - κανείς δεν μπορεί να διαχειριστεί την ασφάλεια στον κυβερνοχώρο μόνος του.

Είναι σημαντικό να μπορείτε να εργάζεστε ομαδικά. Είναι σημαντικό να είστε περίεργοι και ανοιχτοί στη μάθηση. Πρέπει να νιώθετε άνετα να κάνετε ερωτήσεις και να βρίσκετε τρόπους να συνεργάζεστε με τους συναδέλφους σας.

Αυτό είναι σίγουρα αλήθεια. Θα ήθελα να τονίσω ότι η υπηρεσία "Πληροφορίες της Microsoft σχετικά με απειλές" συνεργάζεται με πολλές ομάδες συνεργατών της Microsoft. Βασιζόμαστε σε μεγάλο βαθμό στην εμπειρογνωμοσύνη των συναδέλφων μας για να μας βοηθήσουν να καταλάβουμε τι κάνουν οι παράγοντες απειλής και γιατί το κάνουν. Δεν θα μπορούσαμε να κάνουμε τη δουλειά μας χωρίς αυτούς.