In de frontlijn: De tactieken en technieken van Chinese bedreigingsactoren decoderen

Met COVID zagen we veel veranderingen. Voor klanten is de wereld veranderd. 's Nachts ging iedereen naar huis en probeerden ze hun werk te blijven doen. We zagen dat veel bedrijven hun netwerken volledig moesten herconfigureren en we zagen dat werknemers hun manier van werken veranderden en dat onze bedreigingsactoren daarop reageerden.

Toen het thuiswerkbeleid voor het eerst werd geïmplementeerd, moesten veel organisaties bijvoorbeeld vanaf veel verschillende locaties toegang verlenen tot zeer gevoelige systemen en resources die normaal gesproken niet beschikbaar waren buiten de kantoren van het bedrijf. We zagen dat bedreigingsactoren zich voordeden als werknemers op afstand en op die manier toegang kregen tot deze resources.

Aan het begin van de covid-epidemie moest het toegangsbeleid voor bedrijfsomgevingen snel worden opgesteld, en dat gebeurde soms zonder tijd te besteden aan onderzoek en best practices. Omdat veel organisaties die beleidsregels niet hebben herzien sinds die eerste implementatie, zien we dat bedreigingsactoren tegenwoordig proberen om misconfiguraties en kwetsbaarheden te ontdekken en aan te vallen.

Het is niet meer zo waardevol om malware op desktops te zetten. Nu gaat het erom wachtwoorden en tokens te krijgen die toegang geven tot gevoelige systemen op dezelfde manier als externe werknemers dat doen.

Ik weet niet of de bedreigingsactoren vanuit huis konden werken, maar we hebben wel gegevens die inzicht geven in hoe de sluitingen tijdens de covid-epidemie van invloed waren op hun activiteiten in de steden waar ze woonden. Waar ze hun werk ook deden, hun levens werden beïnvloed, net als die van de rest van de wereld.

Soms konden we het effect van de sluitingen in hele steden zien aan het gebrek aan activiteit op hun computers. Het was zo interessant om in onze gegevens de impact te zien van al die sluitingen wereldwijd.

Ik heb een mooi voorbeeld over een van de bedreigingsactoren die we volgen, Nylon Typhoon. Microsoft ondernam in december 2021 actie tegen deze groep en verstoorde de infrastructuur die werd gebruikt voor aanvallen op Europa, Latijns-Amerika en Midden-Amerika.

Volgens onze beoordeling ging het bij sommige activiteiten waarschijnlijk om operaties voor het verzamelen van inlichtingen die bedoeld waren om inzicht te verschaffen in partners die betrokken zijn bij China's Gordel- en Weginitiatief (BRI) voor door de Chinese overheid geleide infrastructuurprojecten over de hele wereld. We weten dat Chinese door de staat gesponsorde bedreigingsactoren zich bezighouden met traditionele en economische spionage, en onze inschatting is dat deze activiteit waarschijnlijk in beide richtingen plaatsvond.

We weten het niet 100% zeker omdat we geen duidelijk bewijs hebben. Na vijftien jaar kan ik je vertellen dat het heel moeilijk is om dat bewijs te vinden. Wat we wel kunnen doen is informatie analyseren, de context erbij halen en zeggen: "We schatten met dit betrouwbaarheidsniveau in dat we denken dat het om deze reden waarschijnlijk is".

Een van de grootste trends is de verschuiving van de focus van eindpunten van gebruikers en aangepaste malware naar bedreigingsactoren die zich echt aan de rand begeven, waarbij resources worden geconcentreerd op de exploitatie van randapparaten en het behoud van persistentie. Deze apparaten zijn interessant, want als iemand er toegang tot krijgt, kunnen ze daar heel lang blijven.

Sommige groepen hebben deze apparaten grondig geanalyseerd. Ze weten hoe hun firmware werkt. Ze weten welke kwetsbaarheden elk apparaat heeft en ze weten dat veel apparaten geen antivirus of gedetailleerde logboekregistratie ondersteunen.

Natuurlijk weten actoren dat apparaten zoals VPN's nu fungeren als sleutels tot het paradijs. Terwijl organisaties beveiligingslagen toevoegen zoals tokens, meervoudige verificatie (MFA) en toegangsbeleid, worden actoren steeds slimmer in het omzeilen van verdedigingslinies.

Ik denk dat veel actoren zich hebben gerealiseerd dat als ze een persistentie op de lange termijn kunnen handhaven via een apparaat zoals een VPN, ze eigenlijk nergens malware hoeven te implementeren. Ze kunnen zichzelf gewoon toegang geven waarmee ze als een willekeurige gebruiker kunnen inloggen.

Ze geven zichzelf in feite een 'godmode' op het netwerk door deze randapparaten aan te vallen.

We zien ook een trend waarbij actoren Shodan, Fofa of een andere database gebruiken die het internet scant, apparaten catalogiseert en verschillende patchniveaus identificeert.

We zien ook dat actoren hun eigen scans uitvoeren van grote delen van het internet, soms op basis van al bestaande doellijsten, op zoek naar dingen die kunnen worden aangevallen. Als ze iets vinden, doen ze nog een scan om het apparaat te exploiteren en komen dan later terug om toegang te krijgen tot het netwerk.

Allebei. Het hangt af van de actor. Sommige actoren zijn verantwoordelijk voor een bepaald land. Dat is hun doel, dus het enige waar ze om geven zijn apparaten in dat land. Maar andere actoren hebben functionele doelen, dus zij zullen zich richten op specifieke sectoren zoals financiën, energie of productie. Ze hebben in de loop der jaren een lijst opgebouwd van bedrijven die ze belangrijk voor ze zijn en deze actoren weten precies welke apparaten en software hun doelen gebruiken. Zo zien we dat sommige actoren een vooraf gedefinieerde lijst met doelen scannen om te zien of doelen zijn gepatcht voor een bepaalde kwetsbaarheid.

Actoren kunnen heel doelgericht, methodisch en precies zijn, maar soms hebben ze ook geluk. We moeten niet vergeten dat ze menselijk zijn. Als ze hun scans uitvoeren of gegevens verzamelen met een commercieel product, hebben ze soms gewoon geluk en krijgen ze meteen de juiste informatie om hun operatie te starten.

Dat klopt helemaal. Maar de juiste verdediging is meer dan alleen patchen. De meest effectieve oplossing klinkt eenvoudig, maar is in de praktijk erg moeilijk. Organisaties moeten hun apparaten die worden blootgesteld aan het internet begrijpen en inventariseren. Ze moeten weten hoe hun netwerkperimeters eruit zien, maar we weten dat dat vooral moeilijk te realizeren is in hybride omgevingen met zowel cloud- als on-premise apparaten.

Apparaatbeheer is niet eenvoudig en ik wil niet doen alsof dat wel zo is, maar kennis over de apparaten in je netwerk en de patchniveaus voor elk apparaat is de eerste stap die je kunt zetten.

Als je eenmaal weet wat je hebt, kun je de mogelijkheid voor logboekregistratie en de telemetrie van die apparaten vergroten. Streef naar gedetailleerdheid in de logboeken. Deze apparaten zijn moeilijk te verdedigen. De beste manier voor een verdediger van een netwerk om deze apparaten te verdedigen, is logboekregistratie en zoeken naar anomalieën

Ik wou dat ik een kristallen bol had die ik zou kunnen gebruiken om de plannen van de Chinese regering te zien. Maar helaas heb ik die niet. Maar wat we kunnen zien, is waarschijnlijk een verlangen naar toegang tot informatie.

Elke natie heeft dat verlangen.

We houden ook van onze informatie, van onze gegeven.

Judy is onze BRI- (Gordel- en Weginitiatief) en geopolitiek expert. We vertrouwen op haar inzichten als we trends bekijken, vooral op het gebied van het vaststellen van doelen. Soms zien we een nieuw doel opduiken waar eigenlijk niet echt een idee achter zit. Het past niet bij wat ze eerder hebben gedaan en dus gaan we ermee naar Judy, die ons vertelt: "O, er vindt een belangrijke economische bijeenkomst plaats in dit land, of er zijn onderhandelingen over de bouw van een nieuwe fabriek op deze locatie".

Judy geeft ons waardevolle en essentiële context over waarom bedreigingsactoren doen wat ze doen. We weten allemaal hoe we Bing Translate moeten gebruiken en we weten allemaal hoe we nieuwsberichten moeten opzoeken, maar als iets niet klopt, kan Judy ons vertellen: "Nou, die vertaling betekent eigenlijk dit", en dat kan het verschil maken.

Voor het opsporen van Chinese bedreigingsactoren is culturele kennis vereist over hoe hun regering in elkaar zit en hoe hun bedrijven en instellingen werken. Het werk van Judy geeft een duidelijk overzicht van de structuur van deze organisaties en laat ons weten hoe ze functioneren, hoe ze geld verdienen en samenwerken met de Chinese overheid.

Zoals Sarah al zei, het draait om communicatie. We zijn altijd actief op Teams Chat. We delen altijd de inzichten die we hebben opgedaan uit telemetrie en die ons hebben geholpen om een mogelijke conclusie te trekken.

Wat mijn truc is? Veel rondhangen op het internet en lezen. Ik denk echter dat kennis over hoe je verschillende zoekmachines moet gebruiken een van de meest waardevolle dingen is.

Ik ben vertrouwd met Bing, maar ook met Baidu en Yandex.

En dat komt omdat verschillende zoekmachines verschillende resultaten opleveren. Ik doe niets speciaals, maar ik weet wel hoe ik moet zoeken naar verschillende resultaten van verschillende bronnen, zodat ik de gegevens kan analyseren die daaruit voortvloeien.

Iedereen in het team beschikt over veel kennis. Iedereen heeft superkrachten, je moet simpelweg weten aan wie je het moet vragen. En het is geweldig dat we in een team werken waarin iedereen elkaar vragen kan stellen, toch? We zeggen altijd dat er geen domme vragen zijn.

Deze plek draait op domme vragen.

Dit is het perfecte moment om je te verdiepen in IT-beveiliging. Toen ik net begon, waren er niet veel opleidingen, resources of manieren op dat gebied. Nu zijn er bachelor- en masteropleidingen! Er zijn veel manieren om er je beroep van te maken. Ja, er zijn opties die veel geld kunnen kosten, maar er zijn ook goedkopere en gratis opties.

Eén gratis resource voor beveiligingstraining is ontwikkeld door Simeon Kakpovi en Greg Schloemer, onze collega's bij Microsoft Bedreigingsinformatie. Dit hulpprogramma, KC7genaamd, maakt het voor iedereen toegankelijk om zich in IT-beveiliging te verdiepen, netwerk- en hostgebeurtenissen te begrijpen en bedreigingsactoren op te sporen.

Nu is het ook mogelijk om allerlei verschillende onderwerpen te onderzoeken. Toen ik net begon, moest je bij een bedrijf werken met een miljoenenbudget om je deze hulpprogramma's te kunnen veroorloven. Voor velen vormde dat een onoverkomelijke drempel. Maar nu kan iedereen malwarevoorbeelden analyseren. Vroeger was het moeilijk om voorbeelden van malware en pakketopnames te vinden. Maar die barrières verdwijnen beetje bij beetje. Tegenwoordig zijn er zo veel gratis en online hulpprogramma's en resources waar je in je eigen tempo kunt leren.

Mijn advies is om uit te zoeken welke niche je interesse heeft. Wil je onderzoek doen naar malware? Naar digitaal forensisch onderzoek? Of naar bedreigingsinformatie? Concentreer je op je favoriete onderwerpen en maak gebruik van openbaar beschikbare resources om daar zoveel mogelijk van te leren.

Het belangrijkste is om nieuwsgierig te zijn. Naast nieuwsgierigheid is het ook belangrijk om goed met anderen te kunnen samenwerken. Je moet onthouden dat dit een teamsport is, niemand kan het gewicht van cyberbeveiliging alleen tillen.

Het is belangrijk om in een team te kunnen werken. Het is belangrijk om nieuwsgierig te zijn en open te staan om te leren. Je moet je comfortabel genoeg voelen om vragen te stellen en manieren te vinden om met je teamleden samen te werken.

Dat is zeker waar. Ik wil benadrukken dat Microsoft Bedreigingsinformatie samenwerkt met veel partnerteams bij Microsoft. We vertrouwen sterk op de deskundigheid van onze collega's om ons te helpen begrijpen wat actoren doen en waarom ze dat doen. Zonder hen zouden we ons werk niet kunnen doen.