Eesliinil: Hiina küberohustajate taktika ja tehnika lahtiseletamine

COVID-i saabumisega tuli ka palju muudatusi. Klientide jaoks oli maailm täielikult muutunud. Kõik juhtus üleöö ja inimesed pidid minema koju ning leidma viisi edasi töötamiseks. Paljud ettevõtted pidid oma võrgustikud täielikult ümber korraldama ja töötajad pidid muutma enda töö tegemise viise. Muidugi reageerisid kõigele sellele ka küberohustajad.

Näiteks kodust töötamise põhimõtte esmase kasutuselevõtu käigus pidid paljud ettevõtted tagama mitmest erinevast asukohast juurdepääsu väga delikaatsetele süsteemidele ja ressurssidele, mis polnud tavapäraselt väljaspool ettevõtte kontoreid kättesaadavad. Seejärel püüdsid küberohustajad teeselda kaugtöö tegijaid ja sellistesse tegevustesse sulanduda, et kõnealustele ressurssidele juurdepääsu omandada.

COVID-i saabumisega tuli kiiresti välja töötada ettevõtte keskkonna juurdepääsupõhimõtted. Vahel loodi need ilma eelnevat uurimistööd tegemata ja ilma parimate tavadega tutvumata. Kuna väga paljud ettevõtted ei ole kõnealuseid põhimõtteid pärast esmast kasutuselevõttu enam üle vaadanud, tegelevad küberohustajad nüüd väärkonfiguratsioonide ja nõrkuste avastamise ning ärakasutamisega.

Ründevara suunamine töölauale ei ole enam väga mõttekas. Nüüd on hinnas paroolide ja tõendite hankimine, mis tagavad kaugtöö tegijatele juurdepääsu delikaatsetele süsteemidele.

Ma ei ole kindel, kas küberohustajatel oli võimalik kodust töötada, kuid meil on andmeid selle kohta, et COVID-ist tingitud seisakud põhjustasid ka küberohustajate tegevuses katkestusi linnades, kus nad elavad. Sõltumata nende töö tegemise asukohast mõjutas olukord sarnaselt kõikide teiste inimeste eludele ka küberohustajate elu.

Mõnikord nägime, et terve linna sulgemine tõi kaasa tegevuse puudumise küberohustajate arvutites. Väga huvitav oli näha, kuidas tervete piirkondade sulgemine meie andmeid mõjutas.

Üks suurepärane näide meie jälgitava küberohustaja kohta on Nylon Typhoon. Microsoft asus kõnealuse rühmituse vastu tegutsema 2021. aasta detsembris ning asus häirima Euroopa, Ladina-Ameerika ja Kesk-Ameerika vastu suunatud taristut.

Meie hinnangul hõlmas ohvrite vastu suunatud tegevus tõenäoliselt teabe kogumist, mis oli mõeldud Hiina majandusvööndi ja maanteede algatuse Belt and Road Initiative (BRI) partnerite jaoks – algatus tegeleb valitsuse juhitud taristuprojektidega üle maailma. Teame, et Hiina valitsuse spondeeritud küberohustajad tegelevad traditsioonilise spionaaži ja majandusspionaažiga. Meie hinnangul aitas kõnealune tegevus mõlemale kaasa.

Otsese tõendusmaterjali puudumise tõttu ei saa me 100% kindlad olla. Enda 15 aasta pikkuse kogemuse põhjal võin öelda, et otsese tõendusmaterjali leidmine on tõeliselt raske. Siiski on meil võimalik andmeid analüüsida, lisada konteksti ja öelda: „Meie usaldusnivoo lubab arvata, et tõenäoliselt toimus see just sellisel põhjusel“.

Üks suurimaid trende on rõhuasetuse üleminek kasutaja lõpp-punktidelt ja kohandatud ründevaralt küberohustajate viimasel piiril tegutsemisele – nad on koondanud ressursid ääreseadmete ärakasutamisele ja järjepidevusele. Kõnealused seadmed on huvitavad seetõttu, et kui keegi omandab nendele juurdepääsu, võib seadmetesse väga kauaks pidama jääda.

Mõned rühmitused on suutnud selliseid seadmeid põhjalikult tundma õppida. Nad teavad, kuidas selliste seadmete püsivara töötab. Nad on kursis iga seadme nõrkusega ja sellega, et paljudes seadmetes ei kasuta viirustõrjeprogramme ega üksikasjalikku logimist.

Küberohustajad on muidugi kursis, et VPN-ile sarnased seadmed on nüüd esmaolulised. Ettevõtted on võtnud kasutusele turbekihid, näiteks tõendid, mitmikautentimise ja juurdepääsupõhimõtted, ning küberohustajad muutuvad möödahiilimise ja kaitsest läbimurdmise alal aina nutikamaks.

Arvan, et paljud küberohustajad on mõistnud, et kui neil on võimalik säilitada pikaajaline järjepidevus näiteks VPN-i abil, siis ei peagi nad enam ründetarkvara kasutama. Nad võivad lihtsalt omandada juurdepääsu ja sarnaselt teiste kasutajatega sisse logida.

Tänu ääreseadmetega manipuleerimisele tõusevad nad võrgus jumala staatusesse.

Samuti oleme tunnistanud järgmist trendi: küberohustajad kasutavad rakendusi nagu Shodan ja Fofa või ükskõik millist andmebaasi interneti, kataloogide ning seadmete skannimiseks, et tuvastada erinevad paikade tasemed.

Samuti näeme, et küberohustajad sooritavad internetis iseseisvaid laiaulatuslikke skannimisi, kasutades vahel olemasolevaid sihtloendeid, et leida ärakasutatavaid aspekte. Kui nad midagi leiavad, siis sooritavad nad veel ühe skannimise seadme kuritarvitamise eesmärgil ja naasevad seejärel hiljem, et võrgule juurde pääseda.

See tähendab mõlemat. Sõltub küberohustajast. Mõned küberohustajad vastutavad kindla riigi eest. Nad on keskendunud kindlale riigile ja neid huvitavad ainult selle riigi seadmed. Teistel küberohustajatel on funktsionaalsed sihtmärgid ning nemad keskenduvad kindlatele valdkondadele, näiteks rahandus-, energia- või tootmissektorile. Nad on koostanud oma eesmärkide loendi aastate jooksul huvipakkuvatest ettevõtetest ning küberohustajavad teavad täpselt, millised seadmeid ja tarkvara nende sihtmärgid kasutavad. Jälgisime küberohustajaid, kes skannisid eelnevalt määratletud sihtmärkide loendit, et näha, kas sihtmärkidel on kindla nõrkuse jaoks paikamist kasutatud.

Küberohustajad suudavad olla väga sihipärased, metoodilised ja täpsed, kuid vahel neil lihtsalt veab. Oluline on meeles pidada, et tegemist on siiski inimestega. Kui nad skannivad või hangivad kommertstoote kohta andmeid, siis vahel neil lihtsalt veab ja nad omandavad õiged andmed kohe algusest peale, mis omakorda aitab nende tegevust käivitada.

See on kindlasti tõsi. Samal ajal ei seisne õige kaitse ainult paikamises. Kõige tõhusam lahendus kõlab küll lihtsalt, kuid reaalsuses on seda väga keeruline rakendada. Ettevõtted peavad mõistma ja täpselt üle lugema kõik seadmed, mis on internetiga ühendatud. Ettevõtte peab täpselt tundma oma võrguperimeetreid – eriti raske on see hübriidkeskkondade puhul, kus kasutatakse nii pilvepõhiseid kui ka kohapealseid seadmeid.

Seadmete haldamine ei ole lihtne ja ma ei tahagi jätta muljet, et see on lihtne, kuid enda võrgu seadmete ning iga seadme paikamise taseme tundmine on esimene samm, millest alustada.

Pärast seda, kui olete kõige olemasolevaga kursis, saate suurendada logimise funktsionaalsust ja kõnealuste seadmete telemeetriat. Püüdke saavutada logide üksikasjalikkus. Kõnealuseid seadmeid on keeruline kaitsta. Võrgu kaitsja parim moodus kõnealuste seadmete kaitsmiseks on logimine ja anomaaliate otsimine

Soovin, et mul oleksid selgeltnägija võimed Hiina valitsuse kavatsuste aimamiseks. Kahjuks mul selliseid võimeid ei ole. Samas on näha, et olemas on soov teabele juurdepääsu omandamiseks.

Selline soov on igal riigil.

Ka meile meeldib teave. Meile meeldivad andmed.

Judy on Hiina majandusvööndi ja maanteede algatuse Belt and Road Initiative (BRI) ning geopoliitilise olukorra ekspert. Toetume tema teadmistele trendide ja eelkõige sihtmärkide hindamisel. Vahel märkame uue sihtmärki, mis ei tundu loogiline. Näiteks kui kellegi tegutsemine ei vasta tema eelnevatele tegudele, siis pöördume sellise tähelepanekuga Judy poole, kes ütleb meile: „Teate, selles riigis toimub oluline majanduskonverents.“ või „Selles asukohas peetakse läbirääkimisi uue tehase rajamise üle.“.

Judy tagab meie jaoks üliolulise konteksti selle kohta, miks küberohustajad ühel või teisel viisil käituvad. Me kõik teame, kuidas kasutada rakendust Bing Translate, samuti teame, kuidas uudislugusid otsida, kuid kui miski ei tundu loogiline, siis ütleb Judy meile, et „tegelikult tähendab see tõlkes hoopis seda“ ja seejärel muutub kõik loogiliseks.

Hiina küberohustajate jälgimiseks on vaja tunda kultuurialaseid fakte nende valitsuse ülesehituse ning nende ettevõtete ja asutuste toimimise kohta. Judy aitab meil kõnealuste asutuste ülesehitust ja nende funktsiooni paremini mõista, samuti seda, kuidas nad raha teenivad ning Hiina valitsusega suhtlevad.

Nagu Sarah mainis, seisneb kõik kommunikatsioonis. Suhtleme pidevalt Teamsi vestluses. Jagama omavahel kogu aeg telemeetria ülevaateid, mis aitasid meil võimaliku lahenduseni liikuda.

Milline on minu nipp? Veedan palju aega internetis ja loen. Siiski leian, et üks kõige olulisemaid asju on erinevate otsingumootorite kasutamise oskus.

Oskan kasutada selliseid otsingumootoreid nagu Bing, Baidu ja Yandex.

Tõsi on ka see, et erinevad otsingumootorid pakuvad erinevaid tulemeid. Ma ei tee midagi erilist, kuid tean, et erinevate tulemite saamiseks on vaja kasutada erinevaid allikaid, et mul oleks võimalik andmeid hiljem analüüsida.

Kõik töörühma liikmed on väga taibukad. Kõikidel on üleloomulikud võimed – tuleb lihtsalt teada, kellelt mida küsida. Samuti on suurepärane, et töötame kollektiivis, kus kõik tunnevad end piisavalt mugavalt teistelt küsimuste küsimiseks. Ütleme alati, et rumalaid küsimusi pole olemas.

Meie töörühmas annavad rumalad küsimused energiat juurde.

Hetkel on kõige parem aeg IT-turbega tegelemiseks. Ajal, kui mina alustasin, ei olnud saadaval palju kursuseid, ressursse või õppimisviise. Nüüd on olemas bakalaureuse- ja magistriprogrammid. Praegusel ajal on palju mooduseid sellise ameti õppimiseks. Jah, mõni meetod maksab küll palju raha, kuid saadaval on ka taskukohasemaid ja tasuta programme.

Ühe turbealase tasuta koolituse töötasid välja meie Microsofti ohuanalüüsi kolleegid Simeon Kakpovi ja Greg Schloemer. Kõnealune tööriist nimega KC7 muudab IT-turbega tutvumise, võrgu- ja hostisündmuste mõistmise ning küberohustajate jahtimise kõigi jaoks võimalikuks.

Praegusel ajal on juurdepääs ka kõikidele erinevatele teemadele. Kui mina alustasin, pidi selliste tööriistade lubamiseks töötama mitme miljoni suuruse eelarvega ettevõttes. Paljude jaoks oli see kõige suuremaks takistuseks. Tänapäeval võib aga igaüks ründevara näiteid analüüsida. Vanasti oli keeruline leida näiteid pahavara ja omandatud pakettide kohta. Sellised takistused on aga kadumas. Tänapäeval on saadaval nii suurel hulgal tasuta veebipõhiseid tööriistu ja ressursse, mis aitavad inimesel iseseisvalt ja omas tempos õppida.

Mina soovitan leida endale kõige meelepärasema niši. Näiteks ründevara uuringutega tegelemine. Digitaalkriminalistika. Ohuanalüüs. Leidke enda jaoks lemmikteemad ja kasutage avalikult saadaolevaid ressursse ning õppige nende abil võimalikult palju.

Kõige olulisem on olla uudishimulik, eksole? Lisaks uudishimule peab olema meeskonnamängija. Pidage meeles, et tegemist on meeskonnaspordiga – mitte keegi ei ole küberturbe alal üksipäini edukas.

Tähtis on osata meeskonnas töötada. Tähtis on olla uudishimulik ja õpivõimalustele avatud. Peate tundma end mugavalt küsimusi esitades ja meeskonnaliikmetega koostööd tegema.

See on täiesti tõsi. Tahan rõhutada, et Microsofti ohuanalüüsi töörühm teeb koostööd paljude MIcrosofti partnertöörühmadega. Toetume paljuski kolleegide asjatundlikkusele, mis aitab meil mõista seda, mida küberohustajad teevad ja miks nad seda teevad. Me ei suudaks ilma nendeta töötada.