På frontlinjen: Dekoding av kinesisk trusselaktørtaktikk og -teknikker

Da COVID kom, opplevde vi mange endringer. For kundene har verden endret seg. Over natten dro alle hjem og prøvde å fortsette å gjøre jobben sin. Vi så hvordan en rekke bedrifter måtte konfigurere nettverkene sine helt på nytt, og vi så ansatte som endret måten de jobbet på, og vi så selvsagt trusselaktørene respondere på alt dette.

For eksempel da hjemmekontor-policyene først ble implementert, måtte mange organisasjoner aktivere tilgang fra mange ulike plasseringer, til noen veldig sensitive systemer og ressurser som ikke vanligvis var tilgjengelige utenfor bedriftsnettverkene. Vi så deretter hvordan trusselaktører prøvde gå i ett med omgivelsene og late som om de var eksterne arbeidere, som dermed fikk tilgang til disse ressursene.

Da COVID kom for første gang, måtte tilgangspolicyer for virksomhetsmiljøer etableres raskt, og noen ganger ble de opprettet uten tid til å etterforske og gjennomgå anbefalte fremgangsmåter. Ettersom så mange organisasjoner ikke har gjennomgått disse policyene siden den første utrullingen, ser vi at dagens trusselaktører prøver å oppdage og utnytte feilkonfigurasjoner og sårbarheter.

Å plassere skadelig programvare på stasjonære datamaskiner har ikke så stor verdi lenger. Nå handler det om å få passord og tokener som gir tilgang til sensitive systemer, på samme måte som eksterne arbeidere får.

Jeg vet ikke om trusselaktørene kunne jobbe hjemmefra, men vi har data som gir innsikt i hvordan COVID-nedstengningen påvirket aktiviteten deres, i byene der de bodde. Uansett hvor de gjorde arbeidet, ble livene deres påvirket – på samme måte som alle andre.

Noen ganger kunne vi se effekten av nedstengninger i hele byer, grunnet mangelen på dataaktivitet. Det var så interessant å se effekten av alle disse distriktsomfattende nedstengningene i dataene våre.

Jeg har et godt eksempel – en av trusselaktørene vi sporer, Nylon Typhoon. Microsoft iverksatte tiltak mot denne gruppen i desember 2021 og avbrøt infrastruktur som var rettet mot Europa, Latin-Amerika og Mellom-Amerika.

Etter vår vurdering involverte noe av offeraktiviteten sannsynligvis informasjonsinnsamlingsoperasjoner som skulle gi innsikt i partnere involvert i Belte-vei-initiativet (BRI) for infrastrukturprosjekter drevet av kinesiske myndigheter verden over. Vi vet at kinesiske statssponsede trusselaktører gjennomfører tradisjonell spionasje og økonomisk spionasje, og etter vår vurdering er denne aktiviteten sannsynligvis hos begge.

Vi er ikke 100 % sikre, for vi har ikke håndfaste bevis. Etter 15 år kan jeg si at det å finne håndfaste bevis er veldig vanskelig. Det vi kan gjøre, er å analysere informasjon, hente inn kontekst, og si «Vi vurderer med dette konfidensnivået at vi mener det er sannsynlig, basert på denne årsaken.».

En av de største trendene involverer skiftende fokus fra brukerendepunkter og tilpasset skadelig programvare til aktører som virkelig lever på kanten – og samler ressurser om utnytting av kantenheter og opprettholdelse av utholdenhet. Disse enhetene er interessante fordi hvis noen får tilgang, kan de bli der veldig lenge.

Noen grupper har gjort imponerende dypdykk i disse enhetene. De vet hvordan fastvaren deres fungerer. De kjenner sårbarhetene til alle enhetene, og de vet at mange enheter ikke støtter antivirusprogrammer eller detaljert logging.

Aktørene vet selvfølgelig at enheter som VPN-er nå er som nøkler til himmelriket. Etter hvert som organisasjoner legger til flere sikkerhetslag som tokener, godkjenning med flere faktorer (MFA) og tilgangspolicyer, blir aktørene smartere når det gjelder omgåelse og slippe gjennom forsvar.

Jeg tror mange av aktørene har innsett at hvis de er i stand til å holde ut lenge nok gjennom en enhet som en VPN, trenger de ikke egentlig å distribuere skadelig programvare. De trenger bare å gi selv tilgang så de kan logge på som en hvilken som helst bruker.

De gir rett og slett seg selv «gud-modus» på nettverket ved å kompromittere disse kantenhetene.

Vi ser også en trend der aktørene bruker Shodan, Fofa eller andre typer databaser som skanner internett, katalogenheter, og identifiserer ulike oppdateringsnivåer.

Vi ser også aktører som gjennomfører egne skanninger av store deler av internett – noen ganger fra tidligere mållister – i søken etter ting som kan utnyttes. Når de finner noe, skanner de på nytt for å faktisk utnytte enheten og deretter komme tilbake senere for å få tilgang til nettverket.

Det er begge deler. Det kommer an på aktøren. Noen aktører er ansvarlige for et bestemt land. Dette er målsettet deres, så alt de bryr seg om er enhetene i dette landet. Men andre aktører har funksjonelle målsett – slik at de fokuserer på bestemte sektorer som økonomi, energi eller produksjon. De har bygd en målliste over flere år, med selskaper de bryr seg om, og disse aktørene vet akkurat hvilke enheter og hvilken programvare målene kjører. Så vi observerer at noen aktører skanner en forhåndsdefinert målliste for å se om målene er oppdatert for en bestemt sårbarhet.

Aktørene kan være veldig målrettede og metodiske og presise, men de kan også ha uflaks. Vi må huske på at de er mennesker. Når de kjører skanninger eller henter data med et kommersielt produkt, er de ofte bare heldige og får riktig sett med informasjon helt fra starten, for å få hjelp til å sette i gang en operasjon.

Dette stemmer absolutt. Men riktig type forsvar er mer enn bare oppdateringer. Den mest effektive løsningen høres enkel ut, men den er veldig vanskelig i praksis. Organisasjoner må forstå og lage lister over enhetene som er eksponert for internett. De må vite hvordan nettverksperimeterne ser ut, og vi vet at dette er spesielt vanskelig å gjøre i hybride miljøer med både skybaserte og lokale enheter.

Enhetsbehandling er ikke enkelt, og jeg skal ikke late som det er det, men å kjenne til enhetene på nettverket – og oppdateringsnivået for hver av dem – er det første skrittet du kan ta.

Så snart du vet hva du har, kan du øke loggingsfunksjonen og telemetrien fra disse enhetene. Streb etter detaljnivå i loggene. Disse enhetene er vanskelige å forsvare. Enn nettverksforsvarers beste sjanse for å forsvare disse enhetene er logging og se etter avvik

Jeg skulle ønske jeg hadde en krystallkule for å se planene til kinesiske myndigheter. Dessverre har jeg ikke det. Men det vi kan se, er sannsynligvis en hunger etter tilgang til informasjon.

Alle nasjoner har denne hungeren.

Vi liker også informasjonen vår. Vi liker dataene våre.

Judy er Belte-vei-initiativ (BRI) -eksperten vår og eksperten innen geopolitikk. Vi stoler på innsikten hennes når vi ser på trender, særlig når det gjelder målretting. Noen ganger ser vi et nytt mål komme opp, og det gir ikke alltid mening. Det passer ikke med det de tidligere har gjort, så vi sender det til Judy som forteller oss at «Ah, det skal være et viktig økonomisk møte i dette landet, eller det er forhandlinger rundt byggingen av en ny fabrikk på denne plasseringen.».

Judy gir oss verdifull kontekst – essensiell kontekst – om hvorfor trusselaktører gjør det de gjør. Vi vet alle hvordan vi bruker Bing Translate, og vi vet alle hvordan vi slår opp nyhetshistorier, men når noe ikke gir mening, kan Judy fortelle oss at «Vel, denne oversettelsen betyr faktisk dette.», og det kan utgjøre hele forskjellen.

Sporing av kinesiske trusselaktører krever kulturell kunnskap om hvordan myndighetene er strukturert og hvordan selskaper og institusjoner opererer. Judys arbeid løser opp strukturen til disse organisasjonene og forteller hvordan de fungerer – hvordan de tjener penger og samhandler med kinesiske myndigheter.

Som Sarah sa så er det kommunikasjon. Vi er alltid på Teams-chat. Vi deler alltid innsiktene vi har sett i telemetrien som har hjulpet oss med å jobbe mot en mulig konklusjon.

Hva er trikset mitt? Masse tid brukt på internett og lesing. Helt alvorlig, så tror jeg ´én av de mest verdifulle tingene helt enkelt er å vite hvordan du bruker ulike søkemotorer.

Jeg er komfortabel med Bing, men også med Baidu og Yandex.

Og det er fordi ulike søkemotorer leverer ulike resultater. Jeg gjør ikke noe spesielt, men jeg vet at jeg må se etter ulike resultater fra ulike kilder slik at jeg kan analysere dataene derfra.

Alle på teamet har mye kunnskap. Alle har superkrefter – det gjelder bare å vite hvem du skal spørre. Og det er flott at vi arbeider på et team hvor alle er komfortable med stille hverandre spørsmål, ikke sant? Vi sier alltid at det ikke finnes dumme spørsmål.

Dette stedet drives av dumme spørsmål.

Dette er det perfekte tidspunkt for å gå inn på IT-sikkerhet. Da jeg startet, fantes det ikke mange klasser eller ressurser eller måter å utforske på. Nå finnes det både programmer både for lavere grader og master! Nå finnes det mange måter å komme inn i yrket på. Ja, det finnes veier som kan koste mye, men det finnes også veier som koster mindre og er gratis.

Én gratis sikkerhetsopplæringsressurs ble utviklet av Simeon Kakpovi og Greg Schloemer, våre kolleger hos Microsoft trusselinformasjon. Dette verktøyet kalles KC7, og gjør det å få kjennskap til IT-sikkerhet, forstå nettverk og vertshendelser, og å jakte på aktører tilgjengelig for alle.

Nå er det også mulig å få innblikk i alle slags emner. Da jeg startet, måtte man jobbe hos selskaper som hadde budsjetter på mange millioner dollar, for å få råd til disse verktøyene. For mange var dette en tilgangsbarriere. Men nå kan hvem som helst analysere skadelig programvare-eksempler. Det pleide å være vanskelig å finne eksempler på skadelig programvare og pakkefangst. Men disse barrierene forsvinner. I dag finnes det så mange kostnadsfrie og nettbaserte verktøy og ressurser hvor du kan lære på egenhånd og i ditt eget tempo.

Mitt råd er å finne ut hvilken nisje som driver interessen din. Vil du etterforske skadelig programvare? Digital kriminalteknikk Trusselinformasjon? Rett oppmerksomheten mot favorittemnene dine, og utnytt offentlig tilgjengelige ressurser, og lær så mye du kan med disse.

Det viktigste er å være nysgjerrig, ikke sant? I tillegg til å være nysgjerrig må du samarbeide bra med andre. Du må huske at dette er en lagidrett – ingen kan stå for cybersikkerheten alene.

Det er viktig å kunne jobbe i team. Det er viktig å være nysgjerrig og åpen for å lære. Du må være komfortabel med å stille spørsmål og finne måter å jobbe med andre teammedlemmer på.

Det er definitivt sant. Jeg vil understreke at Microsoft trusselinformasjon jobber med mange partnerteam hos Microsoft. Vi stoler i stor grad på ekspertisen til kollegene våre, for å få hjelp til å forstå hva aktørene gjør, og hvorfor de gjør det. Vi kunne ikke gjort jobben vår uten dem.