Sherrod DeGrippo, izkušeni strokovnjak za obveščanje o grožnjah z več kot 19 leti izkušenj, se v tem zanimivem intervjuju poglobi v področje kibernetskega vohunjenja. Judy Ng in Sarah Jones, izjemni strokovnjakinji, ki se ukvarjata z razkrivanjem zapletene mreže kibernetskih groženj iz Kitajske, skupaj z njima osvetljujeta prikrite dejavnosti na področju sodobnih groženj. Skupaj razpravljajo o izzivih, s katerimi se soočajo tisti, ki varujejo sodoben povezan svet. Pripravite se, da se boste potopili v nepopisane zgodbe in izjemno strokovno znanje teh digitalnih detektivov, ki plujejo po skritem področju kitajskega kibernetskega bojišča.
Pridobite vpoglede neposredno od strokovnjakov v poddaji skupnosti Obveščanje o grožnjah Microsoft. Prisluhnite zdaj.
Na bojišču: Dešifriranje taktik in tehnik kitajskih akterjev groženj
Sarah Jones
Kot višji analitik groženj raziskujem skupine APT (napredna dolgotrajna grožnja), ki izvirajo iz Kitajske in delujejo v imenu kitajske vlade. Spremljam njihov razvoj zlonamerne programske opreme ter raziskujem njihove metode za ustvarjanje infrastrukture in ogrožanje omrežij žrtev. Preden sem se pridružila ekipi Obveščanje o grožnjah Microsoft, sem se ukvarjala predvsem s Kitajsko, ukvarjala pa sem se tudi z iranskimi in ruskimi skupinami.
Večino svojega dosedanjega dela, zlasti na začetku kariere, sem delala v varnostnih operativnih centrih in se osredotočala na notranjo varnost vladnih in korporativnih omrežij.
Pri preučevanju skupin kitajskih napadalcev je izjemna priložnost, da jih lahko spremljamo v tako dolgem časovnem obdobju. Zelo zanimivo je raziskovati skupine, ki se jih spomnim izpred 10 let, in opazovati njihov razvoj skozi čas.
Judy Ng
Tako kot Sarah sem tudi jaz višji analitik groženj, ki poleg analize kibernetskih groženj uporablja tudi geopolitične analize. Zadnjih 15 let svoje kariere sem z različnih vidikov spremljala kitajske napadalce – vključno z vlogami podpore vladi ZDA, položaji v zagonskih podjetjih, različnimi mesti v podjetjih v Ameriki in seveda v Microsoftu, kjer sem zaposlena od leta 2020.
Na začetku sem se osredotočila na Kitajsko, ker me je od nekdaj zanimala. Na začetku kariere mi je to zanimanje pomagalo zagotoviti kontekst, ki se je izmikal kolegom, ki morda niso razumeli nekaterih odtenkov kitajskega jezika ali kulture.
Mislim, da je bilo eno od mojih prvih vprašanj: »Judy, kaj je 'mesni piščanec'? Kaj v kitajščini pomeni 'mesni piščanec'?«
Odgovor je bil »botnet«. »Mestni piščanec« (meat chicken) je bil kitajski sleng, ki so ga napadalci uporabljali na spletnih forumih za opisovanje zombijskih botnetov.
Judy Ng
Pri tem delu ne delaš iste stvari vsak dan. Vznemirljivo je. Uporabiš lahko vse signale, ki jih dobi Microsoft, in pustiš, da te vodijo podatki.
Tu vam nikoli ne bo dolgčas z naborom podatkov. Nikoli ne moreš reči: »Oh, ni več kaj loviti«. Vedno se najde kaj zanimivega, pomaga pa tudi to, da je večina naših sodelavcev v kitajski ekipi zelo radovedna.
Ne glede na to, ali gre za samostojen lov ali skupinsko raziskovanje. Super je, da smo vsi radovedni in da se lahko podamo na različne poti.
Sarah Jones
Strinjam se z Judy. Vsak dan je nova in drugačna težava. Vsak dan izvem za novo tehnologijo ali novo programsko opremo, ki jo napadalec poskuša izkoristiti. Če gre za tehnologijo ali programsko opremo, za katero še nikoli nisem slišala, se moram vrniti in prebrati dokumentacijo. Včasih moram prebrati RFC (zahtevek za komentarje) za protokol, ker napadalci manipulirajo z določenim vidikom protokola ali ga zlorabljajo, zato se je treba vrniti k izvirni dokumentaciji in jo prebrati.
Te stvari so zame zelo vznemirljive in z njimi se ukvarjam vsak dan. Vsak dan spoznavam nov vidik interneta, za katerega še nikoli nisem slišala, nato pa se trudim dohiteti napadalce, da bi lahko postala strokovnjak za stvar, ki so se jo odločili izkoristiti.
Sarah Jones
Z epidemijo COVID smo doživeli veliko sprememb. Za stranke se je svet spremenil. Čez noč so se vsi vrnili domov in poskušali nadaljevati z delom. Veliko podjetij je moralo popolnoma preoblikovati svoja omrežja, zaposleni so spremenili način dela, na vse to pa so se seveda odzvali tudi napadalci.
Na primer, ko so se začeli uvajati pravilniki dela na domu, so morale številne organizacije omogočiti dostop do nekaterih zelo občutljivih sistemov in virov, ki običajno niso bili na voljo zunaj pisarn podjetja, z več različnih lokacij. Videli smo, da so se napadalci poskušali skriti v zmešnjavi, se pretvarjali, da so delavci na daljavo, in dostopali do teh virov.
Ko se je pojavil COVID, je bilo treba pravilnike dostopa za poslovna okolja vzpostaviti hitro in včasih so bili vzpostavljeni brez časa za raziskovanje in pregled najboljših praks. Ker veliko organizacij od začetne uvedbe teh pravilnikov ni pregledalo, so danes prisotni napadalci, ki poskušajo odkriti in izkoristiti napačne konfiguracije in ranljivosti.
Nameščanje zlonamerne programske opreme v namizne računalnike ni več tako koristno. Zdaj je treba pridobiti gesla in žetone, ki omogočajo dostop do občutljivih sistemov na enak način, kot to počnejo delavci na daljavo.
Judy Ng
Ne vem, ali so napadalci delali od doma, imamo pa podatke, ki omogočajo vpogled v to, kako je »lockdown« zaradi epidemije COVID vplival na njihovo dejavnost v mestih, kjer so živeli. Ne glede na to, kje so opravljali svoje delo, je to vplivalo na njihova življenja – tako kot na življenja vseh drugih.
Včasih smo lahko zaradi pomanjkanja dejavnosti na njihovih računalnikih opazili učinek »lockdowna« v celotnem mestu. Zelo zanimivo je bilo v naših podatkih videti vpliv vseh teh postopnih »lockdownov« na ravni okrožja.
Judy Ng
Imam odličen primer – ena od skupin, ki jih spremljamo, je Nylon Typhoon. Microsoft je proti tej skupini ukrepal decembra 2021 in onemogočil infrastrukturo za napade na Evropo, Latinsko in Srednjo Ameriko.
Po naši oceni so nekatere dejavnosti žrtev verjetno vključevale operacije zbiranja obveščevalnih podatkov, katerih namen je bil zagotoviti vpogled v partnerje, vključene v kitajsko pobudo Belt and Road Initiative (BRI) za infrastrukturne projekte, ki jih vodi kitajska vlada po vsem svetu. Vemo, da kitajski napadalci, ki jih podpira država, izvajajo tradicionalno vohunjenje in gospodarsko vohunjenje, in naša ocena je, da je ta dejavnost verjetno potekala na obeh področjih.
Nismo 100-odstotno prepričani, ker nimamo otipljivih dokazov. Po 15 letih vam lahko povem, da je iskanje otipljivih dokazov zelo težko. Lahko pa analiziramo informacije, vključimo kontekst in rečemo: »S to stopnjo verjetnosti ocenjujemo, da je to verjetno iz tega razloga.«
Sarah Jones
Eden največjih trendov je preusmeritev pozornosti z uporabniških končnih točk in prilagojene zlonamerne programske opreme na napadalce, ki dejansko živijo na robu – osredotočanje virov na izkoriščanje naprav na robu in ohranjanje obstojnosti. Te naprave so zanimive, saj lahko, če nekdo pridobi dostop, tam ostanejo zelo dolgo.
Nekatere skupine so opravile izjemno poglobljene raziskave teh naprav. Vedo, kako deluje njihova vdelana programska oprema. Poznajo ranljivosti posameznih naprav in vedo, da mnoge naprave ne podpirajo protivirusnega programa ali podrobnega beleženja.
Seveda napadalci vedo, da so naprave, kot so VPN, zdaj kot ključi do kraljestva. Ker organizacije dodajajo varnostne plasti, kot so žetoni, večkratno preverjanje pristnosti (MFA) in pravilniki dostopa, so napadalci vse bolj spretni pri izogibanju in prebijanju skozi obrambo.
Mislim, da je veliko napadalcev spoznalo, da jim z napravo, kot je VPN, ni treba nikamor nameščati zlonamerne programske opreme, če lahko ohranijo dolgoročno obstojnost. Lahko si odobrijo dostop, ki jim omogoča prijavo kot kateremu koli uporabniku.
S kompromitiranjem teh robnih naprav si v bistvu zagotovijo vsemogočnost v omrežju.
Opažamo tudi trend, da napadalci uporabljajo Shodan, Fofa ali katero koli zbirko podatkov, ki pregleduje internet, katalogizira naprave in prepoznava različne ravni popravkov.
Prav tako opažamo, da napadalci sami pregledujejo velike dele interneta – včasih na podlagi že obstoječih ciljnih seznamov – in iščejo stvari, ki jih je mogoče izkoristiti. Ko nekaj najdejo, opravijo še en pregled, da dejansko izkoristijo napravo, in se pozneje vrnejo, da bi dostopali do omrežja.
Sarah Jones
Gre za oboje. Odvisno od napadalca. Nekateri napadalci so odgovorni za določeno državo. To je njihov ciljni nabor, zato jih zanimajo le naprave v tej državi. Drugi napadalci pa imajo funkcionalne ciljne sklope, zato se osredotočajo na določene sektorje, kot so finančni, energetski ali proizvodni. V več letih so sestavili seznam ciljnih podjetij, ki jih zanimajo, in ti napadalci natančno vedo, katere naprave in programsko opremo uporabljajo njihove tarče. Tako opažamo, da nekateri napadalci pregledujejo vnaprej določen seznam tarč, da bi ugotovili, ali so tarče popravljene za določeno ranljivost.
Judy Ng
Napadalci so lahko zelo ciljno usmerjeni, metodični in natančni, vendar imajo včasih tudi srečo. Ne smemo pozabiti, da so le ljudje. Ko izvajajo skeniranje ali zajemajo podatke s komercialnim izdelkom, imajo včasih srečo in že na začetku dobijo pravi nabor informacij, ki jim pomagajo pri začetku napada.
Sarah Jones
To je vsekakor to. Vendar je prava obramba več kot le popravljanje. Najučinkovitejša rešitev se zdi preprosta, vendar je v praksi zelo težavna. Organizacije morajo razumeti in popisati svoje naprave, ki so izpostavljene internetu. Vedeti morajo, kako so videti meje njihovega omrežja, in vemo, da je to še posebej težko storiti v hibridnih okoljih z napravami v oblaku in lokalnimi napravami.
Upravljanje naprav ni enostavno in ne želim se pretvarjati, da je, vendar je poznavanje naprav v omrežju in ravni popravkov za vsako od njih prvi korak, ki ga lahko naredite.
Ko veste, kaj imate, lahko povečate zmožnost beleženja in telemetrije iz teh naprav. Stremite k granularnosti dnevnikov. Te naprave je težko braniti. Najboljši način za obrambo teh naprav je beleženje in iskanje anomalij.
Judy Ng
Želim si, da bi vedela, kakšni so načrti kitajske vlade. Na žalost tega ne vem. Vendar pa lahko vidimo, da si verjetno želijo dostopa do informacij.
Ta apetit ima vsak narod.
Tudi mi imamo radi svoje informacije. Radi imamo svoje podatke.
Sarah Jones
Judy je naša strokovnjakinja za pobudo Belt and Road Initiative (BRI) in geopolitična strokovnjakinja. Na njena spoznanja se zanašamo, ko preučujemo trende, zlasti na področju ciljnega usmerjanja. Včasih se pojavi nov cilj, ki nima pravega smisla. Ne ujema se z njihovimi dosedanjimi dejanji, zato ga posredujemo Judy, ki nam nato pove: »V tej državi poteka pomembno gospodarsko srečanje ali pogajanja o gradnji nove tovarne na tej lokaciji.«
Judy nam daje dragocene informacije – bistvene informacije – o tem, zakaj napadalci počnejo to, kar počnejo. Vsi znamo uporabljati Bingov prevajalnik in vsi znamo poiskati novice, a ko nekaj ni smiselno, nam lahko Judy pove: »Ta prevod dejansko pomeni to,« in to je lahko ključna razlika.
Za sledenje kitajskim napadalcem je potrebno kulturno znanje o tem, kako je strukturirana njihova vlada ter kako delujejo njihova podjetja in institucije. Judyjino delo pomaga razvozlati strukturo teh organizacij in nam pokaže, kako delujejo – kako služijo denar in sodelujejo s kitajsko vlado.
Judy Ng
Kot je dejala Sarah, gre za komunikacijo. Vedno klepetamo v aplikaciji Teams. Vedno delimo spoznanja, ki smo jih morda dobili iz telemetrije in so nam pomagala pri iskanju možnih zaključkov.
Judy Ng
V čem je moj trik? Veliko časa preživim na internetu in berem. Menim, da je ena od najbolj dragocenih stvari preprosto vedeti, kako uporabljati različne iskalnike.
Dobro se počutim v brskalniku Bing, pa tudi v brskalnikih Baidu in Yandex.
Razlog za to je, da različni iskalniki zagotavljajo različne rezultate. Ne počnem nič posebnega, vendar vem, da moram iskati različne rezultate iz različnih virov, da lahko na njihovi podlagi analiziram podatke.
Vsi v ekipi so zelo dobri strokovnjaki. Vsakdo ima supermoči. Treba je le vedeti, koga vprašati. In super je, da delamo v ekipi, v kateri se vsi dobro počutijo, ko drug drugemu postavljajo vprašanja, kajne? Vedno pravimo, da ni neumnih vprašanj.
Sarah Jones
To mesto poganjajo neumna vprašanja.
Sarah Jones
Zdaj je pravi čas, da se začnete ukvarjati z varnostjo IT. Ko sem začela, ni bilo veliko tečajev, virov ali načinov raziskovanja. Zdaj obstajajo tudi dodiplomski in magistrski programi! Zdaj je veliko načinov, kako se lotiti tega poklica. Da, obstajajo poti, ki lahko stanejo veliko denarja, vendar obstajajo tudi cenejše in brezplačne poti.
Enega od brezplačnih virov za varnostno usposabljanje sta razvila Simeon Kakpovi in Greg Schloemer, naša sodelavca v oddelku Obveščanje o grožnjah Microsoft. S tem orodjem, imenovanim KC7, lahko vsakdo vstopi v varnost IT, razume dogodke v omrežju in gostitelju ter išče napadalce.
Zdaj se je mogoče izpostaviti tudi različnim temam. Ko sem začenjala, ste morali delati v podjetju z večmilijonskim proračunom, da ste si lahko privoščili ta orodja. Za mnoge je bila to prevelika ovira. Zdaj lahko vzorce zlonamerne programske opreme analizira vsakdo. Včasih je bilo težko najti vzorce zlonamerne programske opreme in posnetke paketov. Vendar se te ovire odpravljajo. Danes je na voljo veliko brezplačnih in spletnih orodij ter virov, kjer se lahko učite sami in v svojem tempu.
Svetujem vam, da določite nišo, ki vas zanima. Želite raziskati zlonamerno programsko opremo? Vas zanima digitalna forenzika? Obveščanje o grožnjah? Osredotočite se na priljubljene teme, izkoristite javno dostopne vire in se iz njih naučite čim več.
Judy Ng
Najpomembnejše je biti radoveden, kajne? Poleg radovednosti morate dobro sodelovati z drugimi. Ne smete pozabiti, da je to ekipni šport – nihče ne more sam poskrbeti za kibernetsko varnost.
Pomembno je znati delati v skupini. Pomembno je biti radoveden in odprt za učenje. Dobro morate znati postavljati vprašanja in poiskati načine za sodelovanje s sodelavci.
Sarah Jones
To je vsekakor res. Rad bi poudaril, da ekipa Obveščanje o grožnjah Microsoft sodeluje s številnimi partnerskimi ekipami v Microsoftu. Pri razumevanju tega, kaj napadalci počnejo in zakaj to počnejo, se v veliki meri zanašamo na strokovno znanje svojih kolegov. Brez njih ne bi mogli opravljati svojega dela.
Spremljajte Microsoft