Trên tiền tuyến: Giải mã chiến thuật và kỹ thuật của tác nhân đe dọa từ Trung Quốc

Khi có COVID, chúng ta đã thấy rất nhiều thay đổi. Đối với khách hàng, thế giới đã thay đổi. Đột nhiên, mọi người đều phải ở nhà và tìm cách tiếp tục công việc của mình. Chúng tôi thấy nhiều công ty phải cấu hình lại hoàn toàn các mạng và chúng tôi thấy nhân viên thay đổi cách làm việc, và tất nhiên, chúng tôi thấy các tác nhân đe dọa cũng phản ứng với tất cả những điều đó.

Ví dụ, khi lần đầu tiên thực hiện chính sách làm việc tại nhà, nhiều tổ chức phải cho phép truy cập từ nhiều địa điểm khác nhau vào một số hệ thống và tài nguyên rất nhạy cảm mà vốn thường không được truy cập ngoài văn phòng công ty. Chúng tôi thấy sau đó các tác nhân đe dọa cố gắng trà trộn, giả vờ là nhân viên làm việc từ xa và truy cập các tài nguyên này.

Khi COVID mới xảy ra, phải thiết lập nhanh cóng các chính sách truy cập trong môi trường doanh nghiệp và đôi khi không có thời gian nghiên cứu hay xem xét các phương pháp hay nhất. Vì rất nhiều tổ chức chưa xem lại các chính sách đó kể từ lần triển khai ban đầu nên chúng tôi thấy các tác nhân đe dọa ngày nay đang cố gắng tìm hiểu và khai thác các lỗ hổng, sai sót cấu hình.

Cài phần mềm gây hại vào máy tính để bàn không còn có giá trị nữa. Bây giờ điều giá trị là lấy được mật khẩu và mã thông báo để có thể truy cập các hệ thống nhạy cảm tương tự như các nhân viên làm việc từ xa đang làm.

Tôi không biết liệu các tác nhân đe dọa có làm việc tại nhà hay không, nhưng chúng tôi có dữ liệu chi tiết cho thấy tình trạng đóng cửa do COVID đã ảnh hưởng như thế nào đến hoạt động của họ tại các thành phố nơi họ sống. Cho dù họ làm việc ở đâu thì cuộc sống của họ đều bị ảnh hưởng—giống như tất cả mọi người.

Đôi khi chúng tôi có thể thấy tác động khi toàn thành phố đóng cửa vì thấy máy tính của họ không hoạt động. Tôi thấy thú vị khi dữ liệu của chúng tôi cho thấy tác động của tất cả các đợt đóng cửa toàn khu vực.

Tôi có một ví dụ điển hình, về một trong những tác nhân đe dọa mà chúng tôi theo dõi tên là Nylon Typhoon. Microsoft đã có động thái ngăn chặn nhóm này vào tháng 12 năm 2021 và làm gián đoạn hạ tầng mà nhóm này dùng để tấn công châu Âu, Mỹ Latinh và Trung Mỹ.

Theo đánh giá của chúng tôi, một số hoạt động bị nhằm vào có thể liên quan đến các hoạt động thu thập thông tin tình báo nhằm hiểu sâu về các đối tác tham gia Sáng kiến Vành đai và Con đường (BRI) của Trung Quốc liên quan các dự án hạ tầng của chính phủ Trung Quốc trên toàn cầu. Chúng tôi biết rằng những tác nhân đe dọa được nhà nước Trung Quốc bảo trợ đã tiến hành hoạt động gián điệp truyền thống và gián điệp kinh tế, và chúng tôi đánh giá hoạt động này có thể bao gồm cả hai.

Chúng tôi không chắc chắn 100% vì chúng tôi không có bằng chứng rõ ràng. Sau 15 năm, tôi có thể nói rằng rất khó tìm ra bằng chứng rõ ràng. Tuy nhiên, những gì chúng tôi có thể làm là phân tích thông tin, đưa ra bối cảnh và kết luận: "Với mức độ chắc chắn bằng này, chúng tôi đánh giá điều đó có thể xảy ra vì lý do này".

Một trong những xu hướng lớn nhất là chuyển trọng tâm từ thiết bị của người dùng và phần mềm gây hại tùy chỉnh sang các tác nhân mạo hiểm, tức là tập trung nguồn lực để khai thác các thiết bị biên và ở đó lâu dài. Những thiết bị này rất thú vị vì nếu ai đó có quyền truy cập, họ có thể ở đó một thời gian rất dài.

Một vài nhóm đã nghiên cứu rất sâu về các thiết bị này. Họ biết phần mềm cơ sở của mình hoạt động như thế nào. Họ biết các lỗ hổng của mỗi thiết bị và họ biết rằng nhiều thiết bị không hỗ trợ tính năng chống virus hoặc ghi nhật ký chi tiết.

Tất nhiên, các tác nhân đều biết các thiết bị như VPN mà giờ đây giống như chìa khóa thần kỳ. Khi các tổ chức bổ sung các lớp bảo mật như mã thông báo, xác thực đa yếu tố (MFA) và chính sách truy cập, các tác nhân ngày càng trở nên thông minh hơn để tìm cách vượt kiểm duyệt và vượt qua các biện pháp bảo vệ.

Tôi nghĩ nhiều tác nhân đã nhận ra rằng nếu họ có thể nằm vùng lâu dài thông qua một thiết bị như VPN thì họ không thực sự cần phải cài phần mềm gây hại ở bất cứ đâu. Họ chỉ cần cấp cho mình quyền truy cập để đăng nhập giả mạo bất kỳ người dùng nào.

Về cơ bản, họ tự tạo cho mình “chế độ thần kỳ GodMode” trên mạng bằng cách xâm phạm các thiết bị biên này.

Chúng tôi cũng nhận thấy xu hướng các tác nhân đang sử dụng Shodan, Fofa hoặc bất kỳ loại cơ sở dữ liệu nào để quét internet, lập danh mục thiết bị và xác định các cấp độ bản vá khác nhau.

Chúng tôi cũng thấy các tác nhân tự quét nhiều vùng rộng lớn trên Internet, đôi khi từ danh sách mục tiêu đã có sẵn, để tìm kiếm những thứ có thể khai thác được. Khi tìm thấy thứ gì đó, họ sẽ quét một lần nữa để thực sự khai thác thiết bị và sau đó quay lại để truy cập mạng.

Cả hai. Điều này phụ thuộc vào tác nhân. Một số tác nhân phục vụ một quốc gia nhất định nào đó. Đó là mục tiêu đã định của họ nên tất cả những gì họ quan tâm là các thiết bị ở quốc gia đó. Nhưng các tác nhân khác có nhiều mục tiêu về chức năng, vì vậy họ sẽ tập trung vào các lĩnh vực cụ thể như tài chính, năng lượng hoặc sản xuất. Họ sẽ xây dựng danh sách mục tiêu trong nhiều năm về các công ty mà họ quan tâm và những tác nhân này biết chính xác về những thiết bị và phần mềm mà mục tiêu của họ đang sử dụng. Vì vậy, chúng tôi thấy một số tác nhân quét danh sách mục tiêu đã được xác định trước để xem liệu các mục tiêu đã vá một lỗ hổng nào đó hay chưa.

Các tác nhân có thể làm việc rất cụ thể, có phương pháp và chính xác, nhưng đôi khi họ cũng gặp may mắn. Chúng ta phải nhớ họ cũng là người thôi. Khi họ quét hoặc lấy dữ liệu bằng một sản phẩm thương mại, đôi khi họ gặp may và lấy được bộ thông tin phù hợp ngay từ đầu để giúp bắt đầu hoạt động.

Chắc chắn là như vậy. Nhưng cách phòng thủ đúng đắn không chỉ là vá lỗi. Giải pháp hiệu quả nhất nghe có vẻ đơn giản nhưng lại rất khó thực hiện. Các tổ chức phải hiểu và kiểm kê các thiết bị kết nối internet của mình. Họ phải biết phạm vi mạng của mình trông như thế nào và chúng tôi biết rằng điều đó đặc biệt khó thực hiện trong môi trường có cả thiết bị đám mây và thiết bị tại chỗ.

Quản lý thiết bị không hề dễ dàng và tôi không muốn giả vờ là nó dễ dàng, nhưng hiểu về các thiết bị trên mạng của mình và cấp độ bản vá cho từng thiết bị đó là bước đầu tiên ta có thể thực hiện.

Khi ta biết mình có những gì, ta có thể tăng khả năng ghi nhật ký và đo từ xa từ các thiết bị đó. Cố gắng ghi nhật ký thật chi tiết. Những thiết bị này rất khó bảo vệ. Cách tốt nhất để bảo vệ các thiết bị này là ghi nhật ký và tìm kiếm các điểm bất thường

Tôi ước mình có thể biết về kế hoạch của chính phủ Trung Quốc. Thật không may là tôi không biết. Nhưng những gì chúng ta có thể thấy có lẽ là khao khát tiếp cận thông tin.

Quốc gia nào cũng đều khao khát điều này.

Chúng tôi cũng thích thông tin của chúng tôi nữa. Chúng tôi thích dữ liệu của chúng tôi.

Judy là chuyên gia về Sáng kiến Vành đai và Con đường (BRI) và chuyên gia địa chính trị. Chúng tôi dựa vào những thông tin chuyên sâu của bà khi xem xét các xu hướng, đặc biệt là khi nhắm mục tiêu. Đôi khi chúng ta sẽ thấy một mục tiêu mới xuất hiện và nó thực sự khó hiểu. Nó không giống những gì họ đã làm trước đây và vì vậy chúng tôi sẽ đưa nó cho Judy. Judy sẽ nói với chúng tôi: "À, nước này đang có một cuộc họp kinh tế quan trọng hoặc đang đàm phán về việc xây dựng một nhà máy mới ở vị trí này".

Judy cung cấp cho chúng tôi bối cảnh có giá trị, bối cảnh thiết yếu để hiểu lý do tại sao những tác nhân đe dọa lại đang hành động như vậy. Chúng ta đều biết cách dùng Bing Translate và chúng ta đều biết cách tra cứu tin tức, nhưng khi có điều gì đó khó hiểu, Judy có thể nói với chúng ta: "À, thực ra bản dịch đó có nghĩa như thế này" và đó có thể là điều khác biệt.

Khi theo dõi các tác nhân đe dọa Trung Quốc, cần có kiến thức văn hóa về cơ cấu chính phủ của họ cũng như cách hoạt động của các công ty và tổ chức của họ. Công việc của Judy giúp phân tích cơ cấu của các tổ chức này và cho chúng ta biết họ hoạt động thế nào, tức là họ kiếm tiền và tương tác với chính phủ Trung Quốc thế nào.

Như Sarah đã nói, đó là trao đổi thông tin. Chúng tôi luôn hoạt động trong Teams Chat. Chúng tôi luôn chia sẻ những thông tin chuyên sâu mà chúng tôi có thể đã thấy nhờ dữ liệu đo từ xa, điều giúp chúng tôi hướng tới một kết luận khả thi.

Tôi làm như thế nào à? Dành nhiều thời gian lướt web và đọc. Tuy nhiên, thật ra, tôi nghĩ một trong những điều có giá trị nhất chỉ đơn giản là biết cách dùng các công cụ tìm kiếm khác nhau.

Tôi quen dùng Bing cũng như Baidu và Yandex.

Và đó là vì các công cụ tìm kiếm khác nhau lại cho ra kết quả khác nhau. Tôi không làm gì đặc biệt nhưng tôi biết tìm kiếm các kết quả khác nhau từ các nguồn khác nhau để có thể phân tích dữ liệu từ đó.

Ai trong nhóm cũng đều rất hiểu biết. Ai cũng có siêu năng lực chỉ cần biết phải hỏi ai. Và tôi thấy tuyệt vời khi chúng ta làm việc trong một nhóm mà ai cũng có thể thoải mái hỏi nhau, đúng không nhỉ? Chúng tôi luôn nói rằng không có câu hỏi nào là ngớ ngẩn cả.

Nơi này tồn tại là nhờ những câu hỏi ngớ ngẩn.

Bây giờ là thời điểm hoàn hảo để tham gia vào lĩnh vực bảo mật CNTT. Khi tôi mới bắt đầu, không có nhiều lớp học, tài nguyên hay cách thức để tìm hiểu. Bây giờ có chương trình đại học và thạc sĩ! Hiện nay có nhiều cách để vào nghề này. Đúng, có những cách có thể tốn rất nhiều tiền, nhưng cũng có những cách rẻ hơn và miễn phí.

Có một tài nguyên đào tạo miễn phí về bảo mật do Simeon Kakpovi và Greg Schloemer phát triển. Họ là đồng nghiệp của chúng tôi tại Microsoft Threat Intelligence. Công cụ này, được gọi là KC7, giúp mọi người có thể tìm hiểu về bảo mật CNTT, hiểu về mạng và tổ chức sự kiện cũng như tìm kiếm tác nhân.

Bây giờ ta cũng có thể tiếp xúc với tất cả các loại chủ đề khác nhau. Hồi tôi mới bắt đầu, cần phải làm việc tại một công ty có ngân sách hàng triệu đô la thì mới đủ tiền mua những công cụ này. Đối với nhiều người, đó là một rào cản khi muốn tìm hiểu về nghề này. Nhưng giờ đây, ai cũng có thể phân tích các mẫu phần mềm gây hại. Trước đây rất khó tìm các mẫu phần mềm gây hại và chương trình nghe trộm gói tin. Nhưng những rào cản đó đang dần không còn. Ngày nay, có rất nhiều công cụ và tài nguyên miễn phí trực tuyến, nơi ta có thể tự học theo khả năng.

Lời khuyên của tôi là hãy tìm ra lĩnh vực thích hợp mà bạn quan tâm. Bạn muốn nghiên cứu về phần mềm gây hại? Hay điều tra số? Hay thông tin về mối đe dọa? Hãy tập trung vào các chủ đề bạn yêu thích và tận dụng các tài nguyên có sẵn công khai, tìm hiểu nhiều nhất có thể dựa trên những tài nguyên đó.

Điều quan trọng nhất là phải tò mò, phải không ạ? Ngoài sự tò mò, bạn phải biết phối hợp với người khác. Bạn phải nhớ đây là công việc nhóm, không ai có thể một mình đảm trách an ninh mạng.

Tôi thấy điều quan trọng là khả năng làm việc theo nhóm. Tôi thấy điều quan trọng là phải tò mò và sẵn sàng học hỏi. Bạn phải thoải mái hỏi và tìm cách phối hợp với đồng nghiệp.

Chắc chắn rồi, chắc chắn đúng như vậy. Tôi muốn nhấn mạnh rằng Microsoft Threat Intelligence phối hợp với rất nhiều nhóm đối tác tại Microsoft. Chúng tôi chủ yếu dựa vào kiến thức chuyên môn của các đồng nghiệp để hiểu những gì các tác nhân đang làm và lý do họ làm việc đó. Chúng tôi không thể làm công việc của mình nếu không có họ.