เหตุใดการจัดการข้อมูลประจำตัวจึงเป็นกุญแจสำคัญในการหยุดยั้งการโจมตีทางไซเบอร์ของ APT

Dark Reading News Desk สัมภาษณ์ Adam Meyers หัวหน้าฝ่ายปฏิบัติการตอบโต้ฝ่ายตรงข้ามของ CrowdStrike ที่ Black Hat USA 2023 ดูคลิป News Desk บน YouTube (ข้อความถอดเสียงด้านล่าง)

Dark Reading, เบ็คกี้ แบร็คเคน: สวัสดีทุกคน และยินดีต้อนรับกลับสู่ Dark Reading News Desk ที่จะมาถึงคุณแบบสดๆ จาก Black Hat 2023 ฉันชื่อ Becky Bracken บรรณาธิการของ Dark Reading และฉันมาที่นี่เพื่อต้อนรับ Adam Meyers หัวหน้าฝ่ายปฏิบัติการตอบโต้ฝ่ายตรงข้ามกับ CrowdStrike ไปที่โต๊ะข่าว Dark Reading

ขอบคุณที่มาร่วมงานกับเราอดัม ฉันรู้สึกทราบซึ้ง. ปีที่แล้วทุกคนให้ความสนใจเป็นอย่างมาก กลุ่ม APT ในรัสเซียสิ่งที่พวกเขาเป็น ทำในยูเครนและชุมชนความปลอดภัยทางไซเบอร์สามารถระดมพลและช่วยเหลือพวกเขาได้อย่างไร ดูเหมือนว่าจะมีการเปลี่ยนแปลงครั้งใหญ่ในภาคพื้นดินตั้งแต่นั้นมา คุณช่วยเล่าให้เราฟังถึงสิ่งที่เกิดขึ้นในรัสเซียตอนนี้เทียบกับปีที่แล้วได้ไหม?

อดัม เมเยอร์ส: แน่นอนว่าผมคิดว่ามีความกังวลมากมายเกี่ยวกับเรื่องนั้น แน่นอนว่าฉันคิดว่าเราเห็นว่าความหยุดชะงักที่เกิดขึ้นโดยทั่วไปหลังจากความขัดแย้งเริ่มต้นขึ้นจะไม่หายไป แต่ในขณะที่ (เรามุ่งความสนใจไปที่) คุณรู้ไหมว่าเกิดอะไรขึ้นกับรัสเซีย จีนได้จัดตั้ง ความพยายามในการรวบรวมข้อมูลจำนวนมหาศาล ประมาณนั้น

DR: พวกเขา (รัฐบาลจีนในกลุ่ม APT ที่เกี่ยวข้อง) ใช้การรุกรานของรัสเซียเป็นปกปิดในขณะที่ทุกคนกำลังมองมาที่นี่หรือไม่? ก่อนหน้านั้นพวกเขาทำอย่างนั้นเหรอ?

AM: นั่นเป็นคำถามที่ดี ฉันคิดว่ามันได้ผลที่มันปกปิดแบบนั้น เพราะทุกคนให้ความสนใจกับสิ่งที่เกิดขึ้นในรัสเซียและยูเครนมาก มันจึงหันเหความสนใจไปจากเสียงกลองที่สม่ำเสมอของทุกคนที่ตะโกนเรียกจีนหรือทำสิ่งที่พวกเขาอยู่ที่นั่น

DR: ดังนั้นเราจึงรู้ถึงแรงจูงใจของรัสเซีย แล้วไง กลุ่ม APT ของจีน? แรงจูงใจของพวกเขาคืออะไร? พวกเขากำลังพยายามทำอะไร?

AM: มันใหญ่มาก แพลตฟอร์มการรวบรวม. ประเทศจีนมีโครงการหลักๆ มากมาย พวกเขามีสิ่งต่างๆ เช่น แผนห้าปีที่กำหนดโดยรัฐบาลจีนพร้อมข้อเรียกร้องการพัฒนาเชิงรุก พวกเขามี “ผลิตในประเทศจีน 2025” พวกเขามีความคิดริเริ่ม เข็มขัดถนนและความคิดริเริ่ม. ดังนั้น พวกเขาจึงสร้างโครงการต่างๆ เหล่านี้ขึ้น เพื่อที่จะขยายเศรษฐกิจ เพื่อพัฒนาเศรษฐกิจในประเทศจีน

สิ่งสำคัญบางประการที่พวกเขาตั้งเป้าหมายไว้คือเรื่องต่างๆ เช่น การดูแลสุขภาพ นี่เป็นครั้งแรกที่ชาวจีนกำลังเผชิญกับชนชั้นกลางที่เพิ่มขึ้น และปัญหาการดูแลสุขภาพเชิงป้องกัน (ที่มีความสำคัญเป็นอันดับแรก) โรคเบาหวาน การรักษาโรคมะเร็ง ทั้งหมดนี้ และพวกเขากำลังจัดหาสิ่งเหล่านั้นมากมายจากตะวันตก พวกเขา (คนจีน) ต้องการสร้างมันที่นั่น พวกเขาต้องการมีผลิตภัณฑ์ที่เทียบเท่าในประเทศเพื่อให้สามารถให้บริการในตลาดของตนเองได้ จากนั้นจึงขยายผลิตภัณฑ์ดังกล่าวไปยังพื้นที่โดยรอบ ภูมิภาคเอเชียแปซิฟิกที่กว้างขึ้น และด้วยการทำเช่นนั้น พวกเขาสร้างอิทธิพลเพิ่มเติม พวกเขาสร้างความสัมพันธ์เหล่านี้กับประเทศเหล่านี้ โดยที่พวกเขาสามารถเริ่มผลักดันผลิตภัณฑ์ของจีน โซลูชั่นการค้า และโครงการของจีน... เพื่อว่าเมื่อแรงกดดันมาถึงปัญหา — ไต้หวันหรืออะไรบางอย่าง — ที่พวกเขาไม่ชอบที่สหประชาชาติ พวกเขา สามารถพูดว่า “เฮ้ คุณควรลงคะแนนด้วยวิธีนี้จริงๆ เราจะขอบคุณมัน”

DR: มันจึงเป็นอย่างนั้นจริงๆ การรวบรวมข่าวกรอง และ ทรัพย์สินทางปัญญาที่ได้รับ สำหรับพวกเขา. แล้วเราจะเห็นอะไรในอีกไม่กี่ปีข้างหน้า? พวกเขาจะปฏิบัติการข่าวกรองนี้หรือไม่?

AM: สิ่งนั้นกำลังเกิดขึ้นตอนนี้ หากคุณดูสิ่งที่พวกเขาทำกับ AI ดูสิ่งที่พวกเขาทำกับการดูแลสุขภาพและการผลิตชิปต่างๆ โดยที่พวกเขาจัดหาชิปส่วนใหญ่จากภายนอก พวกเขาไม่ต้องการทำอย่างนั้น

พวกเขาคิดว่าผู้คนมองว่าพวกเขาเป็นเวิร์กช็อปของโลก และต้องการเป็นผู้ริเริ่มจริงๆ และวิธีที่พวกเขาต้องการทำคือการใช้ประโยชน์ กลุ่ม APT ของจีน และการก้าวกระโดด (ประเทศคู่แข่ง) ผ่านการปฏิบัติการทางไซเบอร์ การจารกรรมทางไซเบอร์ (ขโมย) สิ่งที่ล้ำสมัยในปัจจุบัน จากนั้นพวกเขาสามารถลองทำซ้ำและสร้างสรรค์สิ่งใหม่ ๆ นอกเหนือจากนั้น

DR: น่าสนใจ. โอเค ย้ายจากประเทศจีน ตอนนี้เราไปที่เกาหลีเหนือ และพวกเขาอยู่ในธุรกิจนี้แล้ว กลุ่ม APT ของพวกเขาเป็นนักทำเงินใช่ไหม นั่นคือสิ่งที่พวกเขากำลังมองหาที่จะทำ

AM: ใช่. มันจึงมีสามชิ้น ประการหนึ่ง พวกเขาให้บริการทางการฑูต การทหาร และการเมืองอย่างแน่นอน กระบวนการรวบรวมข่าวกรองแต่พวกเขาก็ทำเช่นกัน ทรัพย์สินทางปัญญา.

พวกเขาเปิดตัวโครงการที่เรียกว่ายุทธศาสตร์การพัฒนาเศรษฐกิจแห่งชาติหรือ NEDS และด้วยเหตุนี้ มีหกประเด็นหลักที่มุ่งเน้นไปที่สิ่งต่างๆ เช่น พลังงาน เหมืองแร่ เกษตรกรรม เครื่องจักรกลหนัก ทุกสิ่งที่เกี่ยวข้องกับเศรษฐกิจเกาหลีเหนือ

พวกเขาจำเป็นต้องเพิ่มค่าใช้จ่าย และไลฟ์สไตล์ของพลเมืองเกาหลีเหนือโดยเฉลี่ย ประชากรเพียง 30% เท่านั้นที่มีพลังงานไฟฟ้าที่เชื่อถือได้ ดังนั้นสิ่งต่างๆ เช่น พลังงานหมุนเวียน และวิธีรับพลังงาน (เป็นข้อมูลประเภทหนึ่ง) กลุ่ม APT ของเกาหลีเหนือ กำลังมองหา).

แล้วการสร้างรายได้ พวกเขาถูกตัดขาดจากระบบ SWIFT ระหว่างประเทศและเศรษฐกิจการเงินระหว่างประเทศ และตอนนี้พวกเขาจึงต้องหาวิธีสร้างรายได้ พวกเขามีบางอย่างที่เรียกว่าสำนักงานที่สาม ซึ่งสร้างรายได้ให้กับรัฐบาลและเพื่อครอบครัวด้วย

ดังนั้นพวกเขา (สำนักงานที่สาม) จึงทำสิ่งต่างๆ มากมาย เช่น ยาเสพติด การค้ามนุษย์ และอาชญากรรมทางไซเบอร์ ดังนั้น กลุ่ม APT ของเกาหลีเหนือ มีประสิทธิภาพมากในการกำหนดเป้าหมายการเงินแบบดั้งเดิมเช่นเดียวกับบริษัทสกุลเงินดิจิทัล และเราได้เห็นแล้วว่า สิ่งหนึ่งที่ในรายงานของเราที่เพิ่งเผยแพร่เมื่อวานนี้แสดงให้เห็นว่าประเภทธุรกิจที่มีการกำหนดเป้าหมายมากที่สุดเป็นอันดับสองในปีที่แล้วคือการเงิน ซึ่งเข้ามาแทนที่โทรคมนาคม มันจึงสร้างผลกระทบ

DR: พวกเขากำลังทำเงินมากมาย มาดูกันว่าในอิหร่าน ซึ่งผมคิดว่าเป็นเสาหลักสำคัญอีกประการหนึ่งของการดำเนินการของ APT ก็คือในอิหร่าน เกิดอะไรขึ้นในหมู่ กลุ่ม APT ของอิหร่าน?

AM: ในหลายกรณี เราได้เห็นการแสดงตนปลอมเพื่อกำหนดเป้าหมายศัตรู (อิหร่าน) ของพวกเขา เช่น ตามอิสราเอลและสหรัฐอเมริกา ซึ่งเป็นประเทศตะวันตก กลุ่มเอพีที ได้รับการสนับสนุนจากอิหร่าน จะสร้างตัวตนปลอมเหล่านี้และปรับใช้แรนซัมแวร์ แต่ไม่ใช่แรนซัมแวร์จริงๆ เพราะพวกเขาไม่สนใจที่จะเก็บเงิน พวกเขา (กลุ่ม APT ของอิหร่าน) เพียงต้องการทำให้เกิดการหยุดชะงัก จากนั้นจึงรวบรวมข้อมูลที่ละเอียดอ่อน ทั้งหมดนี้ทำให้ผู้คนสูญเสียศรัทธาหรือความเชื่อในองค์กรทางการเมืองหรือบริษัทที่พวกเขากำหนดเป้าหมาย ดังนั้นจึงเป็นแคมเปญที่ก่อกวนโดยปลอมตัวเป็นแรนซัมแวร์ ผู้คุกคามชาวอิหร่าน

DR: มันคงเป็นเรื่องยากมากที่จะพยายามกำหนดแรงจูงใจให้กับการโจมตีเหล่านี้จำนวนมาก คุณจะทำอย่างไร? ฉันหมายถึง คุณรู้ได้อย่างไรว่ามันเป็นเพียงแนวหน้าของการหยุดชะงัก ไม่ใช่การดำเนินการสร้างรายได้

AM: นั่นเป็นคำถามที่ดี แต่จริงๆ แล้วมันก็ไม่ยากขนาดนั้น เพราะถ้าคุณดูว่าเกิดอะไรขึ้นจริง ๆ ใช่ไหม? — สิ่งที่เกิดขึ้น — หากพวกเขาเป็นอาชญากร และมีแรงจูงใจทางการเงิน พวกเขาจะจ่ายเงิน นั่นคือวัตถุประสงค์ใช่ไหม?

หากพวกเขาไม่สนใจเรื่องการหาเงินจริงๆ เช่น NotPetya ตัวอย่างเช่น นั่นค่อนข้างชัดเจนสำหรับเรา เราจะกำหนดเป้าหมายไปที่โครงสร้างพื้นฐาน จากนั้นเราจะพิจารณาถึงแรงจูงใจ

DR: และโดยทั่วไปในกลุ่ม APT มีการโจมตีอะไรบ้าง ของวัน? ตอนนี้พวกเขากำลังพึ่งพาอะไรจริงๆ?

AM: เราจึงได้เห็นอะไรมากมาย กลุ่มเอพีที ไปตามอุปกรณ์ประเภทเครือข่าย มีการโจมตีอุปกรณ์ที่เปิดเผยต่อระบบคลาวด์และอุปกรณ์เครือข่ายต่างๆ เพิ่มมากขึ้น ซึ่งเป็นสิ่งที่ปกติแล้วไม่มีสแต็กการรักษาความปลอดภัยปลายทางสมัยใหม่

และไม่ใช่แค่กลุ่ม APT เท่านั้น เราเห็นสิ่งนี้อย่างมากกับกลุ่มแรนซัมแวร์ ดังนั้น 80% ของการโจมตีจึงใช้ข้อมูลประจำตัวที่ถูกต้องเพื่อเข้าไปโจมตี พวกเขาอาศัยอยู่นอกพื้นที่และเคลื่อนตัวไปด้านข้างจากที่นั่น และหากทำได้ ในหลายกรณี พวกเขาจะพยายามที่จะปรับใช้แรนซัมแวร์กับไฮเปอร์ไวเซอร์ที่ไม่สนับสนุนเครื่องมือ DVR ของคุณ จากนั้นพวกเขาสามารถล็อกเซิร์ฟเวอร์ทั้งหมดที่ทำงานบนนั้นได้ ไฮเปอร์ไวเซอร์ และทำให้องค์กรเลิกกิจการ

DR: น่าเสียดายที่เราหมดเวลาแล้ว ฉันอยากจะพูดคุยเรื่องนี้ให้นานกว่านี้มาก แต่คุณช่วยทำนายให้เราหน่อยได้ไหม? เราจะได้เห็นอะไรในพื้นที่ APT คุณคิดว่า 12 เดือนต่อจากนี้?

AM: พื้นที่ค่อนข้างสม่ำเสมอ ฉันคิดว่าเราจะได้เห็นพวกเขา (กลุ่ม APT) พัฒนาภูมิทัศน์ของช่องโหว่ต่อไป

ตัวอย่างเช่น หากคุณดูที่จีน การวิจัยเกี่ยวกับช่องโหว่ใดๆ ก็ตามจะต้องผ่านกระทรวงความมั่นคงแห่งรัฐ โดยเน้นไปที่การรวบรวมข่าวกรองนั่นเอง นั่นคือแรงจูงใจหลักในบางกรณี มีการหยุดชะงักเช่นกัน

และตามคำทำนาย สิ่งที่ทุกคนต้องคำนึงถึงก็คือ การจัดการข้อมูลประจำตัวเนื่องจากภัยคุกคามที่เราเห็น การละเมิดเหล่านี้เกี่ยวข้องกับตัวตน เรามีสิ่งที่เรียกว่า "เวลาฝ่าวงล้อม" ซึ่งจะวัดระยะเวลาที่นักแสดงใช้ในการย้ายจากการตั้งหลักครั้งแรกสู่สภาพแวดล้อมไปยังระบบอื่น เวลาที่เร็วที่สุด (เวลาฝ่าวงล้อม) ที่เราเห็นคือเจ็ดนาที นักแสดงเหล่านี้จึงเคลื่อนไหวเร็วขึ้น ประเด็นสำคัญที่สุดคือพวกเขา (กลุ่ม APT) กำลังใช้ข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย ซึ่งเข้ามาในฐานะผู้ใช้ที่ถูกต้องตามกฎหมาย และเพื่อป้องกันสิ่งนั้น การปกป้องตัวตนถือเป็นสิ่งสำคัญ ไม่ใช่แค่ปลายทางเท่านั้น

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks