V prednej línii: taktiky a techniky dešifrovania čínskych aktérov hrozieb

Počas COVID-u sme boli svedkami mnohých zmien. Svet sa pre zákazníkov zmenil. Zo dňa na deň išli všetci domov a snažili sa naďalej pracovať. Pozorovali sme mnoho spoločností, ktoré museli úplne prekonfigurovať svoje siete, a videli sme, ako zamestnanci zmenili spôsob práce. Zároveň sme pozorovali, ako naši aktéri hrozieb reagovali na toto všetko.

Napríklad pri prvom zavádzaní politík práce z domu mnoho organizácií muselo umožniť prístup z viacerých rôznych lokalít k niektorým veľmi citlivým systémom a zdrojom, ktoré neboli bežne dostupné mimo kancelárií podnikov. Videli sme, ako sa aktéri hrozieb následne pokúšali nepozorovane infiltrovať predstierajúc, že sú zamestnanci pracujúci na diaľku, a získať prístup k týmto zdrojom.

Keď sa COVID začal prvýkrát šíriť, politiky prístupu pre podnikové prostredia sa museli vytvoriť rýchlo, niekedy bez času na výskum a preskúmanie najlepších postupov. Keďže sa mnohé organizácie k týmto politikám od ich prvotného zavedenia nevrátili, vidíme, ako sa aktéri hrozieb dnes pokúšajú objavovať a zneužívať zlé konfigurácie a zraniteľné miesta.

Zavádzanie škodlivých softvérov do počítačov sa už toľko neoplatí. V súčasnosti ide aktérom o získanie hesiel a tokenov umožňujúcich získať prístup k citlivým systémom rovnako, ako to robia zamestnanci pracujúci na diaľku.

Neviem, či aktéri hrozieb mali možnosť pracovať z domu, máme však údaje poskytujúce určité informácie o tom, ako obmedzenia počas COVID-u ovplyvnili ich aktivitu v mestách, v ktorých žili. Bez ohľadu na to, kde pracovali, ich životy boli ovplyvnené – rovnako ako všetkých ostatných.

Niekedy sme mohli na základe zníženej aktivity na ich počítačoch pozorovať účinok obmedzení v rámci celých miest. Bolo veľmi zaujímavé vidieť v našich údajoch vplyv všetkých týchto obmedzení zavádzaných na úrovni okresov.

Mám skvelý príklad – jeden z aktérov hrozieb, ktorých sledujeme, Nylon Typhoon. Microsoft podnikol kroky proti tejto skupine v decembri 2021 a narušil infraštruktúru používanú na zameranie aktivít proti Európe, Latinskej Amerike a Strednej Amerike.

Vyhodnotili sme, že istá aktivita týkajúca sa obetí pravdepodobne spočívala v operáciách zberu spravodajských informácií, ktorých účelom bolo získať poznatky o partneroch zapojených do čínskej iniciatívy Jedno pásmo, jedna cesta pre projekty infraštruktúry vedené čínskou vládou na celom svete. Vieme, že aktéri hrozieb sponzorovaní čínskym štátom vykonávajú tradičnú špionáž a ekonomickú špionáž, a na základe našich posúdení sa domnievame, že táto aktivita sa pravdepodobne týkala oboch druhov.

Nie sme si úplne istí, keďže nemáme priamy dôkaz. Po 15 rokoch vám môžem povedať, že nájdenie takéhoto dôkazu je skutočne náročné. Čo však môžeme robiť, je analyzovať informácie, začleniť kontext a povedať „Vyhodnocujeme s takouto úrovňou spoľahlivosti a domnievame sa, že je to pravdepodobne z tohto dôvodu“.

Jeden z najväčších trendov spočíva v presmerovaní zamerania z používateľských koncových bodov a škodlivých softvérov šitých na mieru na aktérov skutočne žijúcich na okraji, t. j. sústredenie zdrojov na zneužívanie okrajových zariadení a zachovávanie vytrvalosti. Tieto zariadenia sú zaujímavé, pretože ak niekto získa prístup, môže v nich zostať prítomný veľmi dlho.

Niektorým skupinám sa podarilo preniknúť pozoruhodne hlboko do týchto zariadení. Vedia, ako funguje ich firmvér. Poznajú zraniteľné miesta každého zariadenia a vedia, že mnohé zariadenia nepodporujú antivírus ani podrobné zapisovanie do denníka.

Aktéri samozrejme vedia, že pomôcky ako VPN sú dnes ako kľúče od kráľovstva. Zatiaľ čo organizácie pridávajú vrstvy zabezpečenia ako tokeny, viacfaktorové overovanie (MFA) a prístupové politiky, aktéri sú pri obchádzaní a preliezaní ochranných prvkov čoraz rafinovanejší.

Myslím si, že veľa aktérov si uvedomilo, že ak sa im podarí zachovať dlhodobú vytrvalosť pomôckami ako VPN, v skutočnosti už nemusia nikde zavádzať škodlivé softvéry. Môžu si jednoducho zabezpečiť prístup, ktorý im umožní prihlásiť sa ako ktorýkoľvek používateľ.

Zneužitím týchto okrajových zariadení si v podstate v rámci siete zaistia neobmedzené možnosti.

Takisto pozorujeme trend, keď aktéri používajú Shodan, Fofa alebo akýkoľvek druh databázy, ktorá skenuje internet, katalóguje zariadenia a identifikuje rôzne úrovne opráv.

Pozorujeme aj aktérov vykonávajúcich vlastné skeny rozsiahlych častí internetu – niekedy z už existujúcich zoznamov cieľov – pri hľadaní niečoho, čo by sa dalo zneužiť. Keď niečo nájdu, urobia ďalší sken v záujme samotného zneužitia zariadenia, a neskôr sa vrátia, aby získali prístup k sieti.

Oboje. Záleží na konkrétnom aktérovi. Niektorí majú na starosť určitú krajinu. Tá predstavuje súbor ich cieľov, čiže sa zaujímajú výlučne o zariadenia v danej krajine. Iní aktéri však majú funkčné súbory cieľov – v takom prípade sa zameriavajú na konkrétne sektory, ako sú financie, energetika alebo výroba. V priebehu rokov vypracovali zoznam cieľových spoločností, o ktoré sa zaujímajú, pričom títo aktéri vedia presne, aké zariadenia a softvér tieto ciele prevádzkujú. Pri niektorých aktéroch teda pozorujeme, ako skenujú vopred stanovený zoznam cieľov, aby zistili, či opravili konkrétnu zraniteľnosť.

Aktéri môžu byť veľmi zameraní, metodickí a dôkladní, no niekedy môžu mať šťastie. Nesmieme zabúdať, že sú to iba ľudia. Keď sa púšťajú do svojich skenov alebo si privlastňujú údaje pomocou komerčného produktu, niekedy majú len šťastie a získajú správny súbor informácií hneď na začiatku, čo im pomôže spustiť svoju operáciu.

Rozhodne. Správna ochrana však spočíva vo viac ako len opravách. Najúčinnejšie riešenie znie jednoducho, no v praxi je veľmi náročné. Organizácie musia rozumieť svojim zariadeniam, ktoré sú vystavené internetu, a vytvárať ich inventáre. Musia vedieť, ako vyzerajú ich nárazníkové siete, pričom si uvedomujeme, že toto je mimoriadne ťažké realizovať v hybridných prostrediach s cloudovými, ako aj lokálnymi zariadeniami.

Správa zariadení nie je ľahká, ani nechcem predstierať, že by bola, avšak nadobudnutie informácií o zariadeniach vo vašej sieti – a úrovniach opráv každého z nich – je prvý krok, ktorý môžete podniknúť.

Keď budete vedieť, s čím pracujete, budete môcť zvýšiť kapacitu zapisovania a telemetriu z týchto zariadení. Snažte sa o podrobnosť zápisov. Tieto zariadenia sa ťažko chránia. Najlepším riešením pre ochrancu siete s cieľom chrániť tieto zariadenia je zapisovanie do denníka a hľadanie anomálií.

Kiežby som mala krištáľovú guľu a mohla predvídať plány čínskej vlády. Žiaľ ju nemám. Čo však môžeme badať, je zjavný apetít na prístup k informáciám.

Takýto apetít má každý národ.

My takisto máme radi naše informácie. Máme radi naše údaje.

Judy je naša expertka na iniciatívu Jedno pásmo, jedna cesta a geopolitická odborníčka. Spoliehame sa na jej poznatky, keď sa zaoberáme trendmi, a to najmä pokiaľ ide o výber cieľov. Niekedy spozorujeme nový cieľ, ktorý však naozaj nedáva žiadny zmysel. Nezodpovedá doterajším aktivitám, preto sa obrátime na Judy, ktorá nám povie „Jasné, v tejto krajine sa koná dôležité ekonomické stretnutie alebo v tejto lokalite prebiehajú rokovania o výstavbe novej továrne“.

Judy nám poskytuje cenný kontext – zásadný kontext – dôvodov konania aktérov hrozieb. Všetci vieme používať Bing Translate a všetci si vieme vyhľadať novinové články, keď však niečo nedáva zmysel, Judy nám môže povedať „Tento preklad v skutočnosti znamená toto“, čo môže byť mimoriadne prínosné.

Sledovanie čínskych aktérov hrozieb si vyžaduje kultúrne znalosti o štruktúre ich vlády a spôsobe fungovania ich spoločností a inštitúcií. Práca Judy pomáha rozpliesť štruktúru týchto organizácií a vďaka nej vieme, ako fungujú – ako zarábajú peniaze a interagujú s čínskou vládou.

Ako uviedla Sarah, ide o komunikáciu. Neustále chatujeme cez Teams. Vždy sa delíme o poznatky, ktoré sme mohli spozorovať z telemetrie a ktoré nám pomohli dopracovať sa k možnému záveru.

Môj trik? Trávim veľa voľného času na internete a čítaním. Ale vážne, myslím si, že jednou z najhodnotnejších vecí je jednoducho vedieť, ako používať rôzne vyhľadávače.

Dobre sa mi pracuje s Bing, ale aj Baidu a Yandex.

Dôvodom je, že rôzne vyhľadávače poskytujú rôzne výsledky. Nerobím nič špeciálne, viem však hľadať rozličné výsledky z rôznych zdrojov, aby som mohla analyzovať údaje odtiaľ.

Každý v tíme má veľmi dobrý rozhľad. Všetci majú superschopnosti – stačí len vedieť, koho sa spýtať. A je skvelé, že pracujeme v tíme, v ktorom nikto nemá ostych pri vzájomnom kladení otázok, však? Vždy hovoríme, že hlúpe otázky neexistujú.

Toto miesto stojí na hlúpych otázkach.

Teraz je ideálny čas začať pôsobiť v IT bezpečnosti. Keď som prvý raz začínala ja, neexistovalo veľa kurzov, zdrojov ani spôsobov objavovania. V súčasnosti existujú bakalárske a magisterské programy! Teraz je mnoho spôsobov, ako začať profesiu v tejto oblasti. Áno, niektoré možnosti môžu stáť veľa peňazí, existujú však aj nízkonákladové a bezplatné spôsoby.

Jeden bezplatný materiál odbornej prípravy v oblasti bezpečnosti vypracovali Simeon Kakpovi a Greg Schloemer, naši kolegovia v centre Microsoft Analýza hrozieb. Vďaka tomuto nástroju, nazývanému KC7, je začatie pôsobenia v IT bezpečnosti, chápanie sieťových a hostiteľských udalostí, ako aj vyhľadávanie aktérov prístupné pre všetkých.

Ľudia teraz zároveň majú možnosť dostávať informácie o všetkých druhoch rôznych tém. Keď som prvýkrát začínala, museli ste pracovať pre spoločnosť s niekoľko miliónovým rozpočtom, aby ste si mohli dovoliť tieto nástroje. Pre mnohých to bola prekážka vstupu. Teraz však môže analyzovať vzorky škodlivého softvéru ktokoľvek. Kedysi bolo náročné nájsť vzorky škodlivého softvéru a paketové záznamy. Tieto prekážky však zanikajú. Dnes existuje veľké množstvo bezplatných a online nástrojov a zdrojov, kde sa môžete samovzdelávať vlastným tempom.

Mojou radou je zistiť, ktorá špecifická oblasť motivuje váš záujem. Chcete skúmať škodlivý softvér? Digitálna forenzná analýza? Analýza hrozieb? Zamerajte sa na svoje obľúbené témy, využite verejne dostupné zdroje a čo najviac sa pomocou nich vzdelávajte.

Najdôležitejším prvkom je zvedavosť, všakže? Popri zvedavosti musíte vedieť dobre pracovať s ostatnými. Musíte pamätať na to, že ide o tímový šport – nikto nedokáže pracovať na kybernetickej bezpečnosti sám.

Je dôležité mať schopnosť pracovať v tíme. Je dôležité mať zvedavosť a otvorenosť k učeniu sa. Nesmiete sa báť klásť otázky a hľadať spôsoby spolupráce s členmi tímu.

To je rozhodne dozaista pravda. Chcem zdôrazniť, že Microsoft Analýza hrozieb pracuje s mnohými partnerskými tímami v Microsofte. Značne sa spoliehame na odborné znalosti našich kolegov, aby nám pomohli pochopiť, čo aktéri robia a prečo to robia. Bez nich by sme našu prácu nemohli robiť.