ผู้อยู่แนวหน้า: การถอดรหัสกลยุทธ์และเทคนิคของผู้ดำเนินการภัยคุกคามของจีน

โควิดทำให้เราเห็นการเปลี่ยนแปลงมากมาย สำหรับลูกค้า โลกได้เปลี่ยนไปแล้ว ทันใดนั้น ทุกคนกลับบ้านและพยายามทำงานของตนต่อไปที่บ้าน เราได้เห็นบริษัทจำนวนมากต้องจัดวางเครือข่ายของตนใหม่ทั้งหมด และเราได้เห็นว่าพนักงานเปลี่ยนวิธีการทำงาน และแน่นอนว่า เราได้เห็นผู้ดำเนินการภัยคุกคามของเราตอบสนองต่อสิ่งเหล่านั้นทั้งหมด

ตัวอย่างเช่น เมื่อมีการใช้นโยบายการทำงานจากบ้านเป็นครั้งแรก องค์กรต่างๆ จำนวนมากจำเป็นต้องเปิดใช้งานการเข้าถึงข้อมูลจากสถานที่ต่างๆ จำนวนมาก ไปยังระบบและทรัพยากรที่ละเอียดอ่อนมากซึ่งปกติแล้วไม่มีให้บริการนอกสำนักงานของบริษัท แล้วเราได้เห็นผู้ดำเนินการภัยคุกคามแฝงตัวเข้ากับความวุ่นวายนั้น แกล้งทำเป็นพนักงานที่ทำงานจากระยะไกล และเข้าถึงทรัพยากรเหล่านี้

เมื่อโควิดเกิดขึ้นในช่วงแรกๆ บริษัทต่างๆ ต้องรีบกำหนดนโยบายการเข้าถึงสภาพแวดล้อมขององค์กรอย่างรวดเร็ว และบางครั้งก็ทำโดยไม่มีเวลาศึกษาและทบทวนแนวทางปฏิบัติที่ดีที่สุดเสียก่อน เนื่องจากองค์กรจำนวนมากไม่ได้ทบทวนนโยบายเหล่านั้นอีกครั้งตั้งแต่การเปิดใช้ครั้งแรก เราจึงเห็นผู้ดำเนินการภัยคุกคามในปัจจุบันพยายามค้นหาและใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ต่างๆ

การใส่มัลแวร์บนเดสก์ท็อปไม่มีคุณค่าอีกต่อไป ตอนนี้เป็นเรื่องเกี่ยวกับการขโมยรหัสผ่านและโทเค็นที่ช่วยให้สามารถเข้าถึงระบบที่ละเอียดอ่อนได้ในลักษณะเดียวกับที่พนักงานทำงานจากระยะไกลทำ

ฉันไม่รู้ว่าผู้ดำเนินการภัยคุกคามต้องทำงานจากที่บ้านหรือไม่ แต่เรามีข้อมูลที่ให้ข้อมูลเชิงลึกว่าการปิดประเทศเนื่องจากโควิดส่งผลกระทบต่อกิจกรรมของพวกเขาในเมืองที่พวกเขาอาศัยอยู่อย่างไร ไม่ว่าพวกเขาจะทำงานของตนจากที่ไหนก็ตาม ชีวิตของพวกเขาก็ได้รับผลกระทบเช่นเดียวกับทุกคน

บางครั้งเราอาจเห็นผลกระทบของการปิดเมืองจากการขาดกิจกรรมบนคอมพิวเตอร์ของผู้ดำเนินการ เป็นเรื่องน่าสนใจมากที่ได้เห็นผลกระทบของการปิดเมืองในข้อมูลของเรา

ฉันมีตัวอย่างที่ดีรายหนึ่ง หนึ่งในผู้ดำเนินการภัยคุกคามที่เราติดตามคือ Nylon Typhoon Microsoft ดำเนินการกับกลุ่มนี้ในเดือนธันวาคม 2021 และขัดขวางโครงสร้างพื้นฐานที่ใช้เพื่อกำหนดเป้าหมายไปยังยุโรป ละตินอเมริกา และอเมริกากลาง

ในการประเมินของเรา กิจกรรมของเหยื่อบางส่วนอาจเกี่ยวข้องกับการดำเนินการรวบรวมข่าวกรองที่มีจุดมุ่งหมายเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับพันธมิตรที่เกี่ยวข้องกับข้อริเริ่มสายแถบและเส้นทาง (Belt and Road Initiative - BRI) ของจีน สำหรับโครงการโครงสร้างพื้นฐานที่ดำเนินการโดยรัฐบาลจีนทั่วโลก เรารู้ว่าผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐจีนดำเนินการจารกรรมแบบดั้งเดิมและการจารกรรมทางเศรษฐกิจ และการประเมินของเราก็คือ กิจกรรมนี้น่าจะครอบคลุมทั้งสองอย่าง

เราไม่แน่ใจ 100% เพราะเราไม่มีหลักฐาน หลังจากทำงานด้านนี้มา 15 ปี บอกเลยว่าการหาหลักฐานเป็นเรื่องยากจริงๆ สิ่งที่เราทำได้คือวิเคราะห์ข้อมูล หาบริบทมาประกอบ แล้วพูดว่า "เราประเมินด้วยระดับความเชื่อมั่นนี้ ซึ่งเราคิดว่าน่าจะเป็นไปได้ด้วยเหตุนี้"

แนวโน้มที่มากที่สุดประการหนึ่งเกี่ยวข้องกับการเปลี่ยนการมุ่งเน้นจากปลายทางของผู้ใช้และมัลแวร์แบบกำหนดเองไปยังผู้ดำเนินการที่ฝังตัวอยู่ที่ขอบอย่างแท้จริง โดยเน้นทรัพยากรไปที่การแสวงประโยชน์จากอุปกรณ์ต่างๆ ที่ขอบและทุ่มความพยายามที่นั่นตลอดเวลา อุปกรณ์เหล่านี้น่าสนใจ เพราะถ้ามีคนเข้าถึงได้ พวกเขาจะฝังตัวอยู่ที่นั่นได้นานมาก

บางกลุ่มได้เจาะลึกอุปกรณ์เหล่านี้ได้อย่างน่าประทับใจ พวกเขารู้ดีว่าเฟิร์มแวร์ทำงานอย่างไร พวกเขารู้ถึงช่องโหว่ที่แต่ละอุปกรณ์มี และรู้ว่าอุปกรณ์จำนวนมากไม่รองรับการป้องกันไวรัสหรือการบันทึกเหตุการณ์แบบละเอียด

แน่นอนว่าผู้ดำเนินการภัยคุกคามรู้ดีว่าอุปกรณ์อย่าง VPN เป็นเหมือนกุญแจสู่อาณาจักรอันกว้างใหญ่ ในขณะที่องค์กรเพิ่มชั้นการรักษาความปลอดภัย เช่น โทเค็น การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) และนโยบายการเข้าถึง ผู้ดำเนินการก็เริ่มฉลาดที่จะหลบเลี่ยงและหลุดลอดแนวการป้องกันเข้าไปได้

ฉันคิดว่าผู้ดำเนินการหลายคนตระหนักดีว่าหากพวกเขาสามารถรักษาความพยายามในการโจมตีในระยะยาวผ่านอุปกรณ์เช่น VPN ได้ พวกเขาก็ไม่จำเป็นต้องใช้มัลแวร์ใดๆ พวกเขาสามารถให้สิทธิ์การเข้าถึงแก่ตนเองเพื่อให้พวกเขาเข้าสู่ระบบในฐานะผู้ใช้คนใดก็ได้

ทำนองเดียวกันกับอนุญาตให้ตัวเองมี "GodMode" (Control Panel) ของเครือข่ายนั้นโดยการโจมตีอุปกรณ์ขอบเหล่านี้

นอกจากนี้เรายังเห็นแนวโน้มที่ผู้ดำเนินการใช้ Shodan, Fofa หรือฐานข้อมูลประเภทใดก็ตามที่สแกนอินเทอร์เน็ต อุปกรณ์แค็ตตาล็อก และระบุระดับแพตช์ต่างๆ

นอกจากนี้เรายังเห็นผู้ดำเนินการทำการสแกนอินเทอร์เน็ตจำนวนมากด้วยตัวเอง บางครั้งจากรายการเป้าหมายที่มีอยู่ เพื่อค้นหาสิ่งที่สามารถแสวงหาประโยชน์ได้ เมื่อพวกเขาพบบางสิ่งบางอย่าง พวกเขาจะสแกนอีกครั้งเพื่อใช้ประโยชน์จากอุปกรณ์นั้น จากนั้นจึงกลับมาอีกครั้งเพื่อเข้าถึงเครือข่าย

ทั้งสองอย่าง ขึ้นอยู่กับผู้ดำเนินการนั้น ผู้ดำเนินการบางคนต้องรับผิดชอบประเทศที่กำหนด นั่นคือเป้าหมายของพวกเขาถูกกำหนดไว้แล้ว ดังนั้น สิ่งที่พวกเขาสนใจก็คืออุปกรณ์ต่างๆ ในประเทศนั้น แต่ผู้ดำเนินการอื่นๆ มีชุดเป้าหมายด้านการทำงาน ดังนั้นพวกเขาจะมุ่งเน้นไปที่ภาคส่วนเฉพาะต่างๆ เช่น การเงิน พลังงาน หรือการผลิต พวกเขาได้สร้างรายการเป้าหมายต่างๆ ในช่วงหลายปีของบริษัทที่พวกเขาสนใจ และผู้ดำเนินการเหล่านี้รู้แน่ชัดว่าอุปกรณ์และซอฟต์แวร์ใดที่เป้าหมายของพวกเขาใช้งานอยู่ ดังนั้น เราจึงสังเกตเห็นผู้ดำเนินการบางคนสแกนรายการเป้าหมายที่กำหนดไว้ล่วงหน้าเพื่อดูว่าเป้าหมายได้รับโปรแกรมแก้ไขสำหรับช่องโหว่เฉพาะหรือไม่

ผู้ดำเนินการอาจกำหนดเป้าหมายได้ชัดเจน มีระเบียบวิธี และแม่นยำ แต่บางครั้งพวกเขาก็อาศัยโชคเช่นกัน อย่าลืมว่าพวกเขาก็เป็นมนุษย์เหมือนกัน เมื่อพวกเขาสแกนหรือขโมยข้อมูลโดยใช้ผลิตภัณฑ์เชิงพาณิชย์ บางครั้งพวกเขาโชคดีและได้รับชุดข้อมูลที่ต้องการตั้งแต่เริ่มต้น ช่วยให้เริ่มต้นการดำเนินการของตนได้

ใช่เลย แต่การป้องกันที่ถูกต้องเป็นมากกว่าการใช้โปรแกรมแก้ไข วิธีแก้ปัญหาที่มีประสิทธิภาพที่สุดฟังดูง่าย แต่ในทางปฏิบัติยากมาก องค์กรต้องทำความเข้าใจและจัดทำรายการอุปกรณ์ที่มีความเสี่ยงในอินเทอร์เน็ต พวกเขาต้องรู้ว่าขอบเขตเครือข่ายของตนเป็นอย่างไร และเรารู้ว่าเป็นเรื่องยากโดยเฉพาะในสภาพแวดล้อมแบบไฮบริดที่มีทั้งอุปกรณ์ระบบคลาวด์และอุปกรณ์ในองค์กร

การจัดการอุปกรณ์ไม่ใช่เรื่องง่าย และฉันไม่อยากแกล้งบอกว่าเป็นเรื่องง่าย แต่การรู้เกี่ยวกับอุปกรณ์บนเครือข่ายของคุณ รวมทั้งระดับแพตช์ของแต่ละอุปกรณ์ เป็นขั้นตอนแรกที่คุณสามารถทำได้

เมื่อคุณรู้ว่าคุณมีอะไรบ้าง คุณสามารถเพิ่มความสามารถในการบันทึกเหตุการณ์และการวัดและส่งข้อมูลทางไกลจากอุปกรณ์เหล่านั้นได้ พยายามให้มีรายละเอียดในรายการบันทึกเหตุการณ์ อุปกรณ์เหล่านี้ป้องกันได้ยาก ทางออกที่ดีที่สุดของผู้ป้องกันเครือข่ายในการปกป้องอุปกรณ์เหล่านี้คือการบันทึกเหตุการณ์และค้นหาความผิดปกติ

ฉันหวังว่าฉันจะมีลูกแก้ววิเศษที่สามารถมองเห็นว่ารัฐบาลจีนมีแผนอะไรบ้าง น่าเสียดายที่ไม่มี แต่สิ่งที่เราเห็นน่าจะเป็นความอยากในการเข้าถึงข้อมูล

ทุกประเทศมีความอยากนั้นอยู่แล้ว

เราก็ชอบข้อมูลของเราเหมือนกัน เราชอบข้อมูล

Judy เป็นผู้เชี่ยวชาญข้อริเริ่มสายแถบและเส้นทาง (Belt and Road Initiative - BRI) และผู้เชี่ยวชาญด้านภูมิรัฐศาสตร์ของเรา เราอาศัยข้อมูลเชิงลึกของเธอเมื่อเราต้องการดูแนวโน้ม โดยเฉพาะอย่างยิ่งในการกำหนดเป้าหมาย บางครั้งเราจะเห็นเป้าหมายใหม่เกิดขึ้น และมันไม่สมเหตุสมผล มันไม่สอดคล้องกับสิ่งที่พวกเขาเคยทำมาก่อน ดังนั้นเราจึงนำไปถาม Judy ซึ่งบอกกับเราว่า "อ๋อ มีการประชุมทางเศรษฐกิจที่สำคัญเกิดขึ้นในประเทศนี้ หรือมีการเจรจาเกี่ยวกับการก่อสร้างโรงงานแห่งใหม่ในทำเลนี้”

Judy ให้บริบทที่มีคุณค่า เป็นบริบทสำคัญ ว่าทำไมผู้ดำเนินการภัยคุกคามจึงทำสิ่งนั้นสิ่งนี้ เราทุกคนรู้วิธีใช้ Bing Translate และเราทุกคนรู้วิธีค้นหาเรื่องราวข่าวสาร แต่เมื่อบางสิ่งไม่สมเหตุสมผล Judy สามารถบอกเราว่า “จริงๆ แล้วคำแปลนั้นหมายอย่างนี้” และนั่นอาจมีความหมายแตกต่างกันอย่างสิ้นเชิง

การติดตามผู้ดำเนินการภัยคุกคามของจีนต้องอาศัยความรู้ทางวัฒนธรรมเกี่ยวกับวิธีการจัดโครงสร้างของรัฐบาลจีน ตลอดจนวิธีการดำเนินงานของบริษัทและสถาบันของจีน งานของ Judy ช่วยอธิบายโครงสร้างขององค์กรเหล่านี้ และช่วยให้เรารู้ว่าพวกเขาทำงานอย่างไร พวกเขาทำรายได้และปฏิสัมพันธ์กับรัฐบาลจีนอย่างไร

อย่างที่ Sarah พูด มันเป็นเรื่องการสื่อสาร เราอยู่ใน Teams Chat ตลอดเวลา เราแบ่งปันข้อมูลเชิงลึกที่เราเห็นจากการวัดและส่งข้อมูลทางไกลอยู่เสมอ ซึ่งช่วยให้เราดำเนินการเพื่อให้ได้ข้อสรุปที่เป็นไปได้

เคล็ดลับของฉันหรือ ใช้เวลาท่องบนอินเทอร์เน็ตและอ่านข้อมูลเป็นจำนวนมาก จริงๆ แล้ว ฉันคิดว่าสิ่งที่มีค่าที่สุดอย่างหนึ่งคือการรู้วิธีใช้โปรแกรมค้นหาต่างๆ

ฉันถนัดใช้ Bing และยังใช้ Baidu และ Yandex อีกด้วย

และนั่นเป็นเพราะโปรแกรมค้นหาที่แตกต่างกันให้ผลลัพธ์ที่แตกต่างกัน ฉันไม่ได้ทำอะไรเป็นพิเศษ แต่ฉันรู้ว่าจะต้องมองหาผลลัพธ์ที่แตกต่างจากแหล่งต่างๆ เพื่อที่ฉันจะได้วิเคราะห์ข้อมูลจากที่นั่นได้

ทุกคนในทีมมีความรู้มาก ทุกคนมีพลังวิเศษ เพียงแค่รู้ว่าจะถามใครเท่านั้น และเป็นเรื่องดีที่เราทำงานในทีมที่ทุกคนสบายใจที่จะถามคำถามกัน ใช่ไหม เรามักจะบอกว่าไม่มีคำถามใดๆ ที่เป็นคำถามโง่ๆ

ที่นี่ถูกขับเคลื่อนด้วยคำถามโง่ๆ

ตอนนี้เป็นเวลาที่เหมาะสมที่สุดที่จะเข้าสู่วงการการรักษาความปลอดภัยด้านไอที ตอนที่ฉันเริ่มต้นครั้งแรก ยังไม่มีชั้นเรียนหรือแหล่งข้อมูลหรือวิธีค้นหาข้อมูลมากนัก ปัจจุบันนี้มีทั้งหลักสูตรระดับปริญญาตรีและปริญญาโท! ตอนนี้มีวิธีในการเข้าสู่อาชีพนี้หลายวิธี ใช่ มีเส้นทางที่อาจต้องใช้เงินจำนวนมาก แต่ก็มีเส้นทางที่ใช้จ่ายถูกกว่าและฟรีด้วยเช่นกัน

แหล่งข้อมูลการฝึกอบรมด้านความปลอดภัยฟรีหนึ่งแหล่งได้รับการพัฒนาโดย Simeon Kakpovi และ Greg Schhloemer ซึ่งเป็นเพื่อนร่วมงานของเราที่ Microsoft Threat Intelligence เครื่องมือนี้เรียกว่า  KC7 ช่วยให้ทุกคนสามารถเข้าถึงการรักษาความปลอดภัยด้านไอที การทำความเข้าใจเครือข่ายและกิจกรรมของโฮสต์ และการไล่ล่าผู้ดำเนินการ

ตอนนี้คุณสามารถเข้าถึงหัวข้อต่างๆ ทุกประเภทได้แล้วเช่นกัน ตอนที่ฉันเริ่มต้นธุรกิจครั้งแรก คุณต้องทำงานในบริษัทที่มีงบประมาณหลายล้านดอลลาร์เพื่อที่จะสามารถซื้อเครื่องมือเหล่านี้ได้ สำหรับหลายๆ คน นั่นเป็นอุปสรรคในการเข้าสู่วงการนี้ แต่ตอนนี้ ใครๆ ก็สามารถวิเคราะห์ตัวอย่างมัลแวร์ได้ เมื่อก่อน การค้นหาตัวอย่างมัลแวร์และการดักจับแพ็กเก็ตเป็นเรื่องยาก แต่อุปสรรคเหล่านั้นกำลังจะหายไป ปัจจุบัน มีเครื่องมือและแหล่งข้อมูลออนไลน์ฟรีมากมายที่คุณสามารถเรียนรู้ได้ด้วยตนเองตามที่ต้องการ

คำแนะนำของฉันคือ หาสิ่งที่กระตุ้นความสนใจของคุณ ด้านการวิจัยมัลแวร์ดีมั้ย หรือนิติเวชดิจิทัล หรือจะเป็นข่าวกรองเกี่ยวกับภัยคุกคาม เน้นไปที่หัวข้อที่คุณชื่นชอบและใช้ประโยชน์จากแหล่งข้อมูลที่มีอยู่ทั่วไปและเรียนรู้ให้มากที่สุดเท่าที่จะทำได้จากสิ่งเหล่านั้น

สิ่งสำคัญที่สุดคือความอยากรู้อยากเห็น ใช่มั้ย นอกจากความอยากรู้อยากเห็นแล้ว คุณต้องทำงานร่วมกับผู้อื่นได้ดีด้วย คุณต้องจำไว้ว่านี่เป็นกีฬาประเภททีม ไม่มีใครสามารถทำเรื่องการรักษาความปลอดภัยทางไซเบอร์ได้เพียงลำพัง

สิ่งสำคัญคือต้องสามารถทำงานเป็นทีมได้ สิ่งสำคัญคือต้องอยากรู้อยากเห็นและเปิดกว้างต่อการเรียนรู้ คุณต้องถามคำถามได้อย่างสบายใจ และหาวิธีทำงานร่วมกับเพื่อนร่วมทีม

แน่นอน นั่นเป็นเรื่องจริง ฉันอยากจะเน้นย้ำว่า Microsoft Threat Intelligence ทำงานร่วมกับทีมคู่ค้าจำนวนมากที่ Microsoft เราอาศัยความเชี่ยวชาญของเพื่อนร่วมงานเป็นอย่างมากเพื่อช่วยให้เราเข้าใจว่าผู้ดำเนินการกำลังทำอะไรอยู่และทำไมพวกเขาถึงทำสิ่งนั้น เราไม่สามารถทำงานของเราได้หากไม่มีเพื่อนร่วมงานเหล่านั้น