Na pierwszej linii frontu: rozszyfrowywanie taktyk i technik stosowanych przez chińskie źródła zagrożenia

Dużo zmienił wybuch epidemii COVID. Dla naszych klientów oznaczało to bardzo duże zmiany. Z dnia na dzień wszyscy zostali zmuszeni do pozostania w domu, próbując dalej wykonywać swoje zadania. Wiele firm musiało całkowicie zmienić konfigurację swoich sieci, a pracownicy sposób wykonywania swojej pracy. Oczywiście widzieliśmy też odpowiednie reakcje ze strony źródeł zagrożenia.

Na przykład, kiedy po raz pierwszy wdrożono zasady pracy zdalnej, wiele organizacji musiało zapewnić pracownikom w wielu lokalizacjach dostęp do bardzo wrażliwych systemów oraz zasobów, które zazwyczaj nie byłyby dostępne poza siedzibami firm. Widzieliśmy więc źródła zagrożenia, które próbowały „zlać się z otoczeniem”, udając pracowników zdalnych, aby uzyskać dostęp do takich zasobów.

Kiedy wybuchła epidemia, konieczne było szybkie wdrożenie zasad dostępu do środowisk firmowych i niekiedy robiono to w pośpiechu, który uniemożliwiał zbadanie i rewizję najlepszych praktyk. Ponieważ wiele organizacji nie dokonało odpowiednich rewizji tych zasad od czasu ich pierwszego wdrożenia, widzimy dzisiaj wiele źródeł zagrożeń, które mają na celu wykrycie i wykorzystanie nieprawidłowych konfiguracji i luk w zabezpieczeniach.

Przesyłanie złośliwego oprogramowania na komputery stacjonarne nie już tak opłacalne, jak kiedyś. Obecnie zagrożenia polegają na pozyskiwaniu haseł i tokenów, które umożliwiają dostęp do wrażliwych systemów w taki sam sposób, jak robią to pracownicy zdalni.

Nie wiem, czy hakerzy też zaczęli pracować z domu, ale mamy dane, które oferują pewien wgląd w sposób, w jaki lock-down w czasie pandemii COVID wpłynął na ich działalność w miastach, w których przebywali. Niezależnie od ich miejsca pracy, pandemia miała też wpływ na ich życie – tak jak nas wszystkich.

Niekiedy widzieliśmy skutki zamykania całych miast w postaci braku aktywności z ich komputerów. Ciekawe było przyjrzeć się, jak wpływ takiego stopniowego zamykania całych dystryktów miast znajdował odzwierciedlenie w naszych danych.

Mam tu dobry przykład: jedno ze źródeł zagrożeń, jakie monitorujemy – Nylon Typhoon. W grudniu 2021 roku firma Microsoft podjęła działania wymierzone w tę grup, które zakłóciły infrastrukturę używaną do ataków na cele w Europie, Ameryce Łacińskiej i Centralnej.

Nasze analizy wskazują, że niektóre działania wymierzone w różne cele były prawdopodobnie powiązane z operacjami wywiadowczymi na zlecenie rządu chińskiego i miały na celu uzyskanie informacji o partnerach współpracujących z chińskim rządem na całym świecie w ramach inicjatywy Jeden pas i jedna droga (One Belt and Road Initiative – BRI). Wiemy, że chiński rząd sponsorował działanie grup hakerów w celach szpiegostwa tradycyjnego lub ekonomicznego i nasze analizy wskazują, że tamte działania prawdopodobnie służyły obu tym celom.

Nie mamy stuprocentowej pewności, ponieważ nasze dowody nie są jednoznaczne. Po 15 latach pracy mogę jasno stwierdzić, że zdobycie takich jednoznacznych dowodów jest bardzo trudne. Możemy jednak analizować zgromadzone informacje, umieścić je w odpowiednim kontekście i stwierdzić z określoną dozą pewnością, że coś jest prawdopodobną przyczyną pewnych działań.

Jednym z najważniejszych trendów jest przejście od ataków na użytkownikach końcowych za pomocą odpowiednio dostosowanego złośliwego oprogramowania na źródła zagrożeń, które balansują na krawędzi – koncentrują się na słabościach urządzeń brzegowych i stałości ataków. Takie urządzenia są atrakcyjnym celem, ponieważ w przypadku uzyskania dostępu odpowiednie programy mogą pozostawać na nich przez bardzo długi czas.

Niektórym grupom udało się naprawdę mocno zinfiltrować takie urządzenia. Mają też wgląd w działania ich oprogramowania wewnętrznego, orientują się więc w lukach w ich zabezpieczeniach i wiedzą, że wiele z nich nie posiada oprogramowania antywirusowego lub nie obsługuje logowania szczegółowego.

Oczywiście, hakerzy wiedzą, że programy takie, jak sieci VPN, to obecnie klucz do bram królestwa. W miarę wprowadzania przez organizacje nowych zabezpieczeń, takich jak tokeny, uwierzytelnianie wieloczynnikowe (MFA) i zasady uzyskiwania dostępu, hakerzy uczą się, jak je obchodzić.

Myślę, że wielu hakerów obecnie zdało sobie sprawę, że jeśli utrzymają odpowiednią stałość ataków przez sieci VPN, tak naprawdę nie muszą już stosować złośliwego oprogramowania. Mogą zapewnić sobie dostęp, który pozwala na zalogowanie się w sposób, w jaki robi to zwykły użytkownik.

Zasadniczo przyznają oni sobie „super-moce” w sieci poprzez uzyskanie dostępu to tych urządzeń brzegowych.

Widzimy też trend, w którym grupy korzystają z takich rozwiązań, jak Shodan, Fofa lub innego rodzaju bazy danych do skanowania Internetu, katalogowania urządzeń i określania różnic poziomów poprawek.

Widzimy też grupy samodzielnie skanujące większe obszarów Internetu w poszukiwaniu luk w zabezpieczeniach – czasami na podstawie przygotowanych wcześniej list celów. Kiedy coś uda się znaleźć, zazwyczaj wykonują kolejny skan, aby wykorzystać podatne urządzenie i później uzyskać dostęp do danej sieci.

Działania zależą od źródła zagrożenia. Niektóre źródła zajmują się jednym krajem. Taki mają wyznaczony cel, więc ich zainteresowanie ogranicza się do urządzeń w danym kraju. Inne źródła oddziałują na zestaw celów – skupiają się na wybranych sektorach gospodarki, np. finansowym, energetycznym lub produkcyjnym. Zazwyczaj posiadają listę celów opracowywaną przez kilka lat – firm, które ich interesują, więc znają doskonale używane przez nie urządzenia i oprogramowanie. Widzimy więc działania polegające na skanowaniu określonej wcześniej listy celów, aby sprawdzić, jakie poprawki zabezpieczeń zostały wdrożone, aby usunąć daną lukę w zabezpieczeniach.

Hakerzy potrafią działać bardzo precyzyjnie i metodycznie, ale czasami jest to po prostu kwestia szczęścia. Musimy pamiętać, że to ludzie. Czasem podczas skanowania lub gromadzenia danych dotyczących konkretnego komercyjnego produktu dopisze im szczęście i uda im się od razu uzyskać informacje, które pozwolą rozpocząć właściwą operację.

Zdecydowanie. Ale odpowiednie zabezpieczenia to więcej niż tylko wdrażanie poprawek. Najskuteczniejsze rozwiązanie brzmi prosto w teorii, ale jest bardzo trudne do zrealizowania w praktyce. Organizacje muszą rozumieć i inwentaryzować urządzenia, które są narażone na ataki przez Internet. Muszą rozumieć swoje zabezpieczenia obwodowe i pamiętać, że szczególnie trudne jest zapewnienie bezpieczeństwa środowisk hybrydowych, obejmujących urządzenia lokalne i pracujące w chmurze.

Nie da się ukryć, że zarządzanie urządzeniami nie jest prostą sprawą. Znaczącym krokiem w odpowiednim kierunku jest uzyskanie wiedzy w zakresie działających w sieci urządzeń oraz poziomów wdrożonych dla nich zabezpieczeń.

Orientacja w tym zakresie pozwala zwiększyć możliwości logowania i poszerzyć dane telemetryczne pochodzące z takich urządzeń. Ważny jest także odpowiedni stopień szczegółowości dzienników. Zapewnianie bezpieczeństwa tych urządzeń nie jest proste. Najlepszą strategią ich ochrony jest zalogowanie się i sprawdzenie, czy występują anomalie.

Chciałabym mieć szklaną kulę, która pozwoliłaby nam poznać zamiary chińskiego rządu, ale niestety nie ma takiej możliwości. Zauważamy jednak coś, co można określić jako apetyt na dostęp do informacji.

Każdy naród ma takie apetyty.

My też lubimy informacje i bardzo cenimy swoje dane.

Judy jest naszą specjalistką w dziedzinie inicjatywy BRI i w sprawach geopolitycznych. Często polegamy na jej analizach, kiedy przyglądamy się trendom, zwłaszcza w doborze celów ataku. Czasami jednak pojawiają się nowe cele, które wydają się nie mieć sensu – nie pasują na przykład do wcześniejszych działań danego źródła zagrożeń. W takim wypadku zwracamy się do Judy, która mówi na przykład: „A, w tym kraju odbywa się ważna konferencja ekonomiczna” albo „trwają właśnie negocjacje dotyczące budowy nowej fabryki w tej lokalizacji”.

Judy zapewnia nam cenny kontekst – bardzo ważny – dotyczący przyczyn działania danego źródła zagrożeń. Wszyscy umiemy korzystać z Bing Translate i wiemy, jak wyszukiwać informacje, ale kiedy wydają się one nie mieć sensu, Judy mówi nam: „Ten tekst tak naprawdę znaczy co innego” i to jest bardzo pomocne.

Tropienie chińskich źródeł zagrożeń wymaga znajomości kultury – wiedzy w zakresie struktury władzy oraz sposobów działania firm i instytucji. Judy jest w stanie wyjaśnić nam działanie takich organizacji i wytłumaczyć nam sposób ich działania – jak zarabiają pieniądze i na czym polegają ich interakcje z chińskim rządem.

Jak Sarah stwierdziła, wszystko opiera się na komunikacji. Jesteśmy stale aktywni na zespołowym czacie. Zawsze dzielimy się naszymi spostrzeżeniami, np. opartymi na danach telemetrycznych, a to pozwala nam sformułować pewne wnioski.

W moim przypadku to polega na długim przeglądaniu Internetu i czytaniu. Ale tak poważnie – myślę, że najważniejsza jest umiejętność korzystania z różnych wyszukiwarek.

Lubię korzystać z Bing, ale znam też Baidu i Yandex.

Wynika to z faktu, że różne wyszukiwarki podają różne informacje. Nie robię tu nic specjalnego – zawsze sprawdzam różne wyniki pojawiające się w różnych wyszukiwarkach i analizuję uzyskane dane.

Wszyscy w zespole mają dużą wiedzę. Każdy ma swoją „super-moc” – tylko trzeba wiedzieć, do kogo się zwrócić. Poza tym dodatkową korzyścią jest to, że pracujemy w zespole, w którym każdy ma dużą swobodę w zadawaniu pytań, prawda? Zawsze mówimy, że nie ma głupich pytań.

To miejsce jest napędzane głupimi pytaniami.

Teraz jest najlepszy czas na karierę w branży cyberbezpieczeństwa. Kiedy zaczynałam pracę, nie było dostępnych zbyt dużo szkoleń czy zasobów, które pozwalałyby eksplorować tę tematykę. Teraz za to mamy nawet programy studiów licencjackich i magisterskich! Dostępnych jest wiele sposobów na wejście w ten zawód. Prawdą jest, że wiele z tych sposobów kosztuje dość dużo, ale są tańsze i bezpłatne sposoby.

Jeden z takich darmowych zasobów szkoleniowych opracowali nasi koledzy z zespołu Microsoft Threat Intelligence, Simeon Kakpovi i Greg Schloemer. Jest to narzędzie o nazwie KC7, które w przystępny sposób prezentuje tematykę bezpieczeństwa informatycznego, objaśnia wydarzenia zachodzące w sieci i w urządzeniach hostów oraz przedstawia sposoby wyszukiwania źródeł zagrożeń.

Obecnie też można łatwo wstępnie zorientować się w różnych innych zagadnieniach. Kiedy zaczynałam pracę, aby mieć dostęp do takich narzędzi, trzeba było pracować w firmach operujących wielomilionowymi budżetami. Dla wielu chętnych była to bariera nie do przejścia. Obecnie każdy może analizować próbki złośliwego oprogramowania. Kiedyś niełatwo było zdobyć takie próbki czy pakiety. Te bariery już zanikają. Obecnie dostępnych jest wiele darmowych narzędzi i zasobów w sieci, które pozwalają samodzielnie i we własnym tempie zagłębić się w tę tematykę.

Osobiście radzę każdemu znaleźć własną niszę w obszarze, który budzi zainteresowanie. Chcesz zajmować się badaniem złośliwego oprogramowania, kryminalistyką cyfrową albo analizą zagrożeń? Skup się na najbardziej interesującym dla Ciebie elemencie i skorzystaj z licznych dostępnych publicznie zasobów, aby nauczyć się wszystkiego, co się da.

Najważniejsza jest ciekawość, prawda? Oprócz ciekawości ważne są także umiejętności pracy z innymi. Trzeba pamiętać, że ta branża to gra zespołowa – nikt nie jest stanie zajmować się cyberbezpieczeństwem w pojedynkę.

Ważna jest umiejętność pracy w zespole. Ważna jest ciekawość i chęć uczenia się. Potrzebna jest swoboda zadawania pytań i wypracowania metod współpracy z innymi członkami zespołu.

To rzeczywiście prawda. Chcę podkreślić, że zespół Microsoft Threat Intelligence współpracuje z wieloma partnerskimi zespołami w Microsoft. W znacznym stopniu polegamy na fachowej wiedzy naszych koleżanek i kolegów, aby zrozumieć, jak działają źródła zagrożeń i w jakim celu. Nie byłoby to możliwe bez nich.