Miért az identitáskezelés a kulcs az APT kibertámadásainak megállításához?

A Dark Reading News Desk interjút készített Adam Meyers-szel, a CrowdStrike ellenfelek elleni hadműveleteinek vezetőjével a Black Hat USA 2023-on. Nézze meg a News Desk klipjét itt: Youtube (átirat lent).

Dark Reading, Becky Bracken: Üdvözlök mindenkit, és üdvözöljük a Dark Reading News Desk oldalán, amely a Black Hat 2023-ból élőben érkezik hozzátok. Becky Bracken vagyok, a Dark Reading szerkesztője, és azért vagyok itt, hogy üdvözöljem Adam Meyers-t, a CrowdStrike elleni ellenséges műveletek vezetőjét. a Dark Reading News Deskhez.

Köszönjük, hogy csatlakozott hozzánk, Adam. Értékelem ezt. Tavaly mindenki nagyon koncentrált APT csoportok Oroszországban, mik voltak csinál Ukrajnábanés hogyan tudná a kiberbiztonsági közösség összefogni és segíteni nekik. Úgy tűnik, hogy azóta elég nagy elmozdulás történt a talajban. Tudna adni nekünk egy frissítést arról, hogy mi történik most Oroszországban az egy évvel ezelőttihez képest?

Adam Meyers: Szóval szerintem ez természetesen sok aggodalomra ad okot. Természetesen azt hiszem, láttuk, hogy azok a zavarok, amelyek általában a konfliktus kezdete után kezdődtek, nem szűnnek meg. De miközben (mire összpontosítottunk), tudod, hogy mi folyik az oroszokkal, a kínaiak megállapították a hatalmas adatgyűjtési erőfeszítés az körül.

DR: Vajon ők (a kínai kormány a társult APT-csoportoknál) fedezékül használták az orosz inváziót, miközben mindenki errefelé nézett? Ezt csinálták előtte?

AM: Ez egy jó kérdés. Azt hiszem, bevált, hogy ilyen fedezetet nyújtott, mert mindenki annyira arra koncentrál, ami Oroszországban és Ukrajnában történik. Tehát elterelte a figyelmet az állandó dobpergésről, amikor mindenki Kínát hívja vagy csinál valamit, hogy ott vannak.

DR: Tehát ismerjük Oroszország motivációit. Mit szólsz Kínai APT csoportok? Mik a motivációik? Mit próbálnak tenni?

AM: Szóval masszív gyűjtő platform. Kínának számos különböző nagy programja van. Vannak olyan dolgok, mint a kínai kormány által diktált ötéves tervek agresszív fejlesztési igényekkel. Nekik van a "Készült Kínában 2025-ben” kezdeményezést, megvan a Öv és közúti kezdeményezés. Ezért felépítették ezeket a különféle programokat, hogy növeljék a gazdaságot és fejlesszék a kínai gazdaságot.

Néhány főbb dolog, amit megcéloztak, olyan dolgok körüli, mint az egészségügy. Ez az első alkalom, hogy a kínaiak egyre növekvő középosztállyal foglalkoznak, és így a megelőző egészségügyi problémákkal (elsőbbséget élveznek), a cukorbetegséggel, a rákkezelésekkel, és mindezekkel. És ebből sokat szereznek Nyugatról. Ők (a kínaiak) oda akarják építeni. Hazai termékkel egyenértékű termékeket szeretnének, hogy kiszolgálhassák saját piacukat, majd ezt a környező területre, a tágabb ázsiai-csendes-óceáni térségre terjesszék. Ezzel pedig további befolyást építenek ki. Kiépítik ezeket a kapcsolatokat ezekkel az országokkal, ahol elkezdhetik a kínai termékeket, kereskedelmi megoldásokat és kínai programokat terjeszteni… Hogy amikor az Egyesült Nemzetek Szervezetében olyan témát – Tajvant vagy valami mást – terjesztenek, amit nem szeretnek, mondhatja: „Hé, tényleg így kellene szavaznod. Nagyra értékelnénk.”

DR: Szóval ez tényleg egy hírszerzési gyűjtemény és egy szellemi tulajdonszerzés nekik. És mit fogunk látni a következő években? Operacionalizálják ezt a hírszerzést?

AM: Ez most történik, ha megnézzük, mit csináltak az AI-val. Nézze meg, mit csinálnak az egészségügyben és a különféle chipgyártásban, ahol a chipjeik nagy részét kívülről szerzik be. Nem akarnak ilyet csinálni.

Úgy gondolják, hogy az emberek a világ műhelyének tekintik őket, és valóban újítóvá akar válni. És a mód, ahogyan ezt akarják elérni, az a tőkeáttétel Kínai APT csoportok és ugrásszerűen (versenyző nemzetek) kiberműveletekkel, kiberkémkedéssel, (ellopják) azt, ami jelenleg a legkorszerűbb, majd ezeken felül megpróbálhatják lemásolni és újítani.

DR: Érdekes. Rendben, tehát Kínából költözünk át, most átmegyünk Észak-Koreába, és ott vannak az üzletben – az APT-csoportjaik pénzkeresők, igaz? Ez az, amit tenni akarnak.

AM: Igen. Tehát három darab van belőle. Egyrészt minden bizonnyal a diplomáciai, katonai és politikai szolgálatot teljesítik hírszerzési folyamat, de azt is megteszik szellemi tulajdon.

Programot indítottak Nemzeti Gazdaságfejlesztési Stratégia, vagyis NEDS néven. És ezzel hat fő terület van, amelyek olyan dolgokra összpontosítanak, mint az energia, a bányászat, a mezőgazdaság, a nehézgépek, mindaz, ami az észak-koreai gazdasághoz kapcsolódik.

Emelniük kell a költségeket és az átlagos észak-koreai állampolgár életmódját. A lakosság mindössze 30%-a rendelkezik megbízható árammal, ezért olyan dolgok, mint a megújuló energia és az energiaszerzés módjai (ezek az adatok Észak-koreai APT csoportok keres).

És akkor a bevételszerzés. Elvágták őket a nemzetközi SWIFT rendszertől és a nemzetközi pénzügyi gazdaságoktól. Így most meg kell találniuk a bevételszerzés módját. Van valami, amit Harmadik Hivatalnak hívnak, ami bevételt termel a rezsimmel és a családnak is.

És így ők (Third Office) sok mindent csinálnak, például drogokat, embercsempészetet és számítógépes bűnözést is. Így Észak-koreai APT csoportok nagyon hatékonyak voltak a hagyományos pénzügyi és kriptovaluta társaságok megcélzásában. És ezt láttuk is – a tegnap megjelent jelentésünk egyike azt mutatja, hogy a második leginkább megcélzott vertikum tavaly a pénzügyi szektor volt, amely felváltotta a távközlést. Tehát hatással van.

DR: Rengeteg pénzt keresnek. Térjünk körbe, ami szerintem az APT akció másik fő pillére, Iránban van. Mi történik közöttük Iráni APT csoportok?

AM: Tehát sok esetben láttunk hamis személyeket, hogy (iráni) ellenségeiket célozzák meg – Izrael és az Egyesült Államok után, amolyan nyugati országokban. APT csoportok Irán támogatásával létrehozzák ezeket a hamis személyeket és telepítenek ransomware-t, de ez nem igazán ransomware, mert nem feltétlenül törődnek a pénz beszedésével. Ők (Iráni APT csoportok). Mindezek hatására az emberek elveszítik a politikai szervezetekbe vagy a megcélzott vállalatokba vetett hitüket. Tehát ez valóban egy bomlasztó kampány, amely zsarolóprogramnak álcázza magát Iráni fenyegetés szereplői.

DR: Bizonyára olyan bonyolult megpróbálni motivációt rendelni sok ilyen támadáshoz. Hogyan csinálod, hogy? Úgy értem, honnan tudod, hogy ez csak a zavarok elől, és nem pénzkereseti művelet?

AM: Ez egy nagyszerű kérdés, de valójában nem olyan nehéz, mert ha megnézzük, mi történik valójában, igaz? - mi történik - ha bűnözők, és anyagilag motiváltak, akkor fizetnek. Ez a cél, nem?

Ha úgy tűnik, nem igazán érdekli őket a pénzkeresés, pl Nem Petya például ez elég nyilvánvaló számunkra. Megcélozzuk az infrastruktúrát, majd magát az indítékot nézzük.

DR: És általában az APT csoportok körében, melyek a támadások du jour? Mire támaszkodnak most valójában?

AM: Szóval sokat láttunk APT csoportok hálózati típusú készülékek után megy. Sokkal több támadás érte a különféle felhőrendszereknek és hálózati eszközöknek kitett eszközöket, olyan dolgokat, amelyeken jellemzően nincs modern végponti biztonsági verem.

És ez nem csak az APT csoportokra vonatkozik. Ezt rendkívüli módon látjuk a ransomware csoportoknál. Tehát a támadások 80%-a törvényes hitelesítő adatokat használ a bejutáshoz. A földön élnek, és onnan oldalirányban mozognak. És ha tehetik, sok esetben megpróbálják telepíteni a zsarolóvírust egy olyan hipervizorra, amely nem támogatja a DVR-eszközt, és zárolhatják az összes azon futó szervert. hypervisor és felszámolja a szervezetet.

DR: Sajnos lejárt az időnk. Szeretnék erről még hosszan beszélni, de meg tudnád adni nekünk gyorsan az előrejelzéseidet? Mit gondolsz, mit fogunk nézni az APT térben 12 hónap múlva?

AM: A tér meglehetősen egységes volt. Azt hiszem, látni fogjuk, hogy ők (APT csoportok) tovább fejlesztik a sebezhetőségi környezetet.

Ha például Kínát nézzük, gyakorlatilag minden sebezhetőségi kutatásnak az Állambiztonsági Minisztériumon kell keresztülmennie. Ott a hangsúly a hírszerzésen van. Bizonyos esetekben ez az elsődleges indíték; fennakadás is van.

És akkor, jóslatként, az a dolog, amire mindenkinek gondolnia kell identitás menedzsment, az általunk tapasztalt fenyegetések miatt. Ezek a jogsértések személyazonosságot jelentenek. Van valami, amit „kitörési időnek” hívnak, ami azt méri, hogy mennyi időbe telik, amíg egy színész a kezdeti lábáról a környezetébe kerül egy másik rendszerbe. A leggyorsabb (kitörési idő), amit láttunk, hét perc volt. Tehát ezek a szereplők gyorsabban mozognak. A legnagyobb előny, hogy ők (APT-csoportok) törvényes hitelesítő adatokat használnak, és legitim felhasználóként lépnek be. És az ez ellen való védekezés érdekében az identitás védelme kritikus fontosságú. Nem csak végpontok.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks