Uvnitř týmu Microsoftu sledujícího nejnebezpečnější hackery na světě

Pojmový

Pojmový Ms Tech / zdrojové snímky: Unsplash, Wikimedia commons





Když Pentagon nedávno udělil Microsoftu kontrakt v hodnotě 10 miliard dolarů na transformaci a hostování cloudových výpočetních systémů americké armády, hora peněz přišla s implicitní výzvou: Dokáže Microsoft udržet systémy Pentagonu zabezpečené proti některým z nejbohatších, nejtrvalejších a nejodolnějších? sofistikovaní hackeři na Zemi?

Jsou pod útokem každou hodinu během dne, říká James Lewis, viceprezident Centra pro strategická a mezinárodní studia.

Poslední vítězství Microsoftu nad cloudovým rivalem Amazonem za ultra lukrativní vojenskou zakázku znamená, že v lesích u Seattlu sídlí aparát pro shromažďování zpravodajských informací, který patří mezi nejdůležitější na světě. Tento druh odpovědnosti za národní bezpečnost kdysi seděl téměř výhradně ve Washingtonu, DC. Nyní v tomto koutě státu Washington se desítky inženýrů a zpravodajských analytiků věnují sledování a zastavení vládou podporovaných hackerů, kteří se množí po celém světě.



Členové takzvaného týmu MSTIC (Microsoft Threat Intelligence Center) se zaměřují na hrozby: jedna skupina je zodpovědná za ruské hackery s kódovým označením Strontium, další sleduje severokorejské hackery s kódovým jménem Zinc a další sleduje íránské hackery s kódovým jménem Holmium. MSTIC sleduje více než 70 vládních skupin hrozeb s kódovým označením a mnoho dalších, které nejsou pojmenovány.

Déšť začal těsně předtím, než jsem v typický podzimní den dorazil do Redmondu ve Washingtonu. Po celou dobu mé návštěvy to klesalo. Centrála Microsoftu je tak rozlehlá a labyrintová jako jakákoli vládní instalace, se stovkami budov a tisíci zaměstnanci. Přišel jsem se seznámit s týmem Microsoftu, který sleduje nejnebezpečnější hackery na světě.

Útok a obrana

fotografie Johna Lamberta

John Lambert založil a řídí MSTIC. Microsoft



John Lambert je v Microsoftu od roku 2000, kdy se nová realita v oblasti kybernetické bezpečnosti poprvé odehrávala jak ve Washingtonu, DC, tak v sídle společnosti Microsoft ve státě Washington.

Microsoft, tehdy mimořádně silná společnost, která monopolizovala PC software, si teprve relativně nedávno uvědomila důležitost internetu. S Windows XP dobyl svět a přitom zůstal šokujícím způsobem nejistý, tým byl svědkem řady obrovských a trapných bezpečnostních selhání, včetně sebereplikujících se červů jako Code Red a Nimda. Neúspěchy ovlivnily mnoho z obrovského počtu zákazníků společnosti Microsoft z vládního a soukromého sektoru a ohrozily její hlavní podnikání. Až v roce 2002, kdy Bill Gates rozeslal své slavné memorandum vyzývající k důrazu na důvěryhodné výpočty, se Redmond konečně začal potýkat s důležitostí kybernetické bezpečnosti.

Tehdy Lamberta zaujala útočná stránka kybernetiky.



V hranicích útoku a obrany se vyžaduje dokonalost, řekl mi Lambert. Abyste dobře bránili, musíte umět útočit. Musíte mít také útočné nastavení mysli; nemůžete myslet jen na obranu, když nevíte, jak být kreativní v útoku.

Poté, co viděl nárůst počtu vládou sponzorovaných hackerských kampaní, Lambert použil toto urážlivé myšlení, aby pomohl řídit zásadní změny ve způsobu, jakým Microsoft k problému přistupoval. Cílem bylo posunout se z nepoznaného stínového světa – kde obranné týmy frustrovaně sledují, jak sofistikovaní hackeři pronikají do sítí se silnými zero-day zranitelnostmi – do domény, kde Microsoft vidí téměř vše.

Jaké jsou superschopnosti Microsoftu? Lambert si vzpomíná, jak se ptal.



Odpovědí je, že jeho operační systém Windows a další software jsou téměř všude, což Microsoftu dává nástroje k tomu, aby zjistil, co se děje na obrovských částech internetu. To vyvolává skutečné a trvalé otázky týkající se ochrany osobních údajů, se kterými jsme se stále plně nevypořádali. Pro bezpečnost je to však obrovská výhoda.

Produkty společnosti Microsoft již měly systémy Windows Error Report zabudované, aby se pokusily porozumět obecným chybám a poruchám pomocí telemetrie nebo shromažďování dat z jakéhokoli používaného hardwaru nebo softwaru společnosti. Ale byl to Lambert a bezpečnostní týmy, kdo proměnil telemetrické systémy na výkonné bezpečnostní nástroje a přeměnil to, co bylo kdysi pomalým a namáhavým úkolem. Dříve musely bezpečnostní týmy často fyzicky obcházet svět, najít konkrétní cílené stroje, zkopírovat jejich pevné disky a pomalu se ponořit do incidentů. Nyní tyto stroje jednoduše osloví Microsoft. Prakticky každý pád a neočekávané chování je hlášeno společnosti, která třídí množství dat a často najde malware dříve než kdokoli jiný.

Malware známý jako Zlý králík , který v roce 2017 předstíral, že jde o aktualizaci Adobe Flash a poté vymazal pevný disk oběti, krystalizuje, jak Microsoft změnil slabost na sílu. Během 14 minut od představení ransomwaru algoritmy strojového učení prošly daty a rychle začaly chápat hrozbu. Windows Defender jej začal automaticky blokovat, dlouho předtím, než kdokoli věděl, co se děje.

špatný králičí malware kód

Bad Rabbit byl spatřen převážně v Rusku a na Ukrajině v roce 2017. Toto je výkupné, které oběti obdržely. Zdrojový obrázek: Kaspersky Labs

To je věc, kterou nikdo jiný nemá: viditelnost a data. Data, která nikdo jiný nemá, kolem těchto aplikací padají v operačním systému a softwarové vrstvě, říká Jake Williams, bývalý člen Národní bezpečnostní agentury. Dokonce i pro pády třetích stran mají kolem nich telemetrii. Když se začnete dívat na cíle zneužití, společnost Microsoft má možnost prostřednictvím jejich telemetrie. Tato telemetrie udělala z každého počítače a produktu Windows zdroj, který okamžitě a po celém světě dodává data a protokoly společnosti Microsoft o čemkoli neobvyklém.

Microsoft vidí věci, které jen tak nikdo nevidí, říká Williams, který založil firmu na kybernetickou bezpečnost Rendition Infosec. Běžně nacházíme věci, jako jsou například příznaky škodlivých IP adres v Office 365, které Microsoft označuje, ale nikde jinde to nevidíme už měsíce.

Spojit tečky

Zpravodajství o kybernetických hrozbách je disciplína sledování protivníků, sledování drobků chleba a vytváření informací, které můžete použít k tomu, abyste pomohli svému týmu a ztížili život druhé straně. Aby toho bylo dosaženo, pětiletý tým MSTIC zahrnuje bývalé špiony a operátory vládních zpravodajských služeb, jejichž zkušenosti na místech, jako je Fort Meade, kde sídlí Národní bezpečnostní agentura a US Cyber ​​Command, se okamžitě promítají do jejich rolí v Microsoftu.

MSTIC pojmenovává desítky hrozeb, ale geopolitika je komplikovaná: Čína a Spojené státy, dva z nejvýznamnějších hráčů v kyberprostoru a dvě největší ekonomiky na světě, nejsou prakticky nikdy nazývány tak, jako země jako Írán, Rusko a Severní Korea. často jsou.

Náš tým používá data, spojuje tečky, vypráví příběh, sleduje herce a jejich chování, říká Jeremy Dallman, ředitel strategických programů a partnerství ve společnosti MSTIC. Loví herce – kam se pohybují, co plánují dále, na koho se zaměřují – a předbíhají to.

Tanmay Ganacharya vede pokročilý výzkum ochrany před hrozbami v týmu Microsoft Defender, který aplikuje datovou vědu na množství příchozích signálů ve snaze vytvořit nové vrstvy obrany. Protože máme produkty v jakékoli oblasti, na kterou si vzpomenete, máme senzory, které nám přinášejí správný druh signálů, říká. Problém byl, jak vlastně se všemi těmito daty naložíme?

Microsoft, stejně jako další tech giganti včetně Googlu a Facebooku, pravidelně upozorňuje lidi, na které se zaměřují vládní hackeři, což těmto cílům dává šanci se bránit. V posledním roce MSTIC informovalo přibližně 10 000 zákazníků Microsoftu, že jsou cílem vládních hackerů.

Nové cíle

Počínaje srpnem si MSTIC všiml toho, co je známé jako kampaň stříkající hesla. Hackeři vzali kolem 2700 kvalifikovaných odhadů hesel k účtům spojeným s americkou prezidentskou kampaní, vládními úředníky, novináři a významnými Íránci žijícími mimo Írán. Při tomto útoku byly kompromitovány čtyři účty.

Analytici z MSTIC identifikovali kompromisy částečně sledováním infrastruktury Microsoft říká, že ví, že je ovládána výhradně íránskou hackerskou skupinou Phosphorus.

Jakmile porozumíme jejich infrastruktuře – máme IP adresu, o které víme, že je jejich a kterou používají pro škodlivé účely – můžeme začít prohlížet záznamy DNS, vytvořené domény, provoz platformy, říká Dallman. Když se obrátí a začnou používat tuto infrastrukturu v tomto druhu útoku, vidíme to, protože to již sledujeme jako známý indikátor chování daného aktéra.

Po provedení značné průzkumné práce se Phosphorus pokusil využít proces obnovy účtu pomocí skutečných telefonních čísel cílů. MSTIC si všiml Phosphorus a dalších vládou sponzorovaných hackerů, včetně ruského Fancy Bear, kteří opakovaně používají tuto taktiku, aby se pokusili phishingem získat dvoufaktorové autentizační kódy pro cíle s vysokou hodnotou.

To, co při této příležitosti vzbudilo znepokojení Microsoftu nad normál, bylo to, že Phosphorus změnil svůj standardní operační postup a šel po nevládních a sankčních organizacích. Zaměřovací kříž se posunul, taktika se změnila a rozsah rostl.

To není neobvyklé, ale rozdíl byl v tom, že to bylo ve výrazně větším měřítku, než jsme viděli dříve, říká Dallman. Často se zaměřují na tyto typy lidí, ale byl to rozsah a obrovské množství průzkumné práce, kterou pro tuto kampaň vykonali [to bylo jiné]. A pak nakonec došlo na jednotlivce, na které se zaměřovali, včetně jednotlivce z prezidentské kampaně.

Detektiv Microsoftu nakonec ukázal prstem na íránské hackery, kteří se zaměřili na prezidentské kampaně včetně agentury Reuters. hlášeno , operaci znovuzvolení Donalda Trumpa v roce 2020.

fotografie kampusu microsoftu

Areál Microsoftu v Redmondu je obrovský. Na ploše více než 8 milionů čtverečních stop je domovem více než 50 000 zaměstnanců. zdroj: Microsoft

Viděli jsme vzory.

Během dvou desetiletí působení Lamberta v Microsoftu se nástroje a zbraně kybernetické domény rozšířily do desítek dalších zemí, stovek schopných skupin kyberzločinců a – stále více – do odvětví společností ze soukromého sektoru, které mezinárodně prodávají exploity kupujícím ochotným zaplatit nejvyšší dolar.

Proliferace znamená mnohem širší okruh obětí, říká Lambert. Více herců ke sledování.

To se ukazuje v politických hackech. Jedním z důsledků amerických voleb v roce 2016 je nárůst počtu hráčů, kteří bojují proti politickým stranám, kampaním a think-tankům, nemluvě o vládě samotné. Hackerství související s volbami je typicky provincií velké čtyřky – Ruska, Číny, Íránu a Severní Koreje. Ale šíří se do dalších zemí, i když výzkumníci Microsoftu odmítli specifikovat, co viděli.

Rozdíl je v tom, že se do boje zapojují další země, které tam dříve nutně nebyly, říká Jason Norton, hlavní projektový manažer na MSTIC. Velká dvojka [Rusko a Čína] – nyní můžeme říci, že o to historicky šli už dlouho před volbami v roce 2016. Ale teď vidíte, jak to dělají další země – šťouchání a šťouchání do měkkého podbřišku, abyste poznali ty správné kousky, které budou mít vliv nebo dopad v budoucnu.

Na hřišti je stále plno, souhlasí Dallman. Herci se učí jeden od druhého. Jak se učí taktiku od prominentnějších jmen, obracejí ji a používají ji.

Blížící se volby jsou jiné také v tom, že nikoho nepřekvapuje tato zákeřná činnost. Počínaje rokem 2016 byla ruská kybernetická aktivita vítána kolektivní ohromenou naivitou, která přispěla k paralýze a nejisté reakci. Tentokrát ne.

Rozdíl skutečně spočívá v tom, co víme, že se stane, vysvětluje Dallman.

Pak to byla spíše neznámá a nebyli jsme si jisti, jak se vyvine taktika. Nyní víme; viděli jsme vzory. Viděli jste je v roce 2016, viděli jste, co udělali v Německu, viděli jste je ve francouzských volbách – všechny po stejném MO. V polovině roku 2018 také – v menší míře, ale stále jsme viděli některé stejné MO, stejné herce, stejné načasování, stejné techniky. Nyní víme, jdeme do roku 2020, že toto je MO, kterou hledáme. A teď jsme začali vidět, že další země přicházejí a začínají dělat jiné taktiky.

Novým standardem je, že obchody s průmyslovou kybernetickou inteligencí mají tendenci být v čele tohoto typu činnosti veřejné bezpečnosti, zatímco vláda je následuje.

V roce 2016 to byl CrowdStrike, kdo jako první zkoumal a ukázal prstem na ruskou aktivitu s cílem zasahovat do amerických voleb. Americká donucovací a zpravodajská komunita později potvrdila zjištění společnosti a nakonec, po vyšetřování Roberta Muellera, obvinila ruské hackery a podrobně popsala moskevskou kampaň.

S celkovou velikostí přesahující 1 bilion dolarů je Microsoft řádově větší a přináší obrovské zdroje na bezpečnostní výzvu. A technický gigant má další velkou výhodu: má oči, uši a software všude. To je, jak by mohl říci Lambert, jeho superschopnost.

skrýt