Miksi identiteetin hallinta on avain APT:n kyberhyökkäysten pysäyttämiseen?

Dark Reading News Desk haastatteli Adam Meyersia, CrowdStriken vastavihollisen operaatioiden johtajaa Black Hat USA 2023 -tapahtumassa. Katso News Deskin klippi osoitteessa YouTube (transkriptio alla).

Dark Reading, Becky Bracken: Hei kaikki ja tervetuloa takaisin Dark Reading News Deskiin, joka tulee luoksenne suorana Black Hat 2023 -tapahtumasta. Olen Becky Bracken, Dark Readingin toimittaja, ja olen täällä toivottaakseni tervetulleeksi Adam Meyersin, CrowdStriken vastavihollisten operaatioiden johtajan. Dark Reading News Deskiin.

Kiitos, että liityit joukkoomme, Adam. Arvostan sitä. Viime vuonna kaikki olivat hyvin keskittyneitä APT-ryhmät Venäjällä, mitä ne olivat tekemässä Ukrainassaja kuinka kyberturvallisuusyhteisö voisi kokoontua ympärilleen ja auttaa heitä. Sen jälkeen maassa on ilmeisesti tapahtunut melkoinen muutos. Voitko kertoa meille, mitä Venäjällä tapahtuu nyt verrattuna ehkä vuosi sitten?

Adam Meyers: Joten luulen, että se on tietysti paljon huolestuttavaa. Varmasti uskon, että näimme, että häiriöt, jotka yleensä konfliktin alkamisen jälkeen, eivät ole poistumassa. Mutta samalla kun (keskittyimme), tiedäthän, mitä venäläisten kanssa tapahtui, kiinalaiset ovat perustaneet a valtava tiedonkeruuyritys sen ympärillä.

DR: Käyttivätkö he (Kiinan hallitus niihin liittyvissä APT-ryhmissä) Venäjän hyökkäystä suojana, kun kaikki katsoivat tänne? Tekikö he sitä ennen sitä?

OLEN: Se on hyvä kysymys. Mielestäni se onnistui, että se tarjosi sellaisen peitteen, koska kaikki ovat niin keskittyneet siihen, mitä Venäjällä ja Ukrainassa tapahtui. Joten se häiritsi tasaista rummun soittoa, kun kaikki kutsuivat Kiinaa tai tekivät asioita, jotka he olivat siellä.

DR: Tiedämme siis Venäjän motiivit. Entä Kiinalaiset APT-ryhmät? Mitkä ovat heidän motiivinsa? Mitä he yrittävät tehdä?

OLEN: Se on siis massiivinen keräysalusta. Kiinalla on useita erilaisia ​​suuria ohjelmia. Heillä on sellaisia ​​asioita kuin Kiinan hallituksen sanelemat viisivuotissuunnitelmat ja aggressiiviset kehitysvaatimukset. Heillä on "Valmistettu Kiinassa 2025”-aloite, heillä on Hihnan ja tien aloite. Ja niin he ovat rakentaneet kaikki nämä erilaiset ohjelmat kasvattaakseen taloutta kehittääkseen Kiinan taloutta.

Jotkut tärkeimmistä asioista, joihin he ovat kohdistaneet, liittyvät esimerkiksi terveydenhuoltoon. Tämä on ensimmäinen kerta, kun kiinalaiset ovat tekemisissä kasvavan keskiluokan kanssa ja siten ennaltaehkäisevien terveydenhuoltoon liittyvien ongelmien (ovat etusijalla), diabeteksen, syövänhoitojen, kaiken sen kanssa. Ja he hankkivat paljon sitä lännestä. He (kiinalaiset) haluavat rakentaa sen sinne. He haluavat kotimaisia ​​vastaavia tuotteita voidakseen palvella omia markkinoitaan ja kasvattaa niitä sitten ympäröivälle alueelle, laajemmalle Aasian ja Tyynenmeren alueelle. Ja tekemällä sen he rakentavat lisävaikutusta. He rakentavat nämä siteet näihin maihin, joissa he voivat alkaa työntää kiinalaisia ​​tuotteita ja kaupparatkaisuja ja kiinalaisia ​​ohjelmia… Joten kun painostus tulee työntämään asiaa – Taiwania tai jotain – josta he eivät pidä Yhdistyneissä Kansakunnissa, he voivat voi sanoa: "Hei, sinun pitäisi todella äänestää tällä tavalla. Arvostaisimme sitä.”

DR: Joten se on todella an tiedustelun kokoelma ja immateriaaliomaisuuden voitto heille. Ja mitä me sitten näemme lähivuosina? Aikovatko he käyttää tätä tiedustelutietoa?

OLEN: Se tapahtuu juuri nyt, jos katsot mitä he ovat tehneet tekoälyllä. Katso, mitä he ovat tehneet terveydenhuollon ja eri sirujen valmistuksen parissa, jossa he hankkivat suurimman osan siruistaan ​​ulkopuolelta. He eivät halua tehdä sitä.

He ajattelevat, että ihmiset näkevät heidät maailman työpajoina, ja se todella haluaa tulla innovaattoriksi. Ja tapa, jolla he haluavat tehdä sen, on vipuvaikutus Kiinalaiset APT-ryhmät ja hyppäämällä (kilpailevat valtiot) kyberoperaatioiden, kybervakoilun, (varastamalla) sen, mikä on tällä hetkellä huippuluokkaa, kautta, ja sitten he voivat yrittää jäljitellä ja innovoida sen päälle.

DR: Mielenkiintoista. OK, joten siirrymme Kiinasta, nyt siirrymme Pohjois-Koreaan, ja he ovat alalla - heidän APT-ryhmänsä ovat rahantekijöitä, eikö niin? Sitä he haluavat tehdä.

OLEN: Joo. Siinä on siis kolme osaa. Ensinnäkin he palvelevat varmasti diplomaattista, sotilaallista ja poliittista tiedustelutietojen keruuprosessi, mutta he myös tekevät tekijänoikeuksien.

He käynnistivät ohjelman nimeltä National Economic Development Strategy eli NEDS. Ja sen myötä on kuusi ydinaluetta, jotka keskittyvät asioihin, kuten energiaan, kaivostoimintaan, maatalouteen, raskaisiin koneisiin, kaikkiin asioihin, jotka liittyvät Pohjois-Korean talouteen.

Heidän on nostettava kustannuksia ja keskimääräisen Pohjois-Korean kansalaisen elämäntapaa. Vain 30 %:lla väestöstä on luotettavaa sähköä, joten esimerkiksi uusiutuva energia ja energian hankintatavat (ovat sellaisia ​​tietoja Pohjois-Korean APT-ryhmät etsivät).

Ja sitten tulojen tuottaminen. He joutuivat irti kansainvälisestä SWIFT-järjestelmästä ja kansainvälisistä rahoitustalouksista. Ja nyt heidän on löydettävä tapoja tuottaa tuloja. Heillä on jotain nimeltä Kolmas toimisto, joka tuottaa tuloja hallinnon kanssa ja myös perheelle.

Ja niin he (Third Office) tekevät paljon asioita, kuten huumeita, ihmiskauppaa ja myös verkkorikollisuutta. Niin Pohjois-Korean APT-ryhmät ovat olleet erittäin tehokkaita perinteisten rahoitus- ja kryptovaluuttayhtiöiden kohdentamisessa. Ja olemme nähneet sen – yksi juuri eilen ilmestyneestä raportistamme osoittaa, että toiseksi kohdistetuin vertikaali viime vuonna oli talous, joka korvasi televiestinnän. Joten se vaikuttaa.

DR: He tienaavat tonnia rahaa. Pyöritään, mikä luulisi olevan APT-toiminnan toinen pääpilari, ja se on Iranissa. Mitä kesken tapahtuu Iranilaiset APT-ryhmät?

OLEN: Olemme siis nähneet monissa tapauksissa väärennettyjä henkilöitä, jotka kohdistavat (Iranin) vihollisiinsa – Israelin ja Yhdysvaltojen, eräänlaisten länsimaiden, perässä. APT-ryhmät Iranin tukemana luoda näitä väärennettyjä persoonia ja ottaa käyttöön lunnasohjelmia, mutta se ei todellakaan ole kiristysohjelma, koska he eivät välttämättä välitä rahojen keräämisestä. He (Iranilaiset APT-ryhmät) haluavat vain aiheuttaa häiriön ja kerätä sitten arkaluonteisia tietoja. Kaikki tämä saa ihmiset menettämään uskonsa tai uskonsa poliittisiin järjestöihin tai yrityksiin, joiden kohteena ovat. Joten se on todella häiritsevä kampanja, joka naamioituu kiristysohjelmiksi Iranin uhkatoimijat.

DR: On varmasti niin hankalaa yrittää määrittää motiivit monille näistä hyökkäyksistä. Kuinka teet tuon? Tarkoitan, mistä tiedät, että se on vain häiriön rintama eikä rahantekooperaatio?

OLEN: Se on hieno kysymys, mutta se ei itse asiassa ole niin vaikeaa, koska jos katsot mitä todella tapahtuu, eikö niin? – Mitä tapahtuu – jos he ovat rikollisia ja heillä on taloudellinen motivaatio, he maksavat maksuja. Se on tavoite, eikö?

Jos he eivät todellakaan näytä välittävän rahan ansaitsemisesta, esim NotPetya se on esimerkiksi meille melko selvää. Kohdistamme infrastruktuurin, ja sitten tarkastelemme itse motiivia.

DR: Ja yleensä, mitkä ovat APT-ryhmien hyökkäykset du jour? Mihin he todella luottavat juuri nyt?

OLEN: Olemme siis nähneet paljon APT-ryhmät verkkotyyppisten laitteiden perässä. Eri pilvijärjestelmille ja verkkolaitteille alttiina olevia laitteita vastaan ​​on tehty paljon enemmän hyökkäyksiä, joissa ei yleensä ole nykyaikaisia ​​päätepisteiden suojauspinoja.

Eikä kyse ole vain APT-ryhmistä. Näemme tämän valtavasti lunnasohjelmaryhmissä. Joten 80 % hyökkäyksistä käyttää laillisia valtuuksia päästäkseen sisään. He elävät maasta ja siirtyvät sivusuunnassa sieltä. Ja sitten, jos he voivat, monissa tapauksissa he yrittävät ottaa käyttöön kiristysohjelmia hypervisoriin, joka ei tue DVR-työkaluasi, ja sitten he voivat lukita kaikki siinä käynnissä olevat palvelimet. hypervisor ja lopetti organisaation.

DR: Valitettavasti aikamme on lopussa. Haluaisin todella keskustella tästä paljon pidempään, mutta voitko antaa meille ennustuksesi nopeasti? Mitä aiomme katsoa APT-tilassa, luuletko 12 kuukauden kuluttua?

OLEN: Tila on ollut melko tasainen. Luulen, että tulemme näkemään heidän (APT-ryhmät) edelleen kehittävän haavoittuvuusmaisemaa.

Jos tarkastellaan esimerkiksi Kiinaa, käytännössä kaiken haavoittuvuustutkimuksen on mentävä valtion turvallisuusministeriön kautta. Siellä keskitytään tiedustelutietojen keräämiseen. Se on joissakin tapauksissa ensisijainen motiivi; sielläkin on häiriöitä.

Ja sitten ennustuksena asia, jota kaikkien on mietittävä henkilöllisyyden hallintanäkemiemme uhkien vuoksi. Näihin loukkauksiin liittyy henkilöllisyyttä. Meillä on jotain nimeltä "purkautumisaika", joka mittaa, kuinka kauan näyttelijällä kestää siirtyä alkuperäisestä jalansijasta ympäristöönsä toiseen järjestelmään. Nopein näkemämme erä (purkausaika) oli seitsemän minuuttia. Joten nämä näyttelijät liikkuvat nopeammin. Suurin huomio on se, että he (APT-ryhmät) käyttävät laillisia valtuustietoja ja tulevat sisään laillisena käyttäjänä. Ja siltä suojautumiseksi identiteetin suojaaminen on kriittistä. Ei vain päätepisteitä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks