アナスタシア・チホノワ：「APT攻撃がまだ大量の死傷者を出していないことは非常に幸運です」

新しいプロジェクトがあります。この投稿から、Group-IBの専門家や一流のスペシャリストを紹介し、彼らの仕事、研究、事例、トレーニングを受ける方法と場所、そしてもちろん、現在の欠員へのリンク。最初のゲストは アナスタシア・チホノワです。私たちは彼女のインタビューを直接話法で、そして彼らが言うように、カットなしで行います。

:

: .

: Threat Intelligence Group-IB.

: Threat Intelligence & Attribution Analyst.

: 29 .

: .

: 9 , (APT).

: APT, ,

-新しいデジタル兵器の開発、ゼロデイ脆弱性の悪用、悪意のあるプログラムの新しい配信手段と配布のテスト。中国、北朝鮮、米国、イランには独自のサイバー軍があり、トルコ、インド、カザフスタン、南米諸国がこのレースに参加しています。 2017年から3年以上、私はAPT（Advanced Persistent Threat）を研究してきました。複雑な標的型脅威、特別なサービスによる攻撃、またはプロ政府のハッカーグループとも呼ばれ、4〜5の新しいグループがあります。毎年登場します。現在、世界には70以上のグループが活動しており、一時的に「低迷」しているグループや、まだ秘密裏に活動しているグループは含まれていません。ほとんどのAPTはサイバースパイ活動を対象としており、妨害行為や妨害行為は少なくなっています。北朝鮮のグループLazarusと暗号通貨交換を攻撃する多数の中国のAPTに直面して例外がありますが、銀行やゲーム開発者はお金を稼ぐ。



親政府グループは、必ずしも「制服を着たハッカー」ではなく、9.00から18.00まで従来のバンカーで働いています。これらは、「暗闇の中で」使用されるスペシャリスト、または祖国への愛情から犯罪を犯すサイバー愛国者（一部あります！）、またはプロの傭兵-「給与」のハッカーである可能性があります。領収書や支払額（および支払われるかどうか）の明細書はありませんが、市場よりも高いと思います。彼らはかなり特定の仕事をしているからです。そして、リスクは適切です。



ハッカーが追求する動機に関係なく、サイバー攻撃は犯罪であり、法律違反です。マイアミ（フロリダ州）での水処理システムの制御システムに対する最近の攻撃は、コンピューターへのリモートアクセスを伴う話です。 TeamViewerは、従業員がリモートで何かを制御できるようにマシンにインストールされました。アカウントはパスワードで保護されていましたが、攻撃者はパスワードを推測することができました。彼は2回ログインし、2回目は、インターフェイス設定の水酸化ナトリウムの量的比率を、人の健康に重大な害を及ぼす可能性のあるものに変更しました。これを見て、会社の従業員はすぐに設定を安全に戻しました。そして、これはサイバーパンクテレビシリーズからのプロットではありません。昨年、北朝鮮のハッカーは、インドのクダンクラム原子力発電所の発電所を停止することに成功し、おそらくかなり高レベルの従業員のワークステーションを危険にさらした。2020年には、イスラエルの攻撃者は浄水システムにアクセスすることもでき、さらには塩素レベルをリモートで変更しようとしました。これは中毒の波を引き起こしたでしょう。 APT攻撃がまだ大規模な人命の損失をもたらしていないことは非常に幸運です。



APT- -攻撃で使用する戦術と手順は、通常のサイバー犯罪者にも採用されています。たとえば、2017年にプロス​​テートグループがランサムウェアWannaCry、BadRabbit、NotPetyaを使用した後、ランサムウェアの犯罪攻撃の本当の流行が世界を席巻しました-彼らの助けを借りて、攻撃が成功した場合と同じように稼ぐことができます攻撃の技術的な実行とコストがはるかに単純であるという事実にもかかわらず、銀行...銀行を攻撃してお金を盗んだり引き出したりしていたCobaltやSilenceのような「古典的な」金銭的動機のある犯罪グループでさえ、ランサムウェアの使用に切り替え、民間パートナーシッププログラムのメンバーになりました。私たちの推定によると、ランサムウェア攻撃による被害は、昨年は約2,000件で、少なくとも10億ドルにのぼりました。これは、最も控えめな見積もりによるものです。

: Threat Intelligence

, . 子供の頃、私は警察官になりたいと思っていました。そして、10年生で私はFSBアカデミーに入ろうとしました-私は軍人の家族から来ました。 Group-IBの前は、ウイルス対策会社で1年間働いていましたが、すでに報道機関でGroup-IBに関するニュースに気づきました。彼らは新しい調査を発表し、調査を行い、逮捕に参加しました。当時、情報セキュリティ企業の市場にはプレーヤーがほとんどいませんでしたが、それでもGroup-IBはサイバー犯罪への不寛容、テクノロジーへの出資で際立っていました。そこで開発の機会を見つけるのは興味深いことでした。だった。 2013年にGroup-IBに参加したとき、脅威インテリジェンス部門は単に分析部門と呼ばれ、ハクティビストの調査から調査部門がハッカーを特定して身元を確認するのを支援するまで、まったく異なる問題に取り組んでいました。7年間で、私たちの3人の部門は、30人以上の従業員を擁するサイバーインテリジェンス部門に成長しました。



サイバーインテリジェンスは異なります。 今日、脅威インテリジェンスとTIツール市場は、顧客に平凡な「ブラックリスト」（「悪い」アドレス、「悪い」ドメインのリスト）を送信することに要約されることがよくあります。私たちにとって、Group-IBでは、脅威インテリジェンスとアトリビューションは攻撃者に関する知識です。脅威を分析するだけではもはや十分ではありません。CTOのDimaVolkovが言うように、本当の脅威に直面したときは、重要な質問の1つに答える必要があります。誰があなたを攻撃していて、どのような助けを借りているのでしょうか。このデータに加えて、私たちはクライアントに作業するためのツールを提供し、独自のサービスを提供します。これにより、アクティブなタスクの一部が、すでに必要な経験とスキルを持っているスペシャリストの肩に移ります。現在、機械知能と自動化システムによって多くのことが行われています。しかし、これは「繊細な手作業」を否定するものではありません。



私の最初の大きな研究の1つは、ISISをサポートするハッカーによるロシアへの攻撃に関するものでした。フォーブスはこのことについて次のように書いています 。「グローバルイスラムカリフ制、チームシステムDz、ファラガチームグループのイスラム教徒のハッカーが政府機関や民間企業の約600のロシアのウェブサイトを攻撃しました」。当時はまだ半手動で地下にアクセスできていました。ハッカーフォーラムに行き、サイバーインテリジェンス（脅威インテリジェンス）に役立つさまざまな情報やデータを登録、収集し、それらに基づいてクライアントにレポートを作成しました。ある時点で、私が地下に従事するのは退屈になり、もっと難しい仕事が欲しかったので、私のリーダーであるCTOGroup-IBのDmitryVolkovは、中国のAPTの1つについて調査することを提案しました。これがすべて始まったので。







私の仕事では、脳や手をすばやく動かす必要があります...そして一般的には動きます。ある日、中国の親政府グループによる攻撃の調査を行うことができます。その後、ナイジェリアの検出ルールのトリガーがどのように飛来したか（最近、インターポールとの共同作戦がありました ）、夕方までに判明しました。誰かがロシアのハッカーの名前からDDOSクライアントを持っていること...



infobezの女の子？ええ、そうです、だから何ですか？私はそのような質問が嫌いです。ことわざにあるように、「才能には性別はありません」。性別は関係ありません。優れたアナリスト、研究者になることも、そうでないこともあります。

そのままの作業：少しの内部作業

私の典型的な一日は、一杯のコーヒーとツイッターから始まります。私には優れた購読ベースがあります。私が購読している研究者やジャーナリストがいて、私を購読しています。このソーシャルネットワークでは、infobezがさまざまな攻撃に関するデータを交換しているとベンダーが報告しています。たとえば、韓国の企業ESRCは現在、非常に興味深い調査を行っています。また、APTを介していくつかの特殊な電報チャネルを購読しています。ここでは、コミュニティが非常に明確に機能しています。ある研究者がハッカーグループの管理サーバーを見つけ、そのデータを電報チャネルにドロップした場合、彼らはこの事件に関する情報を調査して破棄するのに役立ちます。 APTに関する話題は通常、非常にすぐに興味深い詳細で大きくなりすぎますが、サイバーエッジやフィッシングへの関心はそれほど高くありません。まあ、おそらく人気のあるランサムウェアを除いて。



どのような場合でも、作業は分析から始まります。原則として、私が研究プロジェクトを開始する前に、私はすでに情報のプールを持っています：私たちと他の誰か（他のベンダーまたはアナリストから）の両方。使用されたトロイの木馬、悪意のあるドキュメント、ドメイン、リンクなどのハッシュなど、検出されたインジケーターをスピンアップし始めます。これらすべてのインジケーターを、まだ誰も見ていないデータで補足する可能性についてテストしています。 、これはよく起こります。私の作業ツール（脅威インテリジェンスとアトリビューションの開発、グループIBネットワークグラフ）は、それらを使用して、侵害の追加の指標をすばやく見つけ、クライアントにアラートとして送信します。これにより、顧客は攻撃を防ぎ、不要なアクティビティをブロックすることができます。





写真：Group-IBネットワークグラフ





を使用してグループのインフラストラクチャを調査した例コミュニティ内のグループとハッカーの間の過去のつながり、数年にわたるサイバー犯罪者からのデータがあります。これは貴重なデータです-メール、電話、インスタントメッセンジャー、ドメインとIPのデータベース、悪意のあるプログラムに関連するデータ。たとえば、Group-IB TI＆Aデータベースには、サイバー犯罪者がこれまでに使用したすべてのドメインがあり、17年以上の変更の履歴があります。個々の犯罪グループの詳細、「手書き」について話すことができます。 1つのグループが同じサーバーを使用しているか、2つのお気に入りのプロバイダーにドメイン名を登録していることがわかっています。このすべてのデータをGroup-IBシステムの外部脅威ハンティングにロードし、出力で効果的な脅威ハンティングと呼ばれるものを取得します。



, , .長時間座ってキャラクターを監視し、追加のアカウントを見つけようとしても見つからないことがあります...。そして突然、彼がインターネットに投稿されたスクリーンショットや古い写真に彼の個人的なメールを示したことがわかります。私たちは、より深く、より深い分析を掘り下げる必要があります。あなたはすでに追加のアカウント、彼と対話できる人々を探し始めています、あなたが特定の都市を計算するならば、あなたはすでにより多くの情報を手に入れます、時々あなたはすでに通りを知っていることが起こります。手がかりは何でしょうか？それはソーシャルネットワークからの写真、または彼のガールフレンドのInstagramの写真である可能性があり、女の子はいない-火口を見るなど-言い換えれば、OSINT、オープンソースインテリジェンス。 Group-IBのすべての技術部門がこのツールを所有していますが、それぞれに独自のOSINTがあります。



私たちも調査中です。私たちグループIBは攻撃を試みなかったと思いますか？私たちは本当のサイバー犯罪に直面しています。彼らは私たちを脅かそうとしています。彼らは「挨拶」を送りました。もちろん、クレブスとは異なり、他の挨拶はマルウェアからのものが多いです。



最終的には、サイバー犯罪を防ぐためにすべての分析が必要になります。サイエンスフィクションのように聞こえますが、ハッカーやAPTが攻撃を行う前でも攻撃を予測できます。インフラ整備の段階でも、攻撃を特定し、お客様に警告します。さらに、脅威インテリジェンスとアトリビューションのデータは、ダークウェブやアンダーグラウンドハッカーフォーラムからの情報で強化され、他のソリューションで使用されるため、アナリストは脅威の最も完全な全体像を確認し、犯罪活動を最大限の精度で特定できます。

韓国からカレリアへ：APTの風景

APT, “ ” — — .私は彼らのアプローチが「好き」です-彼らは彼らの仕事に対する思慮深く非標準的なアプローチです。たとえば、探検と浸透の段階で、彼らは「候補者」との超現実的なインタビューを行い、疑惑を抱かずに長時間プレイします。さらに、彼らは絶えず開発している興味深いツールを持っています。当初、彼らは韓国と米国に対する古典的なサイバースパイ活動から始まり、やがて彼らはお金、貴重な情報、または妨害行為を盗むことができる普遍的な兵士になりました。 LazarusやKimsukyなどの北朝鮮のグループは、毎年、攻撃方法とツールの着実な発展を示しています。昨年、北朝鮮のハッカーによる多数の攻撃が世界中の軍事請負業者を標的にしました。コメルサントはこれについて書いています、多分あなたはそのようなプレスを読んだでしょう:)



北朝鮮には、私の意見では、大きな「ルート」グループがあります。ラザルスは、さまざまな非中核的なタスクを解決するために、アンダリエルなどの指揮下にあるさまざまなチームを持っています。ちなみに、これらの北朝鮮のAPTの両方の名前は、人気のあるコンピューターゲーム「ディアブロ」の研究者によって取られています。



イランでは、APTグループへの従業員の採用は学生のベンチから直接行われます。イランのハッカーに関するハブレに関する記事を公開した後、被告の1人の名前と名前が文書に記載されていました。最初、私たちは疑いました-あなたは誰の名前が刻まれているかを決して知りません。しかし、かつて彼のメールがハッカーのリソースに公開されていたことが判明し、私たちに非常に興味を持っていました。これらすべてを解明した結果、脆弱性を悪用する方法を学ぶことに専念しているフォーラムでさまざまなアカウントを見つけました。これにより、ハッキングを行ったのはまさにこの人物の「ブレイチャー」であることがさらに確信できました。私たちが調査結果を発表したとき、彼はツイッターに次の精神で書いた：「なぜあなたはただ人々を非難するのか、あなたは決して知らない、人が設立されるかもしれない、あるいは彼はつまずいたのか？」。しばらくして、彼自身がこのメッセージを削除しました：それは彼を真っ向から非難しました。



アメリカのAPTについては聞いていませんが、それはそれらが存在しないという意味ではありません。アメリカのバンドはありますが、ほとんど何もありません。タスクに取り組み、他の人をスパイする、よく組織されたグループが1つあるのに、なぜ多くの小さなAPTグループが必要なのですか？修辞的な質問。米国では、すべてがNSAと密接に関連しています。つまり、これらのゼロデイ攻撃やその他の脆弱性やツールを備えたかなり大規模なネットワークがあります。ウィキリークスが投稿したものは、NSAが持っているもののごく一部です。



州で働く「ロシアのハッカー」は、今や西洋では非常にファッショナブルで誇大宣伝の話題になっています。マスコミでのハッカー攻撃は、特定のグループを明確に示す実際の技術データに基づくのではなく、緊迫した政治状況（ロシア対米国、イスラエル対イラン、北朝鮮対韓国）に基づいて特定の国に結び付けられることがよくあります。グループはしばしば偽旗を使用し、トラックを難読化しようとすることを忘れないでください。たとえば、これはラザロがしたことです。一般的に、「ロシアのハッカー」は90年代後半のものです。 「ロシア人」は存在せず、「ロシア語を話す」-世俗主義後の国々の人々がいます。そして、「ロシアのハッカーが最もクールだ」というのはもはや事実ではありません。グループは混合されており、さまざまな国籍の人々で構成されています。







すべてが単純だとは思わないでください。APTは、トラックを難読化し、偽旗を投げ、「矢印を回す」ことを試みることがよくあります。同じイランのMuddyWaterは、Fin7を模倣しようとすることから始まりました。ラザロの場合のように、北朝鮮に属する特定のIPアドレスにアクセスした場合、その後、これが北朝鮮であると宣言できます。そして、これは一部のベンダーが行っていることです。それ以外の場合は、攻撃されたターゲットを確認したり、攻撃元のインフラストラクチャを確認したり、コードを作成する際のコメントの方法で確認したりすることしかできません。南シナ海で攻撃があった場合、この地域に関心のある国が関与していると推測できます。そして、あなたはすでにどのような種類のツールが使用されているかを理解し始めています。これはPlugXトロイの木馬であるため、おそらく間違いなく中国です。そして、インフラストラクチャに到達します。これらは確かに中国のIPアドレスです。

マスタリーシークレットとレベリングブックのリスト

あなた自身の自己啓発には上限がありません。ヨーロッパやアジアで働きたいと思います。他の情報セキュリティの専門家と経験を交換する機会が増えるので、考え方を理解し、この地域でAPTが具体的にどのように機能するかを想像することができます。簡単にできると思います。Group-IBは、前年にシンガポールにグローバル本社を開設し、昨年はアムステルダムにヨーロッパ本社を開設しました。ツールが進化し、APTグループが消えることはないので、私は常に仕事をします。さらに、私の職業は需要があります。



私たちは皆、スーパーマルチタスクです：多くの場合、さまざまなソースから大量のデータを取得して分析する必要があり、これは骨の折れるプロセスです。したがって、初心者にとっては、好奇心、忍耐力など、いくつかの資質が重要です。新しいタイプの攻撃や脆弱性の出現を監視するために、あらゆるタイプの攻撃に関するすべての政治ニュースに遅れないようにする必要があります。ほとんどの場合、情報セキュリティの専門教育を受けた方を対象としていますが、私の場合はそうではないので、その場で経験を積むことができます。つまり、興味のある人なら、問題の根底にあることに慣れていて、ITの知識があり（ITの知識が必要です）、原則として、ジュニアアナリストを取得できます。すでにこの分野での開発を経験しています。主なものは、開発への献身と願望です。



職業に没頭したり、脅威インテリジェンスアナリストとしてレベルアップしたりするために、次の小さな参照リストをお勧めします。

1. CIAのベテランであるRichardsHeuerの「PsychologyofIntelligence Analysis」の時代を超越した古典。これは、私たちの脳が生成する思考、エラー、制限（認知バイアス）の特殊性を説明しています。たとえば、予期しない現象を認識するには、予想よりも明確な情報が必要です。「私たちは、予想されるものを知覚する傾向があります」。
2. サイバー脅威インテリジェンスの基本原則と概念は、脅威インテリジェンス：MWRInfoSecurityのDavidChismon、Martyn Ruksによる収集、分析、評価に記載されています。
3. , Cyber Threat Intelligence, APT, «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». , , .
4. Kill Chain, Diamond Model MITRE ATT&CK — , Cyber Threat Intelligence, : „MITRE ATT&CK: Design and Philosophy , ATT&CK, . MITRE ATT&CK, .
5. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — Kill Chain, , .
6. The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — , CTI.
7. , , APTNotes. , , , , , , .
8. , —

Threat Intelligence & Attribution Analyst?

脅威インテリジェンスおよびアトリビューションアナリストの専門職に関心のある方のために、当社はサイバー脅威に関する情報を収集し、効果的なインシデント対応と脅威監視のためにTIデータでサイバーセキュリティプロセスを強化 する実践的なコースを提供する準備ができています 。



Group-IB Threat Intelligence＆Attribution Analystコースの目標は、オープンとクローズの両方のさまざまなタイプのソースから意味のある情報を収集して、この情報を解釈し、攻撃の準備の兆候を特定する方法を教えることです。このプログラムには、Group-IBサイバーインテリジェンス部門のケーススタディに基づいた実践的な演習が含まれています。このアプローチは、学生が日常の練習で得た知識をすぐに適用できるようにするために重要です。

理にかなっている仕事！

そしてもう1つの重要な発表。Group-IBは技術チームを強化します。チームの一員になり、私たちと一緒に世界を変えましょう！現在、120以上の空席があり、そのうち60は技術スペシャリストです。詳細は こちら。Group-IBは次世代のエンジニアです。私たちは大胆なアイデアを具現化し、サイバー犯罪を調査し、サイバー攻撃を防ぎ、攻撃者、その戦術、ツール、インフラストラクチャを追跡するための革新的なテクノロジーを作成します。



参加しませんか！