Microsoft komandā, kas izseko pasaules bīstamākos hakerus

Konceptuāls

Konceptuāls Ms Tech / avota attēli: Unsplash, Wikimedia commons





Kad Pentagons nesen piešķīra Microsoft līgumu 10 miljardu dolāru apmērā, lai pārveidotu un izvietotu ASV militārās mākoņdatošanas sistēmas, naudas kalns nāca ar netiešu izaicinājumu: vai Microsoft var nodrošināt Pentagona sistēmas drošu pret dažām no visvairāk apgādātajām, noturīgākajām un izsmalcināti hakeri uz zemes?

Viņi tiek pakļauti uzbrukumiem katru diennakts stundu, saka Džeimss Lūiss, Stratēģisko un starptautisko pētījumu centra viceprezidents.

Microsoft jaunākā uzvara pār mākoņu konkurentu Amazon par īpaši ienesīgo militāro līgumu nozīmē, ka viens no svarīgākajiem pasaulē izlūkdatu vākšanas aparāts atrodas mežā ārpus Sietlas. Šāda veida valsts drošības pienākumi kādreiz bija gandrīz tikai Vašingtonā, DC. Tagad šajā Vašingtonas štata nostūrī desmitiem inženieru un izlūkošanas analītiķu ir veltīti tam, lai vērotu un apturētu valdības sponsorēto hakeru savairošanos visā pasaulē.



Tā sauktās MSTIC (Microsoft Threat Intelligence Center) komandas locekļi ir vērsti uz draudiem: viena grupa ir atbildīga par Krievijas hakeriem ar koda nosaukumu Strontium, cita grupa vēro Ziemeļkorejas hakerus ar koda nosaukumu Cinks, bet vēl viena izseko Irānas hakerus ar koda nosaukumu. Holmium. MSTIC izseko vairāk nekā 70 ar kodētu nosaukumu valdības sponsorētām draudu grupām un daudzas citas nenosauktas.

Lietus sākās tieši pirms es ierados tipiskā rudens dienā Redmondā, Vašingtonā. Tas turpināja pazemināties visu manu apmeklējumu. Microsoft galvenā mītne ir tikpat plaša un labirints kā jebkura valdības iekārta ar simtiem ēku un tūkstošiem darbinieku. Es gribētu satikt Microsoft komandu, kas izseko pasaules bīstamākos hakerus.

Uzbrukums un aizsardzība

Džona Lamberta fotogrāfija

Džons Lamberts nodibināja un vada MSTIC. Microsoft



Džons Lamberts strādā Microsoft kopš 2000. gada, kad gan Vašingtonā, gan Microsoft Vašingtonas štata galvenajā mītnē pirmo reizi tika ieviesta jauna kiberdrošības realitāte.

Microsoft, kas toreiz bija īpaši spēcīgs uzņēmums, kas monopolizēja datoru programmatūru, tikai salīdzinoši nesen bija sapratis interneta nozīmi. Tā kā sistēma Windows XP ir iekarojusi pasauli, saglabājot šokējoši nedrošu, komanda piedzīvoja virkni milzīgu un apkaunojošu drošības kļūdu, tostarp pašreplicējošiem tārpiem, piemēram, Code Red un Nimda. Kļūmes skāra daudzus Microsoft valdības un privātā sektora klientus, apdraudot tā pamatdarbību. Tikai 2002. gadā, kad Bils Geitss izsūtīja savu slaveno piezīmi, mudinot uzsvaru likt uz uzticamu skaitļošanu, Redmonds beidzot sāka cīnīties ar kiberdrošības nozīmi.

Tas ir tad, kad Lamberts aizrāvās ar kibernoziegumu aizskarošo pusi.



Uzbrukuma un aizsardzības robežās ir nepieciešama pilnība, Lamberts man teica. Lai labi aizsargātos, ir jāprot uzbrukt. Jums ir jābūt arī aizskarošam domāšanas veidam; jūs nevarat domāt tikai par aizsardzību, ja nezināt, kā būt radošam uzbrukumā.

Pēc tam, kad Lamberts redzēja, ka palielinās valdības sponsorēto hakeru kampaņu skaits, viņš izmantoja šo aizskarošo domāšanas veidu, lai palīdzētu virzīt būtiskas izmaiņas veidā, kādā Microsoft risināja šo problēmu. Mērķis bija pāriet no neizzināmas ēnu pasaules, kurā aizsardzības komandas sarūgtinātas skatās, kā izsmalcināti hakeri iekļūst tīklos ar spēcīgām nulles dienas ievainojamībām, uz domēnu, kurā Microsoft var redzēt gandrīz jebko.

Kādas ir Microsoft lielvaras? Lamberts atceras jautājis.



Atbilde ir tāda, ka tās Windows operētājsistēma un cita programmatūra ir gandrīz visur, sniedzot Microsoft rīkus, lai uztvertu, kas notiek milzīgos interneta apgabalos. Tas rada reālus un pastāvīgus privātuma jautājumus, ar kuriem mēs joprojām neesam pilnībā tikuši galā. Tomēr drošībai tā ir milzīga priekšrocība.

Microsoft produktos jau bija iebūvētas Windows kļūdu ziņošanas sistēmas, lai mēģinātu izprast vispārīgas kļūdas un darbības traucējumus, izmantojot telemetriju vai apkopojot datus no jebkuras uzņēmuma izmantotās aparatūras vai programmatūras. Bet tieši Lamberts un drošības komandas pārvērta telemetrijas sistēmas par jaudīgiem drošības rīkiem, pārveidojot to, kas kādreiz bija lēns un grūts uzdevums. Iepriekš drošības komandām bieži nācās fiziski doties apkārt pasaulei, atrast konkrētas mērķtiecīgas mašīnas, kopēt to cietos diskus un lēnām ienirt incidentos. Tagad šīs iekārtas vienkārši sazinās ar Microsoft. Gandrīz par katru avāriju un neparedzētu rīcību tiek ziņots uzņēmumam, kas šķiro datu masu un bieži vien atrod ļaunprātīgu programmatūru pirms jebkura cita.

Ļaunprātīga programmatūra, kas pazīstama kā Sliktais Trusītis , kas 2017. gadā izlikās par Adobe Flash atjauninājumu un pēc tam noslaucīja upura cieto disku, atspoguļo to, kā Microsoft mainīja vājumu uz spēku. 14 minūšu laikā pēc izspiedējvīrusa ieviešanas mašīnmācības algoritmi izpētīja datus un ātri sāka izprast draudus. Windows Defender sāka to automātiski bloķēt, krietni pirms kāds cilvēks uzzināja, kas notiek.

slikts zaķa ļaunprātīgas programmatūras kods

Bad Rabbit 2017. gadā tika pamanīts galvenokārt Krievijā un Ukrainā. Šo izpirkuma maksu saņēma upuri. Avota attēls: Kaspersky Labs

Tā ir lieta, kas nevienam citam nav: redzamība un dati. Dati, kas nevienam citam nav, ir par šīm lietojumprogrammu avārijām operētājsistēmā un programmatūras slānī, saka Džeiks Viljamss, bijušais Nacionālās drošības aģentūras loceklis. Pat trešo pušu avārijām ir pieejama telemetrija. Kad sākat aplūkot ekspluatācijas mērķus, Microsoft ir iespēja, izmantojot savu telemetriju. Šī telemetrija ir padarījusi katru Windows iekārtu un produktu par avotu, kas nekavējoties un visā pasaulē nodrošina Microsoft datus un žurnālus par jebko neparastu.

Microsoft redz lietas, ko nedara neviens cits, saka Viljamss, kurš nodibināja kiberdrošības uzņēmumu Rendition Infosec. Mēs regulāri atrodam, piemēram, Office 365 ļaunprātīgu IP karodziņus, kurus Microsoft atzīmē, bet nekur citur mēs to neredzam vairākus mēnešus.

Savienojiet punktus

Kiberdraudu izlūkošana ir disciplīna, kā izsekot pretiniekiem, sekot līdzi maizes drupačām un iegūt informāciju, ko varat izmantot, lai palīdzētu savai komandai un padarītu otras puses dzīvi grūtāku. Lai to panāktu, piecus gadus vecajā MSTIC komandā ir bijušie spiegi un valdības izlūkošanas operatori, kuru pieredze tādās vietās kā Fortmīda, kur atrodas Nacionālās drošības aģentūra un ASV kiberpavēlniecība, nekavējoties pārvēršas viņu pienākumos Microsoft.

MSTIC nosauc desmitiem draudu, taču ģeopolitika ir sarežģīta: Ķīna un ASV, divas no nozīmīgākajām kibertelpas dalībniecēm un divas lielākās pasaules ekonomikas, praktiski nekad netiek sauktas tā, kā tādas valstis kā Irāna, Krievija un Ziemeļkoreja. bieži ir.

Mūsu komanda izmanto datus, savieno punktus, stāsta stāstu, izseko aktieri un viņu uzvedību, saka Džeremijs Dallmens, MSTIC stratēģisko programmu un partnerību direktors. Viņi meklē aktierus — uz kurieni viņi pārvietojas, ko plāno tālāk, uz ko viņi vēršas — un tiek tam priekšā.

Tanmay Ganacharya vada progresīvus draudu aizsardzības pētījumus Microsoft Defender komandā, kas izmanto datu zinātni ienākošo signālu masai, cenšoties izveidot jaunus aizsardzības slāņus. Tā kā mums ir produkti jebkurā jomā, par kuru varat iedomāties, mums ir sensori, kas sniedz mums pareizos signālus, viņš saka. Problēma bija, kā mēs patiesībā tiekam galā ar visiem šiem datiem?

Microsoft, tāpat kā citi tehnoloģiju giganti, tostarp Google un Facebook, regulāri informē cilvēkus, uz kuriem vērsušies valdības hakeri, tādējādi dodot mērķiem iespēju sevi aizstāvēt. Pagājušajā gadā MSTIC ir paziņojis aptuveni 10 000 Microsoft klientu, ka pret viņiem ir vērsti valdības hakeri.

Jauni mērķi

Sākot ar augustu, MSTIC atklāja to, kas ir pazīstams kā paroles izsmidzināšanas kampaņa. Hakeri veica aptuveni 2700 izglītotu minējumu par parolēm kontiem, kas saistīti ar Amerikas prezidenta vēlēšanu kampaņu, valdības amatpersonām, žurnālistiem un augsta līmeņa irāņiem, kas dzīvo ārpus Irānas. Šajā uzbrukumā tika apdraudēti četri konti.

MSTIC analītiķi atklāja kompromisus, daļēji izsekojot infrastruktūru, Microsoft apgalvo, ka zina, ka to kontrolē tikai Irānas hakeru grupa Phosphorus.

Kad mēs sapratīsim viņu infrastruktūru — mums ir zināma viņu IP adrese, kuru viņi izmanto ļaunprātīgiem nolūkiem, mēs varam sākt meklēt DNS ierakstus, izveidotos domēnus, platformas trafiku, saka Dallmans. Kad viņi pagriežas un sāk izmantot šo infrastruktūru šāda veida uzbrukumos, mēs to redzam, jo ​​mēs jau izsekojam to kā zināmu šī aktiera uzvedības rādītāju.

Paveicis ievērojamu izlūkošanas darbu, Phosphorus mēģināja izmantot konta atkopšanas procesu, izmantojot mērķa reālos tālruņu numurus. MSTIC ir pamanījis Phosphorus un citus valdības sponsorētus hakerus, tostarp Krievijas Fancy Bear, kuri atkārtoti izmanto šo taktiku, lai mēģinātu izkrāpt divu faktoru autentifikācijas kodus augstvērtīgiem mērķiem.

Tas, kas šajā gadījumā paaugstināja Microsoft trauksmi virs normas, bija tas, ka Phosphorus mainīja savu standarta darbības procedūru, sekojot NVO un sankciju organizācijām. Krustojums mainījās, taktika mainījās, un darbības joma pieauga.

Tas nav nekas neparasts, taču atšķirība šeit bija tāda, ka tas bija ievērojami plašākā mērogā, nekā mēs bijām redzējuši iepriekš, saka Dallmans. Viņi bieži vēršas pret šāda veida cilvēkiem, taču tas bija mērogs un milzīgais izlūkošanas darba apjoms, ko viņi bija paveikuši šīs kampaņas labā [kas bija atšķirīgs]. Un tad galu galā tas bija saistīts ar personām, uz kurām viņi bija vērsti, tostarp personām, kas piedalījās prezidenta vēlēšanu kampaņā.

Microsoft slepkavība galu galā norādīja uz Irānas hakeriem, kuri mērķēja uz prezidenta vēlēšanu kampaņām, tostarp Reuters. ziņots , Donalda Trampa 2020. gada pārvēlēšanas operācija.

Microsoft pilsētiņas fotogrāfija

Microsoft Redmondas pilsētiņa ir milzīga. Tā platība ir vairāk nekā 8 miljoni kvadrātpēdu, un tajā strādā vairāk nekā 50 000 darbinieku. avots: Microsoft

Mēs esam redzējuši modeļus.

Lamberta divu desmitgažu laikā Microsoft, kiberdomēna rīki un ieroči ir izplatījušies vēl desmitiem valstu, simtiem spējīgu kibernoziedzības grupu un arvien biežāk privātā sektora uzņēmumu nozare, kas starptautiski pārdod ekspluatāciju pircējiem, kuri vēlas maksāt augstāko dolāru.

Izplatīšana nozīmē daudz plašāku upuru loku, saka Lamberts. Vairāk izsekojamo aktieru.

Tas parādās politiskajos hackos. Viena no 2016. gada ASV vēlēšanu sekām ir to spēlētāju skaita pieaugums, kuri cīnās par politisko partiju, kampaņu un ideju laboratoriju uzlaušanu, nemaz nerunājot par pašu valdību. Ar vēlēšanām saistītā uzlaušana parasti ir bijusi lielā četrinieka province — Krievija, Ķīna, Irāna un Ziemeļkoreja. Bet tas izplatās citās valstīs, lai gan Microsoft pētnieki atteicās precizēt, ko viņi ir redzējuši.

Atšķiras ir tas, ka cīņai pievienojas papildu valstis, kuras iepriekš nebija tur, saka Džeisons Nortons, MSTIC galvenais projektu vadītājs. Divas lielās [Krievija un Ķīna] — tagad mēs varam teikt, ka tās vēsturiski sekojušas tam jau krietni pirms 2016. gada vēlēšanām. Bet tagad jūs redzat, ka citas valstis to dara — bāž un stumj mīksto pavēderi, lai zinātu pareizos gabalus, kas ietekmēs vai ietekmēs nākotnē.

Laukums kļūst pārpildīts, Dallman piekrīt. Aktieri mācās viens no otra. Mācoties taktiku no ievērojamākiem vārdiem, viņi to apvērš un izmanto.

Gaidāmās vēlēšanas atšķiras arī ar to, ka neviens nav pārsteigts, redzot šo ļaunprātīgo darbību. Līdz 2016. gadam Krievijas kiberaktivitātes tika sagaidītas ar kolektīvu apmulsušu naivumu, veicinot paralīzi un nepārliecinātu reakciju. Ne šoreiz.

Atšķirība patiešām ir saistīta ar to, ko mēs zinām, ka notiks, Dallman skaidro.

Tad tas bija vairāk nezināms, un mēs nebijām pārliecināti, kā taktika attīstīsies. Tagad mēs zinām; mēs esam redzējuši modeļus. Jūs redzējāt viņus 2016. gadā, jūs redzējāt, ko viņi darīja Vācijā, jūs redzējāt viņus Francijas vēlēšanās — tas viss notika pēc viena un tā paša MO. Arī 2018. gada vidusposmā — mazākā mērā, taču mēs joprojām redzējām vienu un to pašu MO, tos pašus aktierus, tos pašus laikus, tās pašas metodes. Tagad, tuvojoties 2020. gadam, mēs zinām, ka šis ir MO, ko mēs meklējam. Un tagad mēs esam sākuši redzēt, ka citas valstis iznāk un sāk izmantot citu taktiku.

Jaunā norma ir tāda, ka nozares kiberizlūkošanas veikali mēdz būt vadošie šāda veida sabiedriskās drošības darbībās, kamēr valdība tam seko.

2016. gadā tas bija CrowdStrike, kas pirmo reizi izmeklēja un norādīja ar pirkstu uz krievu darbību mērķis ir iejaukties Amerikas vēlēšanās. ASV tiesībaizsardzības un izlūkošanas kopiena vēlāk apstiprināja uzņēmuma atklājumus un galu galā pēc Roberta Millera izmeklēšanas izvirzīja apsūdzības Krievijas hakeriem un detalizēti izklāstīja Maskavas kampaņu.

Ar kopējo summu, kas pārsniedz 1 triljonu USD, Microsoft ir par lielumu lielāks, nodrošinot milzīgus resursus drošības izaicinājumam. Un tehnoloģiju gigantam ir vēl viena lieliska priekšrocība: tam visur ir acis, ausis un programmatūra. Tā, kā varētu teikt Lamberts, ir tā lielvara.

paslēpties