Från frontlinjerna: Att avkoda en kinesisk hotaktörs taktiker och tekniker

I samband med Covid såg vi en hel del förändringar. För kunderna har världen ändrats. Plötsligt höll sig alla hemma och försökte göra sitt jobb hemifrån. Vi såg hur många företag tvingades konfigurera om sina nätverk helt och hållet, och vi såg hur anställda förändrade sitt sätt att arbeta, och naturligtvis såg vi hur våra hotaktörer svarade på allt detta.

När exempelvis policyerna för arbete hemifrån först lanserades tvingades många organisationer att möjliggöra åtkomst från många olika platser till en del mycket känsliga system och resurser som vanligtvis inte var tillgängliga utanför företagens kontor. Vi såg hur hotaktörer försökte smälta in i mängden och låtsas vara distansarbetare, så att de skulle få åtkomst till de här resurserna.

När Covid-pandemin först bröt ut var det viktigt att man snabbt etablerade åtkomstpolicyer för företagsmiljöerna, och ibland gjordes detta med sådan brådska att man inte hann ta fram lösningar efter bästa praxis. Eftersom många organisationer ännu inte har hunnit revidera dessa policyer, så kan vi idag se hur hotaktörer försöker upptäcka och utnyttja felkonfigurationer och sårbarheter.

Att infiltrera skrivbordsenheter med skadlig programvara är inte lika intressant längre. Nu handlar det om att skaffa lösenord och token som ger åtkomst till känsliga system på samma sätt som för fjärrarbetare.

Jag vet inte om hotaktörerna fick arbeta hemifrån, men vi har data som ger en del insikter om hur covid-avstängningarna påverkade deras aktivitet i de städer där de bodde. Oavsett var de arbetade, så påverkades deras liv – precis som alla andras.

Ibland kunde vi se hur utegångsförbud i städerna resulterade i en brist på aktivitet på deras datorer. Det var så intressant att se hur alla dessa distriktsomfattande avstängningar avspeglades i våra data.

Jag har ett bra exempel – Nylon Typhoon, som är en av de hotaktörer vi spårar. Microsoft vidtog åtgärder mot denna grupp i december 2021 och störde den infrastruktur som de använde för att rikta in sig på Europa, Latinamerika och Centralamerika.

Enligt vår bedömning bestod en del av den offerinriktade aktiviteten sannolikt av underrättelseinsamlingsoperationer som syftade till att ge insikter om de partner som är involverade i Kinas Belt and Road Initiative (BRI) för den kinesiska regeringens infrastrukturprojekt runt om i världen. Vi vet att kinesiska statligt sponsrade hotaktörer bedriver traditionellt spionage och ekonomiskt spionage, och vår bedömning är att denna aktivitet troligen sträckte sig över båda fälten.

Vi är inte 100 % säkra eftersom vi inte har tagit någon på bar gärning. Efter 15 år kan jag intyga att det verkligen är svårt att ta någon på bar gärning. Vad vi kan göra är dock att analysera information, sätta in den i ett sammanhang och säga: ”Enligt vår bedömning anser vi med ett stort mått av säkerhet att det är troligt av den här anledningen”.

En av de största trenderna handlar om att flytta fokus från användarens slutpunkter och anpassad skadlig programvara till aktörer som verkligen rör sig vid gränsen, och som koncentrerar sina resurser på att – att koncentrera resurserna på att exploatera gränsenheter och upprätthålla sin uthållighet. Dessa enheter är intressanta, därför att om någon skaffar sig åtkomst till dem kan de vistas där väldigt länge.

Vissa grupper har gjort imponerande intrång på dessa enheter. De vet hur deras inbyggda programvara fungerar. De vet vilka sårbarheter varje enhet har, och de vet att många av dessa enheter inte stöder antivirus eller granulär loggning.

Hotaktörerna vet naturligtvis att enheter som virtuella privata nätverk kan utgöra nycklarna till kungariket. När organisationer lägger till ytterligare lager av säkerhet som token, multifaktorautentisering (MFA) och åtkomstpolicyer, så utvecklar aktörerna smarta sätt att kringgå och ta sig igenom dessa försvar.

Jag tror att många aktörer har insett att om de kan upprätthålla långvarig uthållighet, t.ex. på en VPN-enhet, så behöver de egentligen inte distribuera skadlig programvara någonstans. Allt de behöver göra är att ge sig själva åtkomst så att de kan logga in som vilken användare som helst.

De gör i princip sig själva till ”gudar” i nätverken genom att kompromettera dessa gränsenheter.

Vi ser också en trend där hotaktörer använder Shodan, Fofa eller någon sorts databas som genomsöker Internet, katalogiserar enheter och identifierar olika korrigeringsnivåer.

Vi ser också hotaktörer som gör sina egna genomsökningar av stora delar av Internet – ibland från redan existerande mållistor – i jakt på saker som de kan exploatera. När de hittar något gör de en ny genomsökning om hur de ska kunna utnyttja enheten, och därefter återkommer de och infiltrerar nätverket.

Båda. Det beror på aktören. Vissa aktörer har ansvar för ett visst land. Det är deras bestämda mål. Så allt de bryr sig om är enheter i det landet. Men andra aktörer har funktionella mål, vilket innebär att de fokuserar på specifika sektorer som finans, energi eller tillverkning. De lär under flera år ha byggt upp en mållista med företag att fokusera på, och dessa aktörer vet exakt vilka enheter och vilka program som deras mål använder sig av. Så vi kan se att några aktörer genomsöker en fördefinierad mållista för att se om några av målobjekten har korrigerats för en viss sårbarhet.

Aktörerna kan vara väldigt målinriktade, metodiska och precisa, men ibland har de också tur. Vi får inte glömma bort att de bara är människor. När de kör sina genomsökningar eller hämtar data med en kommersiell produkt, så har de ibland bara tur och får rätt information direkt från början, vilket gör det lätt för dem att initiera sin operation.

Så är det definitivt. Men ett bra försvar är mer än bara korrigeringar. Den mest effektiva lösningen låter enkel men är väldigt svår i praktiken. Organisationerna måste ha insikt om problemet och inventera alla enheter som är anslutna till Internet. De måste veta hur deras nätverksperimetrar ser ut, och vi vet att det är en särskilt svår uppgift när det handlar om hybridmiljöer, som består av både molnet och lokala enheter.

Enhetshantering är inte lätt, och jag vill inte låtsas som att det är det, men att ha kännedom om enheterna i ditt nätverk – och korrigeringsnivåerna för var och en av dem – är ett första steg att ta.

När du väl vet vad det är du har, så kan du öka loggningskapaciteten och telemetrin från dessa enheter. Sträva efter kornighet i loggarna. De här enheterna är svåra att försvara. Det bästa man kan göra för att skydda nätverket i det här fallet är att logga och leta efter avvikelser

Jag önskar jag hade en kristallkula i vilken jag kunde se vilka planer den kinesiska regeringen har. Men det har jag tyvärr inte. Men vad vi kan se är förmodligen en önskan om åtkomst till information.

Alla nationer har samma önskan.

Vi uppskattar också information. Vi uppskattar våra data.

Judy är expert på geopolitik och vår expert på Belt and Road Initiative (BRI). Vi förlitar oss på hennes insikter när vi tittar på trender, särskilt när det gäller målinriktning. Ibland kan vi se hur ett nytt mål dyker upp som vi inte blir riktigt kloka på. Det ligger inte i linje med vad de har gjort tidigare. Då vänder vi oss till Judy, som säger något i stil med: ”Åh, det pågår ett viktigt ekonomiskt möte i det här landet, eller så pågår det förhandlingar kring byggandet av en ny fabrik på den här platsen”.

Judy förser oss med en kontext – den avgörande kontext som förklarar varför hotaktörerna gör som de gör. Vi vet alla hur man använder översättning i Bing, och vi vet alla hur man söker efter nyheter, men när det ändå inte blir begripligt kan Judy säga: "Okej, den översättningen betyder faktiskt det här" – och det kan vara vad som gör skillnaden.

Att spåra kinesiska hotaktörer kräver kunskap om deras kultur, hur deras regering är strukturerad och hur deras företag och institutioner fungerar. Judys arbete är till stor hjälp när vi försöker reda ut dessa organisationers struktur och det visar oss hur de fungerar – hur de tjänar pengar och interagerar med den kinesiska regeringen.

Som Sarah sa, så handlar det om kommunikation. Vi är alltid ute på Teams-chatten. Vi delar alltid med oss ​​av de insikter vi kan ha fått från telemetrin som hjälpte oss att arbeta mot en möjlig slutsats.

Min hemlighet? Mycket hängande ute på Internet och mycket läsande. Allvarligt talat, så tror jag att en av de mest värdefulla sakerna helt enkelt är att veta hur man ska använda olika sökmotorer.

Jag känner mig hemtam med Bing, men även med Baidu och Yandex.

Och anledningen till det är att olika sökmotorer ger olika resultat. Jag gör inte något speciellt, men jag vet hur jag ska leta efter olika resultat från olika källor, så att jag sedan kan analysera de data jag fått fram.

Alla i teamet är mycket kunniga. Alla har superkrafter – det är bara att veta vem man ska fråga. Och det är skönt att vi arbetar i ett team där alla känner att de kan ställa frågor till varandra, eller hur? Vi säger alltid att det inte finns några dumma frågor.

Det här är en miljö som utvecklas framåt tack vare dumma frågor.

Nu är det perfekta tillfället ta itu med IT-säkerhet. När jag först började fanns det inte många utbildningar, resurser eller sätt att utforska. Nu finns det universitetskurser och master-program! Nu finns det många sätt att komma in i yrket. Ja, det finns dyra alternativ, men även billiga och kostnadsfria.

En kostnadsfri säkerhetsutbildningsresurs har utvecklats av Simeon Kakpovi och Greg Schloemer, våra kolleger på Microsoft Threat Intelligence. Det här verktyget, som kallas KC7, gör det möjligt för alla att förkovra sig vad gäller IT-säkerhet, nätverk, värdevenemang och hotaktörsjakt.

Nu är det även möjligt att få alla typer av ämnen belysta. När jag var ny i yrket, krävdes det att man arbetade på ett företag som hade en budget på flera miljoner dollar om man skulle ha råd med dessa verktyg. För många var det en barriär att övervinna. Men nu kan vem som helst analysera prover på skadlig programvara. Det brukade vara svårt att hitta exempel på skadlig programvara och göra paketinspelningar. Men de barriärerna håller på att raseras. Idag finns det många gratisverktyg, onlineverktyg och resurser där du kan lära dig på egen hand och i din egen takt.

Mitt råd är att du tar reda på vilken nisch det är som stimulerar ditt intresse. Vill du forska kring skadlig programvara? Digital kriminalteknik? Hotinformation? Ta sikte på dina favoritämnen och dra nytta av de allmänt tillgängliga resurser som finns och lär dig så mycket du kan med hjälp av dem.

Och den viktigaste grejen är att vara nyfiken, eller hur? Förutom nyfikenheten måste du även kunna samarbeta med andra. Du måste komma ihåg att detta är en lagsport – ingen kan garantera cybersäkerheten på egen hand.

Det är viktigt att kunna arbeta i ett team. Det är viktigt att vara nyfiken och vara öppen för att lära sig nya saker. Du måste vara bekväm med att ställa frågor till dina teamkollegor och hitta sätt att arbeta med dem.

Det är verkligen sant. Jag vill betona att Microsoft Threat Intelligence arbetar med många partnerteam på Microsoft. Vi förlitar oss mycket på våra kollegors expertis när vi försöker förstå vad hotaktörerna gör och varför de gör det de gör. Vi skulle inte kunna göra vårt arbete utan dem.