Šajā aizraujošajā intervijā pieredzējusī draudu informācijas eksperte Šeroda Degrippo ar 19 gadus ilgu praksi detalizēti analizē kiberspiegošanas jomu. Viņai pievienojas divas lieliskas speciālistes Džūdija Nga un Sāra Džonsa, kas strādā pie komplicētā Ķīnas kiberapdraudējuma tīkla atšķetināšanas, pievēršoties slēptajām darbībām mūsdienu draudu pasaulē. Viņas kopā pārrunā izaicinājumus, ar kuriem sastopas tie, kas aizsargā mūsu savienoto pasauli. Sagatavojieties iedziļināties vēl nedzirdētos stāstos un īpašajā šo digitālo detektīvu pieredzē, kas gūta slepenajā Ķīnas kiberkauju laukā.
Reģistrējieties tūlīt, lai pēc pieprasījuma noskatītos tīmekļa semināru par 2024. gada Microsoft digitālās aizsardzības pārskata ieskatiem.
Priekšlīnijās: Ķīnas draudu izpildītāju taktikas un paņēmienu atšifrēšana
Sāra Džonsa
Es esmu vecākā draudu analītiķe un pētu APT (rafinētu noturīgu draudu) grupas, kas izveidotas Ķīnā un strādā Ķīnas valdības uzdevumā. Es sekoju līdzi to ļaunprogrammatūras attīstībai laika gaitā un pētu infrastruktūras izveides un upuru tīklu apdraudēšanas metodes. Pirms sāku strādāt Microsoft draudu informācijas komandā, galvenokārt pievērsos Ķīnai, bet esmu strādājusi arī ar Irānas un Krievijas grupām.
Lielākoties, jo īpaši karjeras sākumposmā, strādāju drošības darbību centros un pievērsos valsts iestāžu un korporatīvo tīklu iekšējai drošībai.
Viens no interesantākajiem Ķīnas draudu izpildītāju grupu izpētes aspektiem ir iespēja izsekot tās tik ilgā laika posmā. Ir ļoti interesanti pētīt grupas, ar kurām sastapos pirms 10 gadiem, un novērot to attīstību laika gaitā.
Džūdija Nga
Es tāpat kā Sāra esmu vecākā draudu analītiķe, kas papildus kiberapdraudējuma analīzei izmanto ģeopolitisko analīzi. Pēdējos 15 savas profesionālās dzīves gadus esmu sekojusi Ķīnā bāzētiem izpildītājiem no dažādām perspektīvām, tostarp strādāju amatos, kas atbalstīja ASV valdību, jaunuzņēmumos, dažādos Amerikas uzņēmumos un, protams, korporācijā Microsoft, kur strādāju no 2020. gada.
Es sāku pievērsties Ķīnai, jo vienmēr esmu par to interesējusies. Uzsākot karjeru, šī interese palīdzēja iegūt informāciju, kas bija paslīdējusi garām kolēģiem, kuri, iespējams, neizprata dažas ķīniešu valodas vai kultūras nianses.
Domāju, ka viens no pirmajiem jautājumiem, kas tika man uzdots, bija: “Džūdija, kas ir “gaļas cālis?”. Ko nozīmē “gaļas cālis” ķīniešu valodā”?
Atbilde bija: “botu tīkls”. “Gaļas cālis” ir ķīniešu valodas žargona frāze, ko izmanto draudu izpildītāji tiešsaistes forumos, runājot par zombiju botu tīkliem.
Džūdija Nga
Šajā darbā nav jāveic vienas un tās pašas darbības dienu no dienas. Tas ir aizraujoši. Jūs varat izmantot visus jaudīgos signālus, ko saņem Microsoft, un vienkārši ļaut, lai jūs vada dati.
Šeit darbs ar datiem nekad nav garlaicīgs. Nekad nenāksies teikt, ka nav ko medīt. Vienmēr būs kaut kas interesants, palīdz arī tas, ka vairākums Ķīnas pētīšanas komandas dalībnieku ir zinātkāri cilvēki.
Neatkarīgi no tā, vai medības veicat patstāvīgi vai kādu tēmu pētāt kopā, ir lieliski, ka mēs visi esam zinātkāri un varam mērķi sasniegt dažādos veidos.
Sāra Džonsa
Es piekrītu Džūdijai. Katra diena nāk ar jaunu un atšķirīgu problēmu kopu. Katru dienu es mācos par jaunu tehnoloģiju vai jaunu programmatūru, ko izpildītājs mēģina izmantot. Ja par tehnoloģiju vai programmatūru iepriekš neko neesmu dzirdējusi, man ir jāpārskata un jālasa dokumentācija. Dažreiz man ir jālasa RFC (komentāru pieprasījums) protokolam, jo draudu izpildītāji veic manipulācijas ar kādu tā aspektu vai ļaunprātīgi izmanto to. Tādēļ ir nepieciešams sameklēt sākotnējo dokumentāciju un izlasīt to.
Man tas patiešām patīk, un es ar to strādāju katru dienu. Ik dienu es uzzinu jaunu interneta aspektu, par ko iepriekš neesmu dzirdējusi, un pēc tam cenšos apsteigt draudu izpildītājus, lai varu kļūt par tās metodes eksperti, ko viņi ir izlēmuši izmantot.
Sāra Džonsa
Covid pandēmijas laikā notika daudz izmaiņu. Klientu pasaule bija mainījusies. Vienā dienā visi devās mājās un centās veikt savu darbu. Mēs pieredzējām, ka daudzi uzņēmumi pilnībā pārkonfigurēja savus tīklus un darbinieki mainīja darba metodes, un, protams, mēs redzējām, ka draudu izpildītāji uz to visu reaģēja.
Piemēram, kad sākotnēji tika ieviestas politikas strādāšanai no mājām, daudzām organizācijām vajadzēja iespējot piekļuvi no vairākām atrašanās vietām dažām ļoti sensitīvām sistēmām un resursiem, kas parasti nebija pieejami ārpus uzņēmuma birojiem. Redzējām, kā draudu izpildītāji tad centās izmantot traucējumus, izliekoties par attāli strādājošiem darbiniekiem, un piekļūt resursiem.
Kad Covid izplatījās pirmo reizi, ātri bija jāizveido uzņēmumu vides piekļuves politikas, un dažkārt tās tika ieviestas, neveltot laiku izpētei un labās prakses izskatīšanai. Tā kā tik daudzas organizācijas nav izvērtējušas šīs politikas kopš sākotnējās ieviešanas, mēs redzam, ka pašlaik draudu izpildītāji mēģina atklāt un izmantot nepareizas konfigurācijas un ievainojamības.
Vairs nav vērtīgi ievietot datoros ļaunprogrammatūru. Tagad tiek mēģināts iegūt paroles un marķierus, kas iespējo piekļuvi sensitīvām sistēmām tādā pašā veidā, kā to dara attāli strādājošie darbinieki.
Džūdija Nga
Es nezinu, vai draudu izpildītāji strādā no mājām, bet mums ir dati, kas sniedz dažus ieskatus par to, kā viņu darbību ietekmēja uzņēmumu slēgšana Covid dēļ pilsētās, kur izpildītāji dzīvoja. Neatkarīgi no tā, kur viņi strādāja, viņu dzīves tika ietekmētas tieši tāpat kā citiem cilvēkiem.
Dažreiz mēs varējām novērot plašu uzņēmumu slēgšanu pilsētās, jo netika izmantoti to datori. Bija tik interesanti mūsu datos vērot šo rajonu mēroga uzņēmumu slēgšanu ietekmi.
Džūdija Nga
Man ir lielisks piemērs. Viens no draudu izpildītājiem, kam sekojam, ir Nylon Typhoon. 2021. gada decembrī Microsoft vērsās pret šo grupu un pārtrauca uzbrukumiem Eiropā, Latīņamerikā un Centrālamerikā izmantotās struktūras darbību.
Mūsuprāt, dažas pret upuriem vērstās darbības, visticamāk, ietvēra informācijas vākšanu, kuras mērķis bija nodrošināt ieskatu par partneriem, kas iesaistījušies Ķīnas iniciatīvā “Viena josla, viens ceļš” — Ķīnas valdības vadītajos infrastruktūras projektos visā pasaulē. Mēs zinām, ka Ķīnas sponsorēti draudu izpildītāji veic tradicionālo un ekonomisko spiegošanu, un domājam, ka ar šīm darbībām tika veiktas abas.
Mēs neesam pilnīgi pārliecināti, jo mums nav konkrētu pierādījumu. Pēc 15 gadiem varu pastāstīt, ka konkrētu pierādījumu atrašana ir patiešām sarežģīta. Taču mēs varam analizēt informāciju, saistīt ar kontekstu un teikt, ka ar noteiktu ticamības līmeni domājam, ka tas notiek šāda iemesla dēļ.
Sāra Džonsa
Viena no lielākajām tendencēm ir saistīta ar uzbrukuma mērķa izmaiņām — tie vairs nav lietotāju galapunkti un pielāgota ļaunprogrammatūra. Izpildītāji veic patiešām riskantas darbības, koncentrējot resursus robežierīču izmantošanai un neatlaidīgi darbojoties. Šīs ierīces ir interesantas, jo, kādam iegūstot piekļuvi tām, šī persona var to izmantot ļoti ilgu laiku.
Dažas grupas ir izmantojušas šīs ierīces patiešām iespaidīgos apmēros. Viņi zina, kā darbojas to aparātprogrammatūra. Viņi zina katras ierīces vājo vietu un to, ka daudzas ierīces neatbalsta pretvīrusu programmatūru vai granulāru reģistrēšanos.
Izpildītāji, protams, zina, ka tādas ierīces kā VPN tagad ir kā karaļvalsts atslēgas. Tā kā organizācijas pievieno drošības slāņus, piemēram, marķierus, daudzfaktoru autentifikāciju (MFA) un piekļuves politikas, izpildītāji kļūst gudrāki un zina, kā apiet šos aizsardzības pasākumus vai izvairīties no tiem.
Domāju, ka daudzi draudu izpildītāji ir sapratuši, ka, spējot ilgstoši uzturēties sistēmā, izmantojot tādu ierīci kā VPN, viņiem patiesībā nav nepieciešams nekur izvietot ļaunprogrammatūru. Viņi paši var sev piešķirt piekļuvi, kas sniedz iespēju pierakstīties kā jebkuram lietotājam.
Būtībā viņi piešķir sev “visuvarena režīma” iespējas tīklā, nelikumīgi iekļūstot šajās robežierīcēs.
Mēs novērojam arī tendenci, ka izpildītāji izmanto Shodan, Fofa vai cita veida datu bāzi, kas veic meklēšanu internetā, katalogos, ierīcēs un identificē dažādu līmeņu ielāpus.
Esam novērojuši arī to, ka izpildītāji paši pārmeklē lielus interneta apgabalus (dažkārt izmantojot iepriekš esošus mērķu sarakstus), lai meklētu kaut ko izmantojamu. Kaut ko atrodot, viņi meklē vēlreiz, lai faktiski izmantotu ierīci, un pēc tam atgriežas, lai piekļūtu tīklam.
Sāra Džonsa
Abējādi. Tas ir atkarīgs no izpildītāja. Daži izpildītāji atbild par konkrētu valsti. Tā ir viņu mērķu kopa, tāpēc viņus interesē ierīces attiecīgajā valstī. Citiem izpildītājiem ir funkcionālu mērķu kopas, tādēļ viņi koncentrējas uz konkrētām nozarēm, piemēram, finansēm, enerģiju vai ražošanu. Vairāku gadu garumā viņi ir veidojuši mērķu sarakstu, iekļaujot viņus interesējošos uzņēmumus, un šie izpildītāji precīzi zina, kādas ierīces un programmatūra darbojas viņu mērķa uzņēmumā. Tādējādi mēs novērojam, ka daži izpildītāji pārbauda iepriekš noteiktu mērķu sarakstu, lai skatītu, vai mērķī ir novērsta konkrēta ievainojamība.
Džūdija Nga
Izpildītājiem var būt ļoti konkrēts mērķis, un viņi var rīkoties metodiski un precīzi, bet dažkārt viņiem arī paveicas. Ir jāatceras, ka viņi ir cilvēki. Kad viņi veic pārbaudes vai iegūst datus, izmantojot komerciālu produktu, dažreiz viņiem paveicas jau sākumā iegūt vajadzīgo informāciju, kas palīdz uzsākt darbību.
Sāra Džonsa
Tā noteikti ir. Taču atbilstoša aizsardzība nav tikai pielabošana. Efektīvākais risinājums šķiet vienkāršs, taču praksē to ir ļoti grūti īstenot. Organizācijām ir jāpārzina un jāuzskaita savas ierīces, kas ir saistītas ar internetu. Tām ir jāzina, kā izskatās to tīkla perimetri. Mēs zinām, ka tas ir īpaši grūti hibrīdās vidēs, kad tiek lietotas gan mākoņa, gan lokālas ierīces.
Ierīču pārvaldība nav vienkārša, negribu liekuļot. Bet pirmais, ko varat darīt, ir apzināt ierīces savā tīklā un katras ierīces atjauninājuma līmeni.
Zinot, kas jums ir, varat palielināt reģistrēšanās iespējas un telemetrijas datus no šīm ierīcēm. Centieties nodrošināt granularitāti žurnālos. Šīs ierīces ir grūti aizsargāt. Labākā iespēja, kā tīkla aizsargātājs var sargāt šīs ierīces, ir reģistrēšanās un anomāliju novērošana.
Džūdija Nga
Vēlos kaut man būtu kristāla bumba, ar ko paredzēt Ķīnas valdības plānus. Diemžēl man tās nav. Taču mēs novērojam lielu vēlmi piekļūt informācijai.
Katrai nācijai ir šāda vēlme.
Mums arī patīk mūsu informācija. Mums patīk mūsu dati.
Sāra Džonsa
Džūdija ir iniciatīvas “Viena josla, viens ceļš” un ģeopolitikas eksperte. Mēs izmantojam viņas ieskatus, kad aplūkojam tendences, jo īpaši mērķu izvēlē. Dažkārt mēs redzam jauna mērķa parādīšanos, bet tas nešķiet loģiski. Tas neatbilst viņu iepriekš veiktajām darbībām, tāpēc mēs šo informāciju nododam Džūdijai, kas mums saka, ka šajā valstī notiek svarīga sanāksme par ekonomiku vai tajā atrašanās vietā notiek pārrunas par jaunas rūpnīcas būvniecību.
Džūdija mums nodrošina vērtīgu informāciju (būtisku kontekstu) par draudu izpildītāju rīcības iemesliem. Mēs visi zinām, kā lietot Bing tulkošanu un kā skatīt jaunākās ziņas, bet tad, kad kaut kas nešķiet loģiski, Džūdija var mums pastāstīt patieso tulkojuma nozīmi, un tā var būt ļoti atšķirīga.
Lai izsekotu Ķīnas draudu izpildītājus, ir nepieciešamas kultūras zināšanas par to, kā ir veidota viņu valdība un kā darbojas viņu uzņēmumi un institūcijas. Džūdijas darbs palīdz mums atšķetināt šo organizāciju struktūru un ļauj uzzināt par to darbību — naudas pelnīšanas veidiem un sadarbību ar Ķīnas valdību.
Džūdija Nga
Kā jau Sāra teica, tā ir saziņa. Mēs vienmēr esam Teams tērzēšanā. Mēs vienmēr dalāmies ar ieskatiem par telemetrijas datiem, kas mums palīdz izdarīt iespējamu secinājumu.
Džūdija Nga
Kādas metodes izmantoju? Daudz laika pavadu internetā un lasot. Bet, nopietni runājot, domāju, ka viena no lielākajām vērtībām ir vienkārši zināšanas par dažādu meklēšanas programmu izmantošanu.
Es labi pārzinu Bing, arī Baidu un Yandex.
Tas ir tāpēc, ka dažādas meklēšanas programmas nodrošina atšķirīgus rezultātus. Es nedaru neko īpašu, bet zinu, kā atrast atšķirīgus rezultātus no dažādiem avotiem, tādējādi varu analizēt datus no tiem.
Ikviens komandas dalībnieks ir ļoti zinošs. Ikvienam piemīt īpašas spējas — ir jāzina, kam jautāt. Ir taču lieliski, ka mēs strādājam komandā, kur neviens nekautrējas uzdot jautājumus citiem, vai ne? Mēs vienmēr sakām, ka nav muļķīgu jautājumu.
Sāra Džonsa
Šajā vietā arī muļķīgi jautājumi ir svarīgi.
Sāra Džonsa
Tagad ir īstais laiks parunāt par IT drošību. Kad sāku, nebija daudz nodarbību, resursu vai pētīšanas iespēju. Tagad ir bakalaura un maģistra programmas. Tagad ir daudz iespēju, kā apgūt profesiju. Jā, ir dārgas iespējas, bet ir arī lētākas un bezmaksas iespējas.
Vienu no bezmaksas drošības apmācības resursiem izstrādāja mūsu kolēģi no Microsoft draudu informācijas Simeons Kakpovi (Simeon Kakpovi) un Gregs Šlomers (Greg Schloemer). Šī rīka nosaukums ir KC7, un tas ikvienam sniedz iespēju iepazīties ar IT drošību, izprast tīkla un viesošanas pasākumus, kā arī draudu izpildītāju medības.
Tagad var iepazīties arī ar dažādām tēmām. Laikā, kad es sāku strādāt, bija jābūt darbiniekam uzņēmumā, kam ir vairākus miljonus liels budžets, lai varētu atļauties šos rīkus. Daudziem tas bija šķērslis uzsākt šo nodarbošanos. Taču tagad ikviens var analizēt ļaunprogrammatūras paraugus. Kādreiz bija grūti atrast ļaunprogrammatūras paraugus un pakešu tvērumus. Taču šie šķēršļi zūd. Tagad ir tik daudz bezmaksas un tiešsaistes rīku un resursu, ar kuriem var mācīties patstāvīgi un sev piemērotā tempā.
Mans padoms ir atrast nišu, kas jūs interesē. Vai vēlaties pētīt ļaunprogrammatūru? Digitālo kriminālistiku? Draudu informāciju? Koncentrējieties uz savām iecienītajām tēmām un mācīšanās nolūkā pēc iespējas vairāk izmantojiet publiski pieejamos resursus.
Džūdija Nga
Vissvarīgākā ir zinātkāre, vai ne? Bez zinātkāres ir arī labi jāsadarbojas ar citiem. Ir jāatceras, ka tas ir komandas sporta veids. Neviens nevar darboties kiberdrošības jomā viens pats.
Ir svarīgi spēt strādāt komandā. Ir svarīgi būt zinātkāram un gatavam mācīties. Jums ir jājūtas ērti, uzdodot jautājumus un meklējot iespējas, kā sadarboties ar savas komandas dalībniekiem.
Sāra Džonsa
Noteikti, tas patiešām tā ir. Es vēlētos uzsvērt, ka Microsoft draudu informācija sadarbojas ar daudzām partneru komandām korporācijā Microsoft. Mēs ļoti paļaujamies uz savu kolēģu pieredzi, kas mums palīdz izprast to, ko un kāpēc dara izpildītāji. Mēs savu darbu nevarētu paveikt bez viņiem.
Sekot Microsoft drošībai