En esta entrevista fascinante, Sherrod DeGrippo, una experta en la inteligencia contra amenazas con más de 19 años de experiencia, nos ofrece una visión pormenorizada del mundo del ciberespionaje. A ella se unen Judy Ng y Sarah Jones, dos especialistas extraordinarias dedicadas a desentrañar la red de ciberamenazas con origen en China y destapar las actividades encubiertas del entorno de amenazas moderno. Juntas hablan sobre los retos que deben afrontar quienes quieren proteger nuestro mundo interconectado. Prepárate para descubrir este mundo fascinante y aprender de la experiencia extraordinaria de estas detectives digitales a medida que se adentran en el reino oculto del cambo de batalla cibernético chino.
En el frente: Descifrar las tácticas y técnicas de los actores de amenazas chinos
Sarah Jones
Como analista de amenazas sénior, investigo los grupos de amenazas avanzadas persistentes (APT) con origen en China y que trabajan en nombre del gobierno chino. Rastreo su desarrollo de malware a lo largo del tiempo e investigo sus métodos de creación de infraestructura y de puesta en peligro de las redes de sus víctimas. Antes de unirme a Inteligencia contra amenazas Microsoft, trabajaba centrándome principalmente en China, pero también trabaja con grupos rusos e iraníes.
La mayor parte de mi experiencia, sobre todo cuando estaba empezando, es en centros de operaciones de seguridad centrada en seguridad interna para gobiernos y redes corporativas.
Una de las mejores cosas de estudiar sobre los grupos de actores de amenazas chinos es la capacidad de realizar un seguimiento de sus actividades a lo largo de periodos de tiempo tan grandes. Resulta muy interesante poder investigar grupos que recuerdo de hace 10 años y observar su evolución a lo largo del tiempo.
Judy Ng
Como Sarah, soy analista de amenazas sénior, con un enfoque al análisis geopolítico además del análisis de ciberamenazas. He seguido a los actores chinos desde diferentes perspectivas durante los últimos 15 años de mi carrera, en roles entre los que se incluyen el apoyo al gobierno de EE. UU, puestos en startups, distintas posiciones del mundo corporativo estadounidense y, por supuesto, Microsoft, a la que me uní en 2020.
Empecé a centrarme en China porque siempre me ha interesado. Al comienzo de mi carrera, este interés me ayudó a obtener un contexto del que carecían mis compañeros, que no entendían las particularidades del idioma chino o la cultura china.
Creo que una de mis primeras preguntas fue "Judy, ¿qué es 'pollo de carne'? ¿Qué significa en chino?"
La respuesta es "red de robots (botnet)". "Pollo de carne" era un término de jerga que usaban los actores de amenazas en foros online para describir a redes de robots zombies.
Judy Ng
En este trabajo, cada día haces algo distinto. Es muy estimulante. Puedes reunir todas las señales que obtiene Microsoft y dejar que los datos te guíen.
Nunca te aburrirás de nuestro conjunto de datos. Nunca dirás "No hay nada que cazar". Siempre está pasando algo interesante y el hecho de que nuestros compañeros del equipo chino sean gente curiosa resulta muy conveniente.
Ya estés en una caza individual o participando en una tarea grupal de investigación, es genial que seamos personas curiosas y que podamos explorar distintas rutas.
Sarah Jones
Estoy de acuerdo con Judy. Cada día presenta un problema distinto. Cada día aprendes sobre una tecnología o un software nuevo que los actores tratan de aprovechar. Y si es algo de lo que nunca he oído hablar, tengo que dedicarme a leer la documentación. A veces tengo que leer la solicitud de comentarios (RFC) de un protocolo porque los actores de amenazas están intentando manipular o abusar algún aspecto de este, y eso requiere analizar la documentación original.
Estas situaciones me resultan apasionantes y puedo trabajar en ellas a diario. Todos los días aprendo sobre un nuevo aspecto de Internet del que nunca había escuchado y corro para ponerme al día con los conocimientos de los actores de amenazas y así convertirme en experta en el elemento que han decidido aprovechar.
Sarah Jones
La COVID trajo muchos cambios. Para los clientes el mundo cambio. De un día para otro, todo el mundo se quedó encerrado en casa e intentó seguir trabajando. Vimos como muchas empresas tuvieron que reconfigurar totalmente su red, y vimos a empleados cambiando la forma en la que trabajaban; por supuesto, también vimos a los actores de amenazas respondiendo a todo esto.
Por ejemplo, cuando se empezaron a implementar las políticas de trabajo desde casa, muchas organizaciones tuvieron que habilitar el acceso desde muchas ubicaciones distintas a los mismos sistemas y recursos confidenciales que no solían estar disponibles fuera de las oficinas corporativas. Vimos como los actores de amenazas intentaron ocultarse entre el alboroto, haciéndose pasar por trabajadores remotos para acceder a estos recursos.
Cuando llegó la COVID fue necesario reestablecer rápidamente las políticas de acceso de los entornos empresariales y, en ocasiones, esto se hizo sin el tiempo necesario para investigar y revisar los procedimientos recomendados. Como muchas organizaciones no han revisado sus políticas desde la implementación inicial, vemos cómo los actores de amenaza hoy en día intentan descubrir y aprovechar errores de configuración y vulnerabilidades.
Instalar malware en dispositivos de escritorio ya no es algo tan valioso. Ahora lo mejor es obtener contraseñas y tokens que permiten el acceso a sistemas confidenciales de la misma forma que lo hacen los trabajadores remotos.
Judy Ng
No sé si los actores de amenazas trabajan desde casa, pero tenemos datos que ofrecen información sobre cómo las cuarentenas de la COVID afectaron a su actividad en las ciudades en las que residían. No importa desde donde trabajaban, sus vidas se vieron alteradas, como las del resto del mundo.
En ocasiones podíamos ver el efecto que tenían las cuarentenas en ciudades en la falta de actividad de sus dispositivos. Fue muy interesante ver el resultado de las cuarentenas en nuestros datos.
Judy Ng
Tengo un gran ejemplo, uno de los actores de amenazas que seguimos, Nylon Typhoon. Microsoft tomó medidas contra este grupo en diciembre de 2021 y desmanteló la infraestructura que usaba para atacar a Europa, América Latina y América Central.
Nuestra evaluación indica que la actividad de algunas víctimas implicaba operaciones de recopilación de inteligencia destinada a proporcionar información sobre los socios implicados en los proyectos de infraestructura del gobierno chino de la Iniciativa de la Franja y la Ruta (IFR) en todo el mundo. Sabemos que los actores de amenazas patrocinados por el gobierno chino realizan espionaje tradicional y económico, y nuestra evaluación es que esta actividad probablemente combinaba ambos.
No tenemos el 100 % de seguridad porque no contamos con ninguna prueba definitiva. Tras 15 años, puedo decirte que encontrar pruebas definitivas es muy difícil. Sin embargo, podemos analizar la información, aportar contexto y decir "Consideramos con este nivel de confianza que es posible por este motivo".
Sarah Jones
Una de las mayores tendencias implica el cambio en el énfasis en los puntos de conexión y el malware personalizado a actores que viven en el perímetro, concentrando recursos en explorar los dispositivos perimetrales y manteniendo la persistencia. Estos dispositivos son interesantes porque, si alguien obtiene acceso, puede residir en ellos durante mucho tiempo.
Ciertos grupos han realizado penetraciones impresionantes en estos dispositivos. Saben cómo funciona el firmware. Saben qué vulnerabilidades tiene cada dispositivo y que muchos dispositivos no son compatibles con antivirus o inicios de sesión pormenorizados.
Por supuesto, los actores saben que los dispositivos como las VPN hoy en día probablemente son las llaves del reino. A medida que las organizaciones añaden capas a la seguridad como tokens, autenticación multifactor (MFA) y políticas de acceso, los actores se vuelven más inteligentes a la hora de eludir las defensas y colarse por ellas.
Pienso que muchos actores se han dado cuenta de que si pueden mantener persistencia a largo plazo mediante un dispositivo como una VPN, no necesitan implementar malware en ninguna parte. Solo tiene que concederse acceso que les permita iniciar sesión como un usuario.
Básicamente se conceden un "modo dios" en la red al poner en peligro los dispositivos perimetrales.
También vemos una tendencia entre los actores de usar Shodan, Fofa o cualquier otra base de datos que explora Internet, cataloga los dispositivos e identifica los distintos niveles de revisiones.
También vemos cómo los actores realizan sus propios análisis de grandes porciones de Internet, en ocasiones con listas de objetivos preexistentes, en busca de elementos que puedan vulnerar. Cuando encuentran algo, hacen otro análisis para vulnerar el dispositivo y volver más tarde para acceder a la red.
Sarah Jones
Ambos. Depende del actor. Algunos actores son responsable de un país concreto. Este es su conjunto objetivo, por lo que solo se preocupan por los dispositivos en su país. Pero otros actores tienen conjuntos de objetivos funcionales, por lo que se centran en sectores específicos como las finanzas, la energía o la fabricación. Seguramente han obtenido una lista de objetivos a lo largo de los años compuesta por empresas que les importan, ya que estos actores saben exactamente qué dispositivos y software utilizan sus objetivos. Observamos a algunos actores examinando una lista de objetivos predefinida para determinar si sus objetivos han instalado revisiones para una vulnerabilidad concreta.
Judy Ng
Los actores pueden ser muy específicos, metódicos y precisos, pero en ocasiones también tienen mala suerte. Tenemos que recordar que son humanos. Cuando ejecutan sus análisis u obtienen datos con un producto comercial, en ocasiones tienen suerte y obtienen el conjunto adecuado de información desde el principio para ayudar a iniciar su operación.
Sarah Jones
Exacto. Pero la defensa adecuada va más allá de instalar revisiones. La solución más eficaz suena simple pero es muy difícil en práctica. Las organizaciones deben contar con un inventario preciso de sus dispositivos expuestos a internet y comprenderlos. Tienen que saber cuál es el aspecto de sus perímetros de red y sabemos que eso es algo especialmente difícil en entornos híbridos que cuentan con dispositivos en el entorno local y en la nube.
La administración de dispositivos no es fácil y no quiero fingir que lo es, pero conocer los dispositivos en su red y los niveles de revisión con los que cuentan es el primer paso que deben dar.
Una vez que saben con qué cuentan, pueden aumentar la capacidad de inicio de sesión y la telemetría de esos dispositivos. Debe buscarse la granularidad en los registros. Estos dispositivos son difíciles de defender. La mejor apuesta defensiva para la red es buscar anomalías y registrarlas
Judy Ng
Ojalá tuviese una bola de cristal que me permitiese ver los planes del gobierno Chino. Por desgracia, no la tengo. Pero lo que podemos ver probablemente sea un apetito de acceder a la información.
Todas las naciones tienen ese apetito.
También nos gusta nuestra información. Nos gustan nuestros datos.
Sarah Jones
Judy es nuestra experta en la Iniciativa de la Franja y la Ruta (IFR) y geopolítica. Confiamos en la información cuando buscamos tendencias, especialmente en el establecimiento de objetivos. En ocasiones vemos cómo aparece un nuevo objetivo que no tiene ningún sentido. No coincide con lo que han hecho anteriormente, por lo que se lo enseñamos a Judy, que nos dice algo como "Oh, está pasando una reunión económica importante en este país, o hay negociaciones sobre la construcción de una nueva fábrica en esta ubicación".
Judy nos ofrece un contexto valiosos y esencial acerca de por qué los actores de amenazas hacen lo que hacen. Todos sabemos cómo usar el traductor de Bing y buscar noticias, pero cuando algo non tiene sentido, Judy puede decirnos "En realidad la traducción es esta" y eso marca la diferencia.
Supervisar los actores de amenazas chinos requiere conocimientos culturales acerca de cómo se estructura su gobierno y cómo operan sus empresas e instituciones. El trabajo de Judy nos ayuda a desentrañar la estructura de estas organizaciones y nos permite saber cómo funcionan, cómo ganan dinero y cómo interactúan con el gobierno chino.
Judy Ng
Como ha explicado Sarah, es la comunicación. Siempre estamos en el chat de Teams. Siempre compartimos información que quizás hemos visto en telemetría que nos ha ayudado a llegar a una conclusión.
Judy Ng
¿Cuál es mi truco? Pasar mucho tiempo en Internet y leer mucho. En serio, creo que una de las herramientas más valiosa es saber cómo utilizar distintos motores de búsqueda.
Me siento cómoda usando Bing, pero también usando Baidu y Yandex.
El motivo es que los distintos motores de búsqueda te ofrecen distintos resultados. No hago nada especial, pero sé como obtener distintos resultados de fuentes diferentes para analizar los datos que me ofrecen.
Todos los miembros del equipo tienen muchos conocimientos. Todos tienen superpoderes, solo tienes que saber a quién preguntar. Y es genial que trabajemos en un equipo en el que todo el mundo se sienta cómo realizando preguntas, ¿no crees? Siempre decimos que no hay preguntas estúpidas.
Sarah Jones
Estas instalaciones funcionan a base de preguntas estúpidas.
Sarah Jones
Es el momento perfecto para entrar en la seguridad de TI. Cuando empecé, no había muchas clases, ni recursos ni formas de explorar este mundo. Ahora hay carreras y másteres universitarios. Ahora hay muchas formas de entrar en esta profesión. Sí, hay rutas que pueden costar mucho dinero, pero también hay otras más baratas e incluso gratuitas.
Un recurso de entrenamiento gratuito fue desarrollado por Simeon Kakpovi y Greg Schloemer, nuestros compañeros de Inteligencia contra amenazas. Esta herramienta, denominada KC7, hace que entrar en la seguridad de TI, comprender las redes, organizar eventos y cazar actores accesible para todo el mundo.
Ahora también es posible exponerse a todo tipo de temas distintos. Cuando empecé tenías que trabajar en una empres que contase con un presupuesto de varios millones de dólares para poder permitirte estas herramientas. Para mucha gente esto representaba una barrera de entrada. Pero ahora cualquiera puede analizar muestras de malware. Solía ser complicado encontrar muestras de malware y capturas de paquetes. Pero estas barreras están desapareciendo. Hoy en día hay muchos recursos y herramientas gratuitos y online con los que puedes aprender de forma independiente a tu propio ritmo.
Mi consejo es descubrir qué área concreta te interesa. ¿Quieres investigar malware? ¿Dedicarte al análisis forense digital? ¿A la inteligencia sobre amenazas? Descubre tus temas favoritos y aprovecha los recursos disponibles de forma pública y aprende tanto cómo puedas con ellos.
Judy Ng
Lo más importante es la curiosidad, ¿no? Y con ella, trabajar bien con otras personas. Tienes que recordar que esto es un deporte de equipo, nadie puede dedicarse a la ciberseguridad en solitario.
Es importante poder colaborar en equipo. Es importante tener curiosidad y voluntad de aprender. Tienes que ser capaz de realizar preguntas y encontrar formas de colaborar con tus compañeros de equipo.
Sarah Jones
Sin lugar a dudas. Quiero destacar que Inteligencia contra amenazas Microsoft colabora con muchos equipos asociados en Microsoft. Dependemos de la experiencia de nuestros compañeros para ayudarnos a comprender qué hacen los actores y por qué lo hacen. No podríamos hacer nuestro trabajo sin ellos.
Seguir a Seguridad de Microsoft