Шеррод ДеГріппо, експертка з аналізу загроз із більше ніж 19-річним досвідом роботи в галузі, докладно розповідає про кібершпигунство й сучасні тенденції у світі загроз. У цьому їй допомагають дві спеціалістки з китайських джерел кіберзагроз Джуді Ин і Сара Джонс. Разом вони обговорюють проблеми, з якими стикаються фахівці із захисту взаємопов’язаного світу. Приготуйтеся почути невідомі факти й цікаві думки від кібердетективок, які займаються дослідженням цифрового поля битви Китаю.
Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Інформація від працівників, що взаємодіють із клієнтами: аналіз методів і стратегій китайських джерел загроз
Сара Джонс
Я як старша аналітикиня загроз досліджую китайські кіберугрупування, які спеціалізуються на APT (удосконалених постійних загрозах) і спонсоруються урядом цієї країни. Я відстежую розробку шкідливого програмного забезпечення в динаміці та досліджую їхні методи створення інфраструктури й ураження мереж жертв. Перш ніж приєднатися до команди з аналізу загроз Microsoft, я, крім китайських джерел загроз, також спеціалізувалася на іранських і російських кіберугрупуваннях.
Більшу частину свого часу (особливо на початку кар’єри) я працювала в Операційних центрах з інформаційної безпеки й займалася внутрішнім захистом урядових і корпоративних мереж.
Одна з переваг дослідження китайських кіберугрупувань – можливість відстежувати їх протягом тривалих періодів часу. Це дуже цікаво. Я можу спостерігати за розвитком угрупувань, про які знала ще 10 років тому.
Джуді Ин
Я також старша аналітикиня загроз. Крім того, я експертка з геополітичних питань. Протягом останніх 15 років своєї кар’єри я займаюся різнобічним дослідженням китайських джерел загроз. Я консультувала уряд США й стартапи, а також обіймала різні посади в американських компаніях і, звичайно, корпорації Майкрософт, у якій працюю з 2020 року.
Чому саме китайські джерела загроз? Тому що мені завжди було це цікаво. Завдяки цьому інтересу я могла допомагати колегам, які не розуміли певні нюанси китайської мови чи культури, отримувати всю необхідну контекстну інформацію.
Одним із перших запитань, яке мені поставили, було "Джуді, що таке meat chicken? Що це словосполучення означає в перекладі з китайської?"
Відповідь – ботнет. Meat chicken – це китайське сленгове слово, яке зловмисники використовували на онлайнових форумах для опису ботнетів або зомбі-мереж.
Джуді Ин
Я щодня роблю щось нове. Це захоплює. Корпорація Майкрософт отримує багато цікавих наборів даних,
які ви можете використовувати у своїй роботі. Вам завжди буде що відстежувати. Так і відбувається в нашій команді з аналізу китайських джерел загроз.
Якою б не була робота з відстеження, індивідуальною чи командною, нам усім цікаво, і ми шукаємо різні шляхи для її виконання.
Сара Джонс
Погоджуюся з Джуді. Щодня ми виконуємо нові завдання. Щодня я дізнаюся про нові технологічні продукти або програми, які намагаються використовувати зловмисники. Якщо я про них ніколи раніше не чула, то я читаю відповідну документацію. Зокрема, ідеться про RFC (запити на коментарі) для протоколів, оскільки зловмисники також певним способом їх використовують.
Те, над чим я працюю щодня, справді захоплює мене. Я дізнаюся про нові й нечувані раніше аспекти Інтернету та надолужую відповідні знання, щоб бути експертом у рішенні, яке намагаються використати зловмисники.
Сара Джонс
Після початку пандемії COVID-19 світ змінився для багатьох із нас. Клієнти – не виняток. Буквально за ніч усі перейшли на роботу з дому й намагалися продовжувати виконувати свої обов’язки. Багатьом компаніям довелося повністю переналаштувати мережі, а працівникам – перебудувати свою роботу. Зловмисники теж почали діяти.
Коли було вперше впроваджено політики роботи з дому, багатьом організаціям довелося надати доступ до певних делікатних систем і ресурсів, які до цього було заборонено використовувати за межами офісів, працівникам із багатьох різних розташувань. Зловмисники намагалися маскуватися під віддалених співробітників і в такий спосіб отримувати доступ до цих ресурсів.
Коли тільки почалася пандемія COVID-19, необхідно було швидко впровадити політики доступу до корпоративних середовищ. Тоді мало хто мав час дослідити й перевірити їх. Через це сьогодні зловмисники намагаються знайти у відповідних політиках уразливості й неправильні конфігурації та використати їх.
Шкідливе програмне забезпечення вже втратило свою актуальність. Тепер зловмисники отримують паролі й маркери, які забезпечують доступ до делікатних систем, так само, як і віддалені працівники.
Джуді Ин
Не знаю, чи зловмисникам також довелося працювати з дому. Однак у нас є певні аналітичні дані щодо того, як карантин через COVID-19 вплинув на їх діяльність у містах, де вони жили. Життя зловмисників, як і життя всіх нас, змінилися, хоч би де вони здійснювали свою діяльність.
Іноді це проявлялося відсутністю активності на їхніх комп’ютерах. Було дуже цікаво спостерігати за всім цим і отримувати відповідні дані.
Джуді Ин
Наведу чудовий приклад. Ми відстежуємо діяльність одного кіберугрупування, Nylon Typhoon. У 2021 році корпорація Майкрософт розгорнула операцію проти нього й зруйнувала інфраструктуру, яка використовувалася для враження користувачів із Європи, а також Латинської та Центральної Америки.
Згідно з нашими оцінками, деякі дії жертв, імовірно, були пов’язані з операціями зі збору розвідувальних даних щодо світових партнерів китайської ініціативи "Пояс і шлях" (BRI) з реалізації інфраструктурних проектів. Ми знаємо, що кіберзлочинці, спонсоровані урядом Китаю, ведуть як традиційне, так і економічне шпигунство.
Ми не впевнені в цьому на 100%, оскільки не маємо явних доказів. А зібрати їх не так і просто. Кажу вам як фахівець із 15-річним досвідом. Ми можемо проаналізувати інформацію, розглянути її в контексті й із тим чи іншим рівнем упевненості зробити висновки щодо причини виникнення ситуації.
Сара Джонс
Одна з найголовніших тенденцій – зміщення акценту з кінцевих точок і шкідливого програмного забезпечення на граничні пристрої й постійні загрози. Граничні пристрої дуже цікаві, оскільки дають зловмисникам змогу досить довго залишатися непоміченими в системах після отримання до них доступу.
Деякі угрупування досить добре вивчили принцип їх роботи й знають, як працюють мікропрограми. Зловмисникам відомо, які вразливості мають пристрої, а також те, що деякі з них не підтримують антивіруси й деталізовану модель входу в систему.
Крім того, кіберзлочинці розуміють, що мережі VPN – це ключ до всього. Організації впроваджують додаткові рівні захисту, зокрема маркери, багатофакторну автентифікацію (БФА) і політики доступу. Зловмисники зі свого боку шукають шляхи, як їх обійти.
Багато кіберзлочинців зрозуміли, що якщо вони можуть досить довго залишатися непоміченими в системах, використовуючи пристрої VPN, то їм не потрібно розгортати зловмисні програми. Вони можуть надавати собі доступ і входити в системи від імені інших користувачів.
Уразивши граничні пристрої, зловмисники можуть робити в мережі все, що їм заманеться.
Одні кіберзлочинці досить активно застосовують Shodan, Fofa й бази даних, які дають змогу сканувати мережі, каталогізувати пристрої та визначати різні рівні виправлень.
Інші самостійно сканують великі ділянки Інтернету (іноді використовуючи готові цільові списки) і в такий спосіб шукають уразливості. Якщо зловмисник знаходить щось, то виконує ще одне сканування, щоб фактично скористатися пристроєм, а потім отримує доступ до мережі.
Сара Джонс
Різні. Усе залежить від самого зловмисника. Одні діють у масштабах певної країни. Їхня групова ціль – пристрої відповідних користувачів. Інші діють у межах певних функціональних областей, зокрема фінансового, енергетичного або промислового сектора. Зловмисники мають створені за кілька років цільові списки компаній, інформацією про пристрої й програмне забезпечення яких вони володіють. Отже, деякі хакери сканують ці списки й відстежують, чи жертви виправили певні вразливості.
Джуді Ин
Кіберзлочинці можуть діяти направлено, методично й чітко. Однак вони також іноді зазнають невдач. Пам’ятайте, що вони також люди. Коли вони виконують сканування або захоплюють дані за допомогою стандартних продуктів, іноді їм щастить одразу натрапити на правильний набір інформації, яка дасть змогу ініціювати операцію.
Сара Джонс
Безперечно. Надійний захист – це більше, ніж просто виправлення вразливостей. Найефективніше рішення звучить просто, однак застосувати його на практиці дуже складно. Організації повинні розуміти принцип роботи пристроїв, які використовуються для роботи в мережі, і перевіряти їх. Вони мають знати, як виглядають периметри мережі. Проте це досить важко робити в гібридних середовищах, де використовуються як хмарні, так і локальні пристрої.
Керування пристроями – завдання не з легких. Однак знання про пристрої, які використовуються в мережі, і рівні їх виправлень, – перший крок, який ви можете зробити на шляху до забезпечення захисту у своїй організації.
Якщо ви знаєте все про свої пристрої, то можете оптимізувати можливості входу й телеметричні дані. Намагайтеся забезпечувати деталізацію в журналах. Мережеві пристрої важко захистити. Найкраще, що можуть зробити відповідні фахівці, – увійти в систему й знайти аномалії.
Джуді Ин
Я б дуже хотіла мати магічну кулю, за допомогою якої могла б передбачити плани уряду Китаю. На жаль, у мене її немає. Єдине, що я бачу, – бажання отримати доступ до інформації.
Воно є в кожної держави.
І ми – не виняток.
Сара Джонс
Джуді – експертка з ініціативи "Пояс і шлях" (BRI) та геополітичних питань. Ми використовуємо її аналітичні дані, коли визначаємо тенденції, особливо пов’язані з цільовими об’єктами зловмисників. Іноді ми виявляємо нові цільові об’єкти, однак не можемо встановити їх зв’язок із попередніми діями кіберзлочинців. У такому разі ми звертаємося по допомогу до Джуді, яка говорить нам щось на кшталт "у цій країні проходить важлива економічна зустріч, на якій обговорюється можливість побудови нового заводу в тому чи іншому місці".
Вона надає нам цінний і важливий контекст про причини вчинків зловмисників. Усі ми знаємо, як використовувати Bing Translate і шукати новини. Однак коли ми просто не можемо знайти логіку в діях, Джуді розтлумачує нам їх. Тоді все стає на свої місця.
Відстеження китайських зловмисників вимагає знань щодо структури уряду цієї країни й того, як працюють її компанії та установи. Джуді допомагає нам зрозуміти структуру відповідних організацій і те, як вони функціонують, зокрема як заробляють гроші й взаємодіють із китайським урядом.
Джуді Ин
Як сказала Сара, це комунікація. Ми активно переписуємося в чаті Teams і ділимось аналітичними даними, які отримали із систем телеметрії і які допомогли нам дійти певного висновку.
Джуді Ин
Мій секрет? Багато часу проводити в Інтернеті й читати. Я думаю, одна з найцінніших речей, яка може допомогти в роботі, – знання того, як використовувати різні пошукові системи.
Я чудово володію Bing, Baidu і Yandex.
Ці системи забезпечують різні пошукові результати. Нічого особливого. Я просто отримую різні результати з різних джерел і аналізую їх.
Усі учасники нашої команди дуже обізнані й кваліфіковані. У кожного є свої сильні сторони. Просто потрібно знати, у кого що запитувати. Чудово працювати в команді, де всі можуть без проблем ставити одне одному запитання. Ми завжди кажемо, що безглуздих запитань не існує.
Сара Джонс
Без цих запитань не було б результату.
Сара Джонс
Саме час поговорити про IT-безпеку. Коли я тільки починала, було не так багато можливостей для навчання (як-от занять або ресурсів). Сьогодні існують спеціальні програми для початківців і досвідчених фахівців. Є багато можливостей реалізувати себе в професії. Звичайно, деякі ресурси з навчання кібербезпеці можуть коштувати дорого, однак є й такі, які можна отримати за зниженою ціною або безкоштовно.
Один із них було розроблено Сімеоном Какпові й Грегом Шломером, нашими колегами з Центру аналізу загроз Microsoft. Цей інструмент, KC7, дає всім охочим змогу дізнатися більше про IT-безпеку, мережеві й хостингові події, а також про відстеження зловмисників.
Сьогодні можна отримувати доступ до ресурсів для вивчення різних тем. Коли я тільки починала свою кар’єру, потрібно було працювати в компанії з багатомільйонним бюджетом, щоб дозволити собі такі інструменти. Для багатьох це було перепоною на шляху до реалізації себе в професії. Сьогодні ж усі можуть аналізувати зразки шкідливого програмного забезпечення й захоплення пакетів, які раніше було досить важко знайти. Перепони поступово зникають. Зараз є багато безкоштовних онлайнових інструментів і ресурсів, які дають змогу навчатися самостійно й у бажаному темпі.
Варто лише визначитися з областю, яка найбільше цікавить вас. Дослідження шкідливого програмного забезпечення. Цифрова криміналістика. Аналіз кіберзагроз. Виберіть теми, які найбільше цікавлять вас, скористайтеся загальнодоступними ресурсами й навчайтеся.
Джуді Ин
Найважливіше – мати бажання тягнутися до знань. Крім того, потрібно вміти співпрацювати з іншими людьми. Пам’ятайте, що кібербезпека – це командний, а не індивідуальний вид спорту.
Важливо вміти працювати в команді, мати бажання вчитися й бути відкритим до нових знань. Ви маєте не боятися ставити запитання й шукати способи ефективної взаємодії з колегами.
Сара Джонс
Безсумнівно. Хочу наголосити, що наша команда з аналізу загроз також співпрацює з багатьма іншими командами корпорації Майкрософт. Знання й досвід наших колег допомагають нам зрозуміти, що саме роблять зловмисники та чому. Без них це було б неможливо.
Підпишіться на Microsoft