În prima linie: Decodând tehnicile și tacticile actorilor de amenințare chinezi

Odată cu COVID, am văzut multe schimbări. Pentru clienți, lumea s-a schimbat. Peste noapte, toată lumea s-a dus acasă și a încercat să lucreze în continuare. Am văzut multe firme care au trebuit să-și reconfigureze complet rețelele, angajați care și-au schimbat modul în care lucrau și, bineînțeles, am văzut cum răspund actorii de amenințare la toate astea.

De exemplu, când implementarea politicilor de lucru de acasă erau la început, multe organizații trebuiau să permită accesul din multe locații diferite la niște resurse și sisteme confidențiale care nu erau în mod normal disponibile în afara birourilor corporative. Atunci am văzut actori de amenințare care încercau să se amestece în zgomotul de fond, pretinzând că sunt lucrători la distanță și accesând aceste resurse.

Când a lovit COVID, politicile de acces pentru mediile din întreprinderi au trebuit stabilite rapid și, uneori, au fost făcute fără suficient timp de cercetare și examinare a celor mai bune practici. Pentru că un număr mare de organizații nu și-au reexaminat acele politici de la implementarea inițială, vedem astăzi actori de amenințare care încearcă să descopere și să exploateze configurații greșite și vulnerabilități.

Punerea unui malware pe desktop nu mai este atât de valoroasă. Acum este vorba despre obținerea parolelor și tokenurilor care permit accesul la sisteme confidențiale la fel cum fac lucrătorii de la distanță.

Nu știu dacă actorii de amenințare au apucat să lucreze de acasă, dar avem date care oferă detalii despre modul în care carantina COVID a avut un impact asupra activității lor în orașele în care locuiau. Indiferent de unde lucrau, viețile lor au fost afectate, cum au fost ale tuturor.

Uneori, am putut vedea efectul carantinei la nivel de oraș din lipsa activității de pe computerele lor. A fost foarte interesant să vedem în datele noastre impactul carantinei pe districte.

Am un exemplu foarte bun; este unul dintre actorii de amenințare pe care îi monitorizăm, Nylon Typhoon. Microsoft a acționat împotriva acestui grup în decembrie 2021 și a întrerupt infrastructura folosită pentru a viza Europa, America Latină și America Centrală.

În evaluarea noastră, activitatea unor victime este posibil să fi implicat operații de colectare a informațiilor care să furnizeze detalii despre partenerii din inițiativa Belt and Road (BRI) din China pentru proiecte de infrastructură derulate de guvernul chinez în întreaga lume. Știm că actorii de amenințare sponsorizați de China efectuează spionaj tradițional și spionaj economic, iar evaluarea noastră este că această activitate a implicat ambele tipuri.

Nu putem ști 100% pentru că nu avem dovada incriminatorie. După 15 ani, pot spune că este extrem de dificil de găsit o dovadă incriminatorie. Ce putem face, în schimb, este să analizăm informațiile, să le punem în context și să spunem „Evaluăm cu acest nivel de încredere și considerăm că este probabil din acest motiv.”

Una dintre cele mai proeminente tendințe este mutarea accentului de pe punctele finale ale utilizatorilor și malware personalizat la actori care chiar trăiesc pe muchie, adică își concentrează resursele pe exploatarea dispozitivelor de perimetru (edge) și menținerea persistenței. Aceste dispozitive sunt interesante pentru că dacă cineva obține acces la ele, ar putea sta acolo multă vreme.

Unele grupuri au aprofundat într-un mod impresionant aceste dispozitive. Știu cum le funcționează firmware-ul. Cunosc vulnerabilitățile pe care le are fiecare dispozitiv și știu că multe dispozitive nu acceptă antivirus sau înregistrare granulară în jurnal.

Bineînțeles, actorii știu că dispozitivele de tip VPN sunt acum chei de acces în regat. Pe măsură ce organizațiile adaugă niveluri de securitate, de exemplu, tokenuri, autentificare multifactor (MFA) și politici de acces, actorii se gândesc bine cum să evite aceste linii de apărare și să se strecoare dincolo de ele.

Cred că mulți actori și-au dat seama că, dacă sunt în stare să păstreze persistența pe termen lung printr-un dispozitiv ca VPN-ul, nu au nevoie de fapt să implementeze malware nicăieri. Pot să-și acorde pur și simplu acces care să le permită să se conecteze ca orice utilizator.

În esență, își acordă „rolul de Dumnezeu” în rețea, prin compromiterea acestor dispozitive de perimetru.

De asemenea, observăm o tendință în care actorii folosesc Shodan, Fofa sau orice fel de bază de date care scanează internetul, cataloghează dispozitivele și identifică diverse niveluri de corecții.

Mai vedem și actori care efectuează propriile scanări ale unor culoare ample de internet, uneori din liste de ținte preexistente, căutând lucruri care pot fi exploatate. Atunci când găsesc ceva, fac o nouă scanare pentru a exploata efectiv dispozitivul și revin ulterior să acceseze rețeaua.

Ambele cazuri. Depinde de actor. Unii actori sunt responsabili de o anumită țară. Acesta este setul lor de ținte, așa că nu le pasă decât de dispozitivele din acea țară. Dar alți actori au seturi de ținte funcționale, așa că se concentrează pe anumite sectoare, de exemplu, financiar, energetic sau de producție. Aceștia și-au construit o listă de ținte, timp de mai mulți ani, cu firme care-i interesează și acești actori știu exact ce dispozitive au și ce software rulează țintele lor. Așadar, observăm că unii actori scanează o listă predefinită de ținte pentru a vedea dacă acestea au aplicat corecții pentru o anumită vulnerabilitate.

Actorii pot fi extrem de țintiți, metodici și preciși, dar mai au și noroc uneori. Trebuie să nu uităm că sunt oameni. Atunci când își rulează scanările sau culeg date cu un produs comercial, uneori au pur și simplu noroc și obțin setul de informații care le trebuie fix de la început, ceea ce îi ajută să inițieze operațiunea.

Fix așa. Dar o apărare bună nu înseamnă doar aplicarea unor corecții. Cea mai eficientă soluție pare simplă, dar este foarte dificilă în practică. Organizațiile trebuie să înțeleagă și să-și inventarieze dispozitivele expuse la internet. Trebuie să știe cum arată perimetrele rețelei lor. Știm că acest lucru este extrem de greu de făcut în mediile hibride în care sunt atât dispozitive locale, cât și în medii cloud.

Gestionarea dispozitivelor nu este lucru ușor și nu vreau să pretind că ar fi, dar primul pas pe care îl poți face este să-ți știi dispozitivele din rețea și nivelurile corecțiilor pentru fiecare în parte.

După ce știi exact ce ai, poți crește capacitatea de înregistrare în jurnal și telemetria pentru acele dispozitive. Trebuie să tinzi spre granularitate în jurnale. Aceste dispozitive sunt greu de apărat. Cele mai mari șanse pentru apărătorul unei rețele de a apăra aceste dispozitive este înregistrarea în jurnal și căutarea anomaliilor

Mi-aș dori să am un glob de cristal în care să văd ce planuri are guvernul Chinei. Din păcate, nu am. Totuși, ce pot vedea este un apetit pentru accesul la informații.

Toate popoarele au acest apetit.

Și nouă ne plac informațiile. Ne plac datele.

Judy este expertul nostru în geopolitică și în inițiativa Belt and Road (BRI). Ne bazăm pe opiniile ei atunci când ne uităm la tendințe, în special în ceea ce privește țintele. Uneori, vedem că apare o nouă țintă și nu pare să aibă niciun sens. Nu se potrivește cu ce au făcut anterior așa că apelăm la Judy care ne spune „A, păi va avea loc o întâlnire economică importantă în această țară sau sunt negocieri în legătură cu construirea unei noi fabrici în această locație”.

Judy ne oferă context valoros, esențial despre motivele actorilor de amenințare. Toți știm să folosim Bing Translate și să căutăm știri, dar atunci când ceva nu are sens, Judy ne poate spune „Ei bine, acea traducere înseamnă, de fapt, asta”, un lucru care face cu adevărat diferența.

Monitorizarea actorilor de amenințare chinezi necesită cunoștințe culturale despre modul în care le este structurat guvernul și cum funcționează companiile și instituțiile lor. Munca pe care o face Judy ne ajută să descâlcim structura acestor organizații și ne permite să știm cum funcționează, cum fac bani și cum interacționează cu guvernul chinez.

Așa cum a spus și Sarah, este vorba despre comunicare. Suntem permanent în chatul Teams. Împărtășim mereu detalii pe care poate că le-am observat din telemetrie, care ne-au ajutat să ajungem la o posibilă concluzie.

Care îmi este secretul? O grămadă de timp petrecut pe internet și citind. Serios acum, cred că unul dintre cele mai valoroase lucruri este să știi, pur și simplu, cum să folosești diverse motoare de căutare.

Îmi convine Bing, dar folosesc și Baidu sau Yandex.

Iar asta pentru că motoare de căutare diferite oferă rezultate diferite. Nu fac nimic special, dar știu să caut rezultate din diverse surse, pentru a putea analiza datele de acolo.

Toți din echipă știu foarte multe. Toți au superputeri, trebuie doar să știi pe cine să întrebi. Și e grozav că lucrăm într-o echipă în care toată lumea se simte confortabil să-și pună întrebări unul altuia, nu? Întotdeauna spunem că nu există întrebări stupide.

Locul acesta este alimentat de întrebări stupide.

Acum este momentul ideal să trecem la securitatea IT. Când eram la început, nu existau prea multe cursuri, resurse sau moduri de a explora. Acum există programe de licență și de masterat. Sunt multe moduri prin care poți ajunge să ai această profesie. Da, unele căi costă mult, dar există și modalități cu cost redus sau chiar gratuite.

O resursă gratuită de instruire în securitate a fost dezvoltată de Simeon Kakpovi și Greg Schloemer, colegii noștri de la Investigarea amenințărilor Microsoft. Acest instrument, care se numește KC7, face mai accesibile tuturor implicarea în securitatea IT, înțelegerea evenimentelor de pe gazdă și din rețea și căutarea activă a actorilor.

În plus, acum poți avea expunere la tot felul de subiecte. Când am început eu, trebuia să lucrezi într-o firmă cu un buget de milioane de dolari pentru a-ți putea permite asemenea instrumente. Pentru mulți, aceasta a fost o barieră. Dar acum, oricine poate analiza eșantioane malware. Înainte era greu să găsești eșantioane malware și capturi de pachete. Dar acele bariere se ridică acum. Astăzi, există atât de multe resurse și instrumente online din care se poate învăța pe cont propriu și în ritmul fiecăruia.

Sfatul meu este să vă dați seama ce nișă vă stârnește interesul. Vreți să faceți cercetare de malware? Criminalistică digitală? Investigarea amenințărilor? Identificați subiectele preferate și profitați de resursele disponibile public pentru a învăța cât de mult posibil din ele.

Cel mai important lucru este să ai curiozitate, nu? Pe lângă curiozitate, trebuie să poți lucra bine cu ceilalți. De reținut că acesta este un sport de echipă. Nimeni nu poate face securitate cibernetică de unul singur.

Este important să puteți lucra în echipă. Este important să fiți curioși și dispuși să învățați. Trebuie să vă obișnuiți să puneți întrebări și să găsiți modalități de a lucra cu colegii de echipă.

Absolut, așa este. Vreau să subliniez că Investigarea amenințărilor Microsoft colaborează cu multe echipe partenere din Microsoft. Ne bazăm în mare măsură pe expertiza colegilor noștri, care ne ajută să înțelegem ce fac actorii și de ce anume. Nu ne-am putea face treaba fără ei.