Trace Id is missing

Eesliinil: Hiina küberohustajate taktika ja tehnika lahtiseletamine

Microsofti ohuanalüüsi strateegiajuhi Sherrod DeGrippo näopilt

Kaasahaarvas intervjuus räägib kogenud, rohkem kui 19 aastat tegutsenud küberohuteabe asjatundja Sherrod DeGrippo lähemalt küberspionaaži valdkonnast. Temaga liituvad kaks asjatundlikku spetsialist Judy Ng ja Sarah Jones, kes on pühendunud Hiinast pärinevate keerukate küberohtude võrgu lahtiharutamisele. Koos keskenduvad nad kaasaegse ohumaastiku varjatud tegevustele. Üheskoos arutavad nad väljakutsete üle, millega seisavad silmitsi meie ühendatud maailma kaitsvad inimesed. Valmistuge tutvuma digitaalsete detektiivide rääkimata lugude ja erakordse asjatundlikkusega, kui nad Hiina kübertandri varjatud aspekte paljastavad.

Sarah Jones

Küberohtude vanemanalüütikuna hõlmab minu uurimisvaldkond Hiinast päinevaid keerukaid püsiohte (advanced persistent threat, APT), mille eesmärgiks on Hiina valitsusele kasu tuua. Jälgin aja jooksul nende ründevara edasiarenemist ja uurin nende taristu loomise ning ohvrite võrgustike ohustamise meetodeid. Enne Microsofti ohuanalüüsiga liitumist keskendusin peamiselt Hiinale, kuid olen töötanud ka Iraani ja Venemaa rühmituste alal.

Suurem osa minu tööalasest taustast, eelkõige karjääri algusaastatel, on seotud turbetoimingute keskustes töötamisega. Sel ajal keskendusin peamiselt valitsuse ja ühisvõrgu sisejulgeolekule.

Üks hea asi Hiina küberohustajate rühmituste uurimise juures on võimalus jälgida nende tegevust pika ajavahemiku jooksul. Väga huvitav on uurida rühmitusi, mida mäletan juba 10 aasta tagusest asjast, ja vaadata, mida nad on aja jooksul teinud.

Judy Ng

Sarnaselt Sarah tööle olen ka mina küberohtude vanemanalüütik ning tegelen geopoliitiliste analüüside ja küberohtude analüüsimisega. Viimase 15 aasta jooksul olen jälginud Hiina päritolu ohte erinevast vaatenurkadest, mis hõlmavad Ameerika Ühendriikide valitsust toetavaid rolle, äsja asutatud ettevõtetes töötamist, erinevaid ametikohti Ameerika suurettevõtetes ja muidugi Microsoftis töötamist, millega liitusin 2020. aastal.

Hiinale keskendumine algas sellest, et olen alati Hiina vastu huvi tundnud. Karjääri algusaegadel aitas kõnealune huvi tagada konteksti kolleegide jaoks, kes ei pruukinud hiina keele ja kultuuri kõikidest nüanssidest aru saada.

Minu mäletamist mööda oli üks esimesi mulle esitatud küsimusi „Judy, mida tähendab „kanaliha“? Mis tähendus on „kanalihal“ hiina keeles?“

Vastus sellele küsimusele oli „robotivõrk“. „Kanaliha“ oli küberohustajate poolt sidusfoorumites kasutatud hiinakeelne slängisõna zombie-robotivõrkude kirjeldamiseks

Judy Ng

Sellisel ametikohal ei tegele inimene kindlasti päevast päeva täpselt sama asjaga. See pakub palju põnevust. Võimalik on kasutada kõiki Microsoftile edastatud võimsaid signaale ja lasta kõnealustel andmetel end juhtida.

Saadaolev andmekogum ei suudaks mitte kunagi igavaks muutuda. Mitte kunagi ei leia end mõttelt, et pole midagi jahtida. Alati leiab midagi huvipakkuvat, samuti tuleb kasuks, et ka paljud meie Hiina meeskonna liikmed on väga uudishimulikud.

On suurepärane tõdeda, et me kõik oleme uudishimulikud ja järgime erinevaid lähenemisviise olenemata sellest, kas kindla teema puhul on tegemist ühe inimese või kogu rühma ettevõtmisega.

Sarah Jones

Olen Judyga täiesti nõus. Tegeleme iga päev uute ja erinevate probleemidega. Tutvun igapäevaselt mõne uue tehnoloogia või tarkvaraga, mida küberohustaja proovib enda huvides ära kasutada. Juhul kui tegemist on tehnoloogia või tarkvaraprogrammiga, millest ma pole enne kuulnud, pean esmalt tutvuma selle dokumentatsiooniga. Vahel pean lugema protokolli kommentaarinõuet (request for comments, RFC), sest küberohustajad tegelevad mõne selle aspekti mõjutamise või kuritarvitamisega, mistõttu on tarvis hankida originaaldokumentatsioon ja seda lugeda.

Kõnealused aspektid on minu jaoks väga põnevad ja saan selliste asjadega igapäevaselt tegeleda. Iga päev õpin interneti kohta midagi uut, millest ma eelnevalt kuulnudki pole. Seejärel on minu ülesandeks küberohustajatele järele jõuda, et omandada ekspertteadmised kindla aspekti kohta, mida nad on otsustanud ära kasutada.

Sarah Jones

COVID-i saabumisega tuli ka palju muudatusi. Klientide jaoks oli maailm täielikult muutunud. Kõik juhtus üleöö ja inimesed pidid minema koju ning leidma viisi edasi töötamiseks. Paljud ettevõtted pidid oma võrgustikud täielikult ümber korraldama ja töötajad pidid muutma enda töö tegemise viise. Muidugi reageerisid kõigele sellele ka küberohustajad.

Näiteks kodust töötamise põhimõtte esmase kasutuselevõtu käigus pidid paljud ettevõtted tagama mitmest erinevast asukohast juurdepääsu väga delikaatsetele süsteemidele ja ressurssidele, mis polnud tavapäraselt väljaspool ettevõtte kontoreid kättesaadavad. Seejärel püüdsid küberohustajad teeselda kaugtöö tegijaid ja sellistesse tegevustesse sulanduda, et kõnealustele ressurssidele juurdepääsu omandada.

COVID-i saabumisega tuli kiiresti välja töötada ettevõtte keskkonna juurdepääsupõhimõtted. Vahel loodi need ilma eelnevat uurimistööd tegemata ja ilma parimate tavadega tutvumata. Kuna väga paljud ettevõtted ei ole kõnealuseid põhimõtteid pärast esmast kasutuselevõttu enam üle vaadanud, tegelevad küberohustajad nüüd väärkonfiguratsioonide ja nõrkuste avastamise ning ärakasutamisega.

Ründevara suunamine töölauale ei ole enam väga mõttekas. Nüüd on hinnas paroolide ja tõendite hankimine, mis tagavad kaugtöö tegijatele juurdepääsu delikaatsetele süsteemidele.

Judy Ng

Ma ei ole kindel, kas küberohustajatel oli võimalik kodust töötada, kuid meil on andmeid selle kohta, et COVID-ist tingitud seisakud põhjustasid ka küberohustajate tegevuses katkestusi linnades, kus nad elavad. Sõltumata nende töö tegemise asukohast mõjutas olukord sarnaselt kõikide teiste inimeste eludele ka küberohustajate elu.

Mõnikord nägime, et terve linna sulgemine tõi kaasa tegevuse puudumise küberohustajate arvutites. Väga huvitav oli näha, kuidas tervete piirkondade sulgemine meie andmeid mõjutas.

Judy Ng

Üks suurepärane näide meie jälgitava küberohustaja kohta on Nylon Typhoon. Microsoft asus kõnealuse rühmituse vastu tegutsema 2021. aasta detsembris ning asus häirima Euroopa, Ladina-Ameerika ja Kesk-Ameerika vastu suunatud taristut.

Meie hinnangul hõlmas ohvrite vastu suunatud tegevus tõenäoliselt teabe kogumist, mis oli mõeldud Hiina majandusvööndi ja maanteede algatuse Belt and Road Initiative (BRI) partnerite jaoks – algatus tegeleb valitsuse juhitud taristuprojektidega üle maailma. Teame, et Hiina valitsuse spondeeritud küberohustajad tegelevad traditsioonilise spionaaži ja majandusspionaažiga. Meie hinnangul aitas kõnealune tegevus mõlemale kaasa.

Otsese tõendusmaterjali puudumise tõttu ei saa me 100% kindlad olla. Enda 15 aasta pikkuse kogemuse põhjal võin öelda, et otsese tõendusmaterjali leidmine on tõeliselt raske. Siiski on meil võimalik andmeid analüüsida, lisada konteksti ja öelda: „Meie usaldusnivoo lubab arvata, et tõenäoliselt toimus see just sellisel põhjusel“.

Sarah Jones

Üks suurimaid trende on rõhuasetuse üleminek kasutaja lõpp-punktidelt ja kohandatud ründevaralt küberohustajate viimasel piiril tegutsemisele – nad on koondanud ressursid ääreseadmete ärakasutamisele ja järjepidevusele. Kõnealused seadmed on huvitavad seetõttu, et kui keegi omandab nendele juurdepääsu, võib seadmetesse väga kauaks pidama jääda.

Mõned rühmitused on suutnud selliseid seadmeid põhjalikult tundma õppida. Nad teavad, kuidas selliste seadmete püsivara töötab. Nad on kursis iga seadme nõrkusega ja sellega, et paljudes seadmetes ei kasuta viirustõrjeprogramme ega üksikasjalikku logimist.

Küberohustajad on muidugi kursis, et VPN-ile sarnased seadmed on nüüd esmaolulised. Ettevõtted on võtnud kasutusele turbekihid, näiteks tõendid, mitmikautentimise ja juurdepääsupõhimõtted, ning küberohustajad muutuvad möödahiilimise ja kaitsest läbimurdmise alal aina nutikamaks.

Arvan, et paljud küberohustajad on mõistnud, et kui neil on võimalik säilitada pikaajaline järjepidevus näiteks VPN-i abil, siis ei peagi nad enam ründetarkvara kasutama. Nad võivad lihtsalt omandada juurdepääsu ja sarnaselt teiste kasutajatega sisse logida.

Tänu ääreseadmetega manipuleerimisele tõusevad nad võrgus jumala staatusesse.

Samuti oleme tunnistanud järgmist trendi: küberohustajad kasutavad rakendusi nagu Shodan ja Fofa või ükskõik millist andmebaasi interneti, kataloogide ning seadmete skannimiseks, et tuvastada erinevad paikade tasemed.

Samuti näeme, et küberohustajad sooritavad internetis iseseisvaid laiaulatuslikke skannimisi, kasutades vahel olemasolevaid sihtloendeid, et leida ärakasutatavaid aspekte. Kui nad midagi leiavad, siis sooritavad nad veel ühe skannimise seadme kuritarvitamise eesmärgil ja naasevad seejärel hiljem, et võrgule juurde pääseda.

Sarah Jones

See tähendab mõlemat. Sõltub küberohustajast. Mõned küberohustajad vastutavad kindla riigi eest. Nad on keskendunud kindlale riigile ja neid huvitavad ainult selle riigi seadmed. Teistel küberohustajatel on funktsionaalsed sihtmärgid ning nemad keskenduvad kindlatele valdkondadele, näiteks rahandus-, energia- või tootmissektorile. Nad on koostanud oma eesmärkide loendi aastate jooksul huvipakkuvatest ettevõtetest ning küberohustajavad teavad täpselt, millised seadmeid ja tarkvara nende sihtmärgid kasutavad. Jälgisime küberohustajaid, kes skannisid eelnevalt määratletud sihtmärkide loendit, et näha, kas sihtmärkidel on kindla nõrkuse jaoks paikamist kasutatud.

Judy Ng

Küberohustajad suudavad olla väga sihipärased, metoodilised ja täpsed, kuid vahel neil lihtsalt veab. Oluline on meeles pidada, et tegemist on siiski inimestega. Kui nad skannivad või hangivad kommertstoote kohta andmeid, siis vahel neil lihtsalt veab ja nad omandavad õiged andmed kohe algusest peale, mis omakorda aitab nende tegevust käivitada.

Sarah Jones

See on kindlasti tõsi. Samal ajal ei seisne õige kaitse ainult paikamises. Kõige tõhusam lahendus kõlab küll lihtsalt, kuid reaalsuses on seda väga keeruline rakendada. Ettevõtted peavad mõistma ja täpselt üle lugema kõik seadmed, mis on internetiga ühendatud. Ettevõtte peab täpselt tundma oma võrguperimeetreid – eriti raske on see hübriidkeskkondade puhul, kus kasutatakse nii pilvepõhiseid kui ka kohapealseid seadmeid.

Seadmete haldamine ei ole lihtne ja ma ei tahagi jätta muljet, et see on lihtne, kuid enda võrgu seadmete ning iga seadme paikamise taseme tundmine on esimene samm, millest alustada.

Pärast seda, kui olete kõige olemasolevaga kursis, saate suurendada logimise funktsionaalsust ja kõnealuste seadmete telemeetriat. Püüdke saavutada logide üksikasjalikkus. Kõnealuseid seadmeid on keeruline kaitsta. Võrgu kaitsja parim moodus kõnealuste seadmete kaitsmiseks on logimine ja anomaaliate otsimine

Judy Ng

Soovin, et mul oleksid selgeltnägija võimed Hiina valitsuse kavatsuste aimamiseks. Kahjuks mul selliseid võimeid ei ole. Samas on näha, et olemas on soov teabele juurdepääsu omandamiseks.

Selline soov on igal riigil.

Ka meile meeldib teave. Meile meeldivad andmed.

Sarah Jones

Judy on Hiina majandusvööndi ja maanteede algatuse Belt and Road Initiative (BRI) ning geopoliitilise olukorra ekspert. Toetume tema teadmistele trendide ja eelkõige sihtmärkide hindamisel. Vahel märkame uue sihtmärki, mis ei tundu loogiline. Näiteks kui kellegi tegutsemine ei vasta tema eelnevatele tegudele, siis pöördume sellise tähelepanekuga Judy poole, kes ütleb meile: „Teate, selles riigis toimub oluline majanduskonverents.“ või „Selles asukohas peetakse läbirääkimisi uue tehase rajamise üle.“.

Judy tagab meie jaoks üliolulise konteksti selle kohta, miks küberohustajad ühel või teisel viisil käituvad. Me kõik teame, kuidas kasutada rakendust Bing Translate, samuti teame, kuidas uudislugusid otsida, kuid kui miski ei tundu loogiline, siis ütleb Judy meile, et „tegelikult tähendab see tõlkes hoopis seda“ ja seejärel muutub kõik loogiliseks.

Hiina küberohustajate jälgimiseks on vaja tunda kultuurialaseid fakte nende valitsuse ülesehituse ning nende ettevõtete ja asutuste toimimise kohta. Judy aitab meil kõnealuste asutuste ülesehitust ja nende funktsiooni paremini mõista, samuti seda, kuidas nad raha teenivad ning Hiina valitsusega suhtlevad.

Judy Ng

Nagu Sarah mainis, seisneb kõik kommunikatsioonis. Suhtleme pidevalt Teamsi vestluses. Jagama omavahel kogu aeg telemeetria ülevaateid, mis aitasid meil võimaliku lahenduseni liikuda.

Judy Ng

Milline on minu nipp? Veedan palju aega internetis ja loen. Siiski leian, et üks kõige olulisemaid asju on erinevate otsingumootorite kasutamise oskus.

Oskan kasutada selliseid otsingumootoreid nagu Bing, Baidu ja Yandex.

Tõsi on ka see, et erinevad otsingumootorid pakuvad erinevaid tulemeid. Ma ei tee midagi erilist, kuid tean, et erinevate tulemite saamiseks on vaja kasutada erinevaid allikaid, et mul oleks võimalik andmeid hiljem analüüsida.

Kõik töörühma liikmed on väga taibukad. Kõikidel on üleloomulikud võimed – tuleb lihtsalt teada, kellelt mida küsida. Samuti on suurepärane, et töötame kollektiivis, kus kõik tunnevad end piisavalt mugavalt teistelt küsimuste küsimiseks. Ütleme alati, et rumalaid küsimusi pole olemas.

Sarah Jones

Meie töörühmas annavad rumalad küsimused energiat juurde.

Sarah Jones

Hetkel on kõige parem aeg IT-turbega tegelemiseks. Ajal, kui mina alustasin, ei olnud saadaval palju kursuseid, ressursse või õppimisviise. Nüüd on olemas bakalaureuse- ja magistriprogrammid. Praegusel ajal on palju mooduseid sellise ameti õppimiseks. Jah, mõni meetod maksab küll palju raha, kuid saadaval on ka taskukohasemaid ja tasuta programme.

Ühe turbealase tasuta koolituse töötasid välja meie Microsofti ohuanalüüsi kolleegid Simeon Kakpovi ja Greg Schloemer. Kõnealune tööriist nimega KC7 muudab IT-turbega tutvumise, võrgu- ja hostisündmuste mõistmise ning küberohustajate jahtimise kõigi jaoks võimalikuks.

Praegusel ajal on juurdepääs ka kõikidele erinevatele teemadele. Kui mina alustasin, pidi selliste tööriistade lubamiseks töötama mitme miljoni suuruse eelarvega ettevõttes. Paljude jaoks oli see kõige suuremaks takistuseks. Tänapäeval võib aga igaüks ründevara näiteid analüüsida. Vanasti oli keeruline leida näiteid pahavara ja omandatud pakettide kohta. Sellised takistused on aga kadumas. Tänapäeval on saadaval nii suurel hulgal tasuta veebipõhiseid tööriistu ja ressursse, mis aitavad inimesel iseseisvalt ja omas tempos õppida.

Mina soovitan leida endale kõige meelepärasema niši. Näiteks ründevara uuringutega tegelemine. Digitaalkriminalistika. Ohuanalüüs. Leidke enda jaoks lemmikteemad ja kasutage avalikult saadaolevaid ressursse ning õppige nende abil võimalikult palju.

Judy Ng

Kõige olulisem on olla uudishimulik, eksole? Lisaks uudishimule peab olema meeskonnamängija. Pidage meeles, et tegemist on meeskonnaspordiga – mitte keegi ei ole küberturbe alal üksipäini edukas.

Tähtis on osata meeskonnas töötada. Tähtis on olla uudishimulik ja õpivõimalustele avatud. Peate tundma end mugavalt küsimusi esitades ja meeskonnaliikmetega koostööd tegema.

Sarah Jones

See on täiesti tõsi. Tahan rõhutada, et Microsofti ohuanalüüsi töörühm teeb koostööd paljude MIcrosofti partnertöörühmadega. Toetume paljuski kolleegide asjatundlikkusele, mis aitab meil mõista seda, mida küberohustajad teevad ja miks nad seda teevad. Me ei suudaks ilma nendeta töötada.

Seotud artiklid

Volt Typhoon sihib USA kriitilist infrastruktuuri living-off-the-land tehnikatega

On täheldatud, et Hiina riiklikult toetatud küberohustaja Volt Typhoon kasutab varjatud tehnikaid USA kriitilise infrastruktuuri sihtimiseks, spionaaži läbiviimiseks ja ohustatud keskkondades luuramiseks.

Küberohuteabe seadmine geopoliitilisse konteksti

Ohuanalüüsi ekspert Fanta Orr selgitab, kuidas aitab ohuanalüüs tuua välja küberohtude põhjused ja kuidas paremini kaitsta kliente, kes võivad olla haavatavad sihtmärgid.

Elementaarne küberhügieen hoiab ära 98% ründeid

Elementaarne küberhügieen on endiselt parim viis, kuidas organisatsiooni kasutajaidentiteete, seadmeid, andmeid, rakendusi, taristut ja võrku kaitsta 98% küberohtude eest. Põhjalikust juhendist leiate praktilised näpunäited.

Jälgige Microsofti turbeteenust