U ovom zanimljivom intervjuu, Sherrod DeGrippo, iskusna stručnjakinja za obavještavanje o prijetnjama s više od 19 godina iskustva, detaljno objašnjava područje računalne špijunaže. Zajedno s Judy Ng i Sarah Jones, dvije izuzetne stručnjakinje porijeklom iz Kine čiji je rad posvećen raspetljavanju zamršene mreže računalnih prijetnji, stavlja u fokus tajne aktivnosti u modernom računalnom okruženju. Zajednički razmatraju probleme s kojima se suočavaju svi koji se bave zaštitom našeg međupovezanog svijeta. Pripremite se uroniti u neispričane priče i izuzetnu stručnost ovih digitalnih detektivki dok vas vode kroz skriveni svijet kineskog računalnog bojnog polja.
Dobijte uvide izravno od stručnjaka na podcastu Microsoftova obavještavanja o prijetnjama. Poslušajte odmah.
Iz prvih redova: dekodiranje taktike i tehnika kineskih zlonamjernih aktera
Sarah Jones
Kao viša analitičarka za prijetnje istražujem grupe za APT (napredna trajna prijetnja) koje dolaze iz Kine i obavljaju poslove u ime kineske vlade. Pratim kako se vremenom odvija njihov razvoj na polju zlonamjernog softvera i istražujem njihove metode za stvaranje infrastrukture i ugrožavanje mreža žrtava. Prije nego što sam se pridružila timu za Microsoftovo obavještavanje o prijetnjama, na prvo mjestu sam se fokusirala na Kinu, ali sam se bavila i iranskim i ruskim grupama.
Veći dio mog poslovnog iskustva, posebno na početku karijere, bio je vezan uz rad u centrima za sigurnosne operacije s fokusom na unutrašnju sigurnost vladinih i korporativnih mreža.
Sjajna stvar u vezi s proučavanjem grupa zlonamjernih aktera iz Kine je mogućnost njihovog praćenja tijekom dugih vremenskih razdoblja. Veoma je zanimljivo to što mi se pruža mogućnost da istražujem grupe kojih se sjećam otprije 10 godina i da pratim kako se odvija njihov razvoj.
Judy Ng
Kao i Sara, i ja sam viša analitičarka za prijetnje i u analizi računalnih prijetnji na prvom mjestu primjenjujem geopolitičku analizu. Pratila sam kineske aktere iz različitih perspektiva zadnjih 15 godina karijere – uključujući uloge podrške vladi SAD-a, funkcije u novoosnovanim poduzećima, različita mjesta u okviru korporativne Amerike i, naravno, u korporaciji Microsoft, gdje sam od 2020.
Počela sam s fokusom na Kinu jer me to uvijek zanimalo. Na početku karijere taj mi je interes omogućio da pružim kontekst koji kolege nisu mogle sagledati jer možda nisu razumjeli neke nijanse kineskog jezika ili kulture.
Mislim da je jedno od mojih prvih pitanja bilo: „Judy, što su pilići za uzgoj”? Što „pilići za uzgoj” znači na kineskom?”
Odgovor je bio „botnet”. „Pilići za uzgoj” bio je kineski žargon koji su zlonamjerni akteri koristili na forumima na mreži za opis zombijevskih botnet mreža
Judy Ng
U ovom poslu ne možete jednostavno raditi isto svakog dana. Uzbudljivo je. Možete iskoristiti sve moćne signale koje Microsoft dobiva i samo pustiti da vas ti signali vode.
Ovdje vam nikada neće biti dosadno sa skupom podataka. Nikada nećete reći „Oh, nemamo ništa za locirati.” Uvijek će biti nečeg zanimljivog, a od pomoći je i to što je većina naših kolega u kineskom timu samo grupa radoznalih ljudi.
Bilo da se radi o samostalnoj potrazi ili grupnom nastojanju u traganju za određenim subjektom, odlično je to što smo svi radoznali i krećemo se različitim putevima.
Sarah Jones
Slažem se s Judy. Svaki dan je novi i različiti skup problema. Svaki dan učim o novom dijelu tehnologije ili novom softveru koji akter pokušava iskoristiti. Onda se moram vratiti i pročitati dokumentaciju ako se radi o tehnologiji ili softverskom programu za koji nikad nisam čula. Ponekad moram pročitati RFC (zahtjev za komentare) za protokol jer zlonamjerni akteri nekim njegovim aspektom manipuliraju i ga zloupotrebljavaju, a to zahtijeva da se vratim originalnoj dokumentaciji i da je pročitam.
Ove su mi stvari stvarno uzbudljive i imam priliku da radim na njima svaki dan. Svakog dana naučim nešto o nekom novom aspektu interneta za koji ranije nisam čula, a zatim požurim uhvatiti korak sa zlonamjernim akterima kako bih bila stručna za ono što su odlučili iskoristiti.
Sarah Jones
S bolesti COVID vidjeli smo puno promjena. Za korisnike se svijet promijenio. Preko noći su svi otišli kući i nastojali nastaviti raditi svoj posao. Vidjeli smo kako mnoga poduzeća moraju ponovo konfigurirati svoje mreže, vidjeli smo zaposlenike koji mijenjaju način rada i naravno, vidjeli smo i da naši zlonamjerni akteri reagiraju na sve te promjene.
Na primjer, kada su prvi put uvedena pravila za rad od kuće, mnoge organizacije morale su omogućiti pristup s mnogo različitih lokacija nekim veoma osjetljivim sustavima i resursima koji inače nisu bili dostupni korporativnim uredima. Bili smo svjedoci pokušaja zlonamjernih aktera da se u to vrijeme stope s bukom, lažno se predstavljajući kao radnici na daljinu i pristupajući tim resursima.
Kada se COVID prvi put pojavio, pravilnici o pristupu za korporativna okruženja morali su se brzo uspostaviti i ponekad se to napravilo bez vremena potrebnog za istraživanje i pregled najboljih praksi. Budući da jako puno organizacija nije razmotrilo ta pravila otkad su prvi put uvedena, sada vidimo zlonamjerne aktere koji pokušavaju otkriti i iskoristiti pogrešne konfiguracije i ranjivosti.
Postavljanje zlonamjernog softvera na računala više nije toliko značajno. Sada je aktualno nabavljanje lozinki i tokena koji omogućavaju pristup osjetljivim sustavima, na isti način na koji to čine radnici na daljinu.
Judy Ng
Ne znam jesu li zlonamjerni akteri morali raditi od kuće, ali imamo podatke koji pružaju neke uvide o tome kako su zatvaranja u vrijeme COVID-a utjecala na njihove aktivnosti u gradovima u kojima su živjeli. Bez obzira na to gdje su obavljali rad, njihovi životi su – kao i svi drugi – bili pogođeni.
Ponekad smo utjecaj zatvaranja u gradovima mogli vidjeti i uslijed nedostatka aktivnosti na njihovim računalima. Bilo je veoma zanimljivo vidjeti u našim podacima utjecaj svih tih zatvaranja čitavih distrikata.
Judy Ng
Imam odličan primjer – jedan od zlonamjernih aktera koje pratimo, Nylon Typhoon. Microsoft je pokrenuo akciju protiv ove grupe u prosincu 2021. i poremetio rad infrastrukture koja je korištena za ciljanje Europe, Latinske Amerike i Središnje Amerike.
Naša je procjena da su neke aktivnosti žrtava vjerojatno podrazumijevale operacije prikupljanja obavještajnih podataka koje su imale za cilj pružiti uvid u djelovanje partnera uključenih u kinesku Inicijativu Pojas i put (BRI) za potrebe projekata kineske vlade u vezi s infrastrukturom širom svijeta. Znamo da zlonamjerni akteri koje financira kineska država provode tradicionalnu špijunažu i ekonomsku špijunažu, a mi smatramo da je ova aktivnost vjerojatno obuhvaćala obje.
Nismo 100 % sigurni jer nemamo neosporan dokaz. Nakon 15 godina mogu vam reći da je pronalaženje neospornog dokaza zaista teško. Ono što ipak možemo napraviti je analizirati informacije, dovesti ih u kontekst i reći: „Smatramo da s ovim stupnjem pouzdanosti možemo reći da je to vjerojatno iz ovog razloga.”
Sarah Jones
Jedan od najvećih trendova podrazumijeva prebacivanje fokusa s korisničkih krajnjih točaka i prilagođenog zlonamjernog softvera na aktere koji zaista žive na rubu – koncentriranje resursa na ugrožavanje rubnih uređaja i održavanje postojanosti. Ti uređaji su zanimljivi jer ako neko dobije pristup, može tamo ostati jako dugo.
Neke grupe su se na impresivan način detaljno posvetile ovim uređajima. Znaju kako njihova oprema funkcionira. Oni poznaju ranjivosti koje ima svaki uređaj i znaju da mnogi uređaji ne podržavaju antivirusni program ili granularno evidentiranje.
Naravno, oni znaju da su uređaji kao što je VPN sada isto što i ključevi za kraljevstvo. Budući da organizacije dodaju slojeve sigurnosti kao što su tokeni, višestruka provjera autentičnosti (MFA) i pravila za pristup, akteri sve pametnije zaobilaze obranu i provlače se kroz nju.
Mislim da su mnogi akteri shvatili da, ako su u stanju da preko uređaja kao što je VPN održe dugotrajnu postojanost, zapravo ne moraju nigdje postaviti zlonamjerni softver. Jednostavno mogu sebi odobriti pristup koji im omogućava da se prijave kao bilo koji korisnik.
Oni sebi u suštini daju „mod boga” na mreži, ugrožavajući rubne uređaje.
Primjećujemo i trend u kojem akteri koriste Shodan, Fofa ili neku drugu vrstu baze podataka koja skenira internet, kataloge uređaja i identificira različite razine zakrpa.
Vidimo i aktere koji sami skeniraju velike dijelove interneta – ponekad s već postojećih popisa s metama – u potrazi za stvarima koje se mogu iskoristiti. Kada nešto pronađu, napravit će još jedno skeniranje kako bi istinski iskoristili uređaj, a zatim će se vratiti da kasnije pristupe mreži.
Sarah Jones
I jedno i drugo. Ovisi o akteru. Neki su akteri odgovorni za određenu zemlju. To je njihov ciljni skup tako da im je stalo samo do uređaja u toj državi. Međutim, drugi akteri imaju funkcionalne skupove ciljeva – tako da će se fokusirati na određene sektore poput financija, energije ili proizvodnje. Oni će u razdoblju od nekoliko godina praviti popis s metom na kojem se nalaze poduzeća koja su im važna i ti akteri točno znaju koje uređaje i softver koriste njihove mete. Iz tog razloga promatramo neke aktere kako skeniraju unaprijed definirani popis s metom kako bi provjerili jesu li mete zakrpljene za određenu ranjivost.
Judy Ng
Akteri mogu biti veoma posvećeni metama, metodični i precizni, ali ponekad se dogodi da im se posreći. Moramo imati na umu da se radi o ljudima. Kada pokrenu skeniranje ili preuzmu podatke s komercijalnim proizvodima, ponekad im se samo posreći da na samom početku dobiju pravi skup informacija, što im omogućava da pokrenu svoju operaciju.
Sarah Jones
To je definitivno to. No prava je obrana više od samog zakrpavanja. Najučinkovitije rješenje zvuči jednostavni, ali je jako teško u praksi. Organizacije moraju razumjeti i napraviti inventar svojih uređaja koji su izloženi internetu. Moraju znati kako izgledaju njihovi mrežni perimetri, a mi znamo da je to posebno teško u hibridnim okruženjima, kako s lokalnim tako i s uređajima u oblaku.
Upravljanje uređajima nije lako i ne želim vas zavarati da jest, ali poznavanje uređaja koje imate na mreži – i razine zakrpe za svaki od njih – prvi je korak koji možete poduzeti.
Kada znate što imate, možete povećati mogućnost evidentiranja i telemetriju s tih uređaja. Trudite se postići granularnost u evidencijama. Te je uređaje je teško obraniti. Najbolja opcija za branitelja mreže s ciljem obrane ovih uređaja je evidentiranje i potraga za nepravilnostima
Judy Ng
Voljela bih imati kristalnu kuglu kako bih vidjela planove kineske vlade. Nažalost, nemam. No ono što možemo vidjeti je vjerojatno apetit za pristupom informacijama.
Svaka nacija ima taj apetit.
I mi volimo svoje informacije. Mi volimo svoje podatke.
Sarah Jones
Judy je naša stručnjaka za Inicijativu Pojas i put (BRI) i geopolitička stručnjakinja. Oslanjamo se na njezine uvide kada gledamo trendove, posebno u postavljanju meta. Ponekada vidimo novu metu i zapravo ona nema nekakvog smisla. Ne slaže se ni s čim što su ranije radili pa ćemo to odnijeti Judi, a ona će nam reći: „Oh, u ovoj zemlji se odvija neki važan ekonomski sastanak ili su možda u tijeku pregovori oko izgradnje nove tvornice na ovoj lokaciji.”
Judi nam pruža dragocjen kontekst – suštinski kontekst – o tome zašto zlonamjerni akteri rade to što rade. Svi mi znamo kako se koristi Bing Translate i svi znamo kako tražiti vijesti, ali kad nešto nema smisla, Judy nam može reći: „Pa, taj prijevod zapravo znači ovo” – i to može biti dovoljno.
Praćenje kineskih zlonamjernih aktera zahtijeva kulturološko znanje o tome kakva je struktura njihove vlade i kako funkcioniraju njihova poduzeća i institucije. Judyn rad pomaže u raspletu strukture tih organizacija i omogućava nam da shvatimo kako one funkcioniraju – kako zarađuju novac i kako komuniciraju s kineskom vladom.
Judy Ng
Kao što je Sarah rekla, to je komunikacija. Uvijek smo na servisu Teams Chat. Uvijek razmjenjujemo uvide koje možda vidimo iz telemetrije, a što nam pomaže da dođemo do mogućeg zaključka.
Judy Ng
Koji je moj trik? Mnogo vremena provedenog na internetu i u čitanju. Ozbiljno, mislim da je jedna od najznačajnijih stvari jednostavno znati kako koristiti različite pretraživače.
Opušteno koristim Bing, ali i Baidu, kao i Yandex.
To je zato što različite tražilice pružaju različite rezultate. Ne radim ništa posebno, ali znam tražiti različite rezultate iz različitih izvora kako bih iz njih mogla analizirati podatke.
Svi u timu su jako dobro upućeni. Svatko ima supermoći – treba samo znati koga pitati. I zaista je sjajno što radimo u timu u kojem svi jedni drugima rado postavljaju pitanja, zar ne? Stalno ponavljamo da ne postoje smiješna pitanja.
Sarah Jones
Ovo mjesto pokreću smiješna pitanja.
Sarah Jones
Sada je savršeno vrijeme da uđete u područje IT sigurnosti. Kada sam ja počinjala nije bilo mnogo predavanja, izvora niti načina za istraživanje. Sada postoje programi za osnovne i magistarske studije! Sada ima mnogo načina za ulazak u profesiju. Da, postoje putevi koji vas mogu mnogo koštati, ali ima i jeftinijih i besplatnih.
Jedan besplatan resurs za obuku o sigurnosti razvili su Simeon Kakpovi i Greg Schloemer, naši kolege u sektoru za Microsoftovo obavještavanje o prijetnjama. Uz ovaj alat pod nazivom KC7 pristupanje sektoru za IT sigurnost, upoznavanje s mrežnim i organiziranim događajima, kao i potraga za akterima, dostupni su svima.
Sada je moguće izložiti se i svim vrstama raznih tema. U vrijeme kada sam tek počinjala morali ste raditi u poduzeću koje je imalo proračun od više milijuna dolara kako biste priuštili te alate. Mnogima je to bila prepreka za ulazak. Ali sada svako može analizirati uzorke zlonamjernog softvera. Nekada je bilo teško pronaći uzorke zlonamjernog softvera i snimke paketa. Ali tih je prepreka sada sve manje. Danas postoji puno besplatnih i alata i resursa, kao i onih na mreži, gdje možete učiti sami i svojim tempom.
Moj savjet je da otkrijete poziv koji pobuđuje vaš interes. Želite li se baviti istraživanjem zlonamjernog softvera? Digitalnom forenzikom? Obavještavanjem o sigurnosnim prijetnjama? Posvetite se omiljenim temama i iskoristite prednosti javno dostupnih resursa i uz njih naučite što više možete.
Judy Ng
Najvažnija je radoznalost, zar ne? Uz radoznalost morate imati dobru suradnju s drugima. Morate imati na umu da je ovo timski sport – nitko se ne može sam baviti računalnom sigurnosti.
Važno je biti sposoban za rad u timu. Važno je biti radoznao i otvoren za učenje. Morate rado i često postavljati pitanja i pronalaziti načine za rad s kolegama.
Sarah Jones
To je zaista tako. Željela bih naglasiti da Microsoftovo obavještavanje o prijetnjama radi s puno partnerskih timova u Microsoftu. Uvelike se oslanjamo na stručnost naših kolega da nam pomognu razumjeti što akteri rade i zašto to rade. Bez njih ne bismo svoj posao mogli obavljati.
Pratite Microsoft