Le operazioni APT cinesi dispongono di un esercito di programmatori e di una serie di strumenti dannosi avanzati. Ma alcuni dei loro strumenti di hacking più importanti non sono nemmeno il loro codice proprietario. Proprio come altri gruppi di minacce sponsorizzati dallo stato, si affidano anche a software pubblicamente disponibile o open source di cui possono abusare per i loro scopi nefasti, arrivando al punto di monitorare i forum di hacking per vedere gli ultimi sviluppi nel codice.
Molti di questi strumenti possono essere utilizzati per scopi innocenti, ma nelle mani sbagliate, un utile programma di test della penna può facilmente diventare un aiuto per hackerare utilizzato per spiare aziende, governi e altri obiettivi di interesse.
Mike McLellan, direttore di Secureworks, ha parlato con SC Media della scoperta e dell'indagine di una recente campagna di attacco cinese che ha rivelato come gli attori dello stato-nazione sfrutteranno qualsiasi codice a loro disposizione per raggiungere i loro obiettivi. McLellan ha anche affrontato il modo in cui il monitoraggio degli avversari mentre sono alla ricerca di nuovi strumenti può aiutare a proteggersi da attacchi futuri, se gli sviluppatori hanno la responsabilità morale di essere cauti quando rilasciano i loro strumenti e exploit e dove sono di tendenza le attività di hacking offensive della Cina.
Sfruttando l'intelligence acquisita attraverso i recenti impegni di risposta agli incidenti con i clienti, Secureworks ha trovato prove di hacker sponsorizzati dallo stato cinese che adottano e abusano di strumenti rilasciati da sviluppatori esterni che operano su forum di hacking. Dimmi di più su questa indagine.
Recentemente abbiamo avuto un po 'di successo rintracciando alcuni degli strumenti che sono stati sviluppati nei forum di hacking cinesi, quindi vedendoli utilizzati da gruppi di minacce sostenuti dal governo cinese. Non sono tutti sviluppati in casa. Come la maggior parte delle minacce che tracciamo, molti di questi strumenti ora sono open source o disponibili al pubblico, disponibili in commercio, qualunque esso sia. È molto più facile per i gruppi di minacce riutilizzare solo cose che sono già là fuori, ei gruppi cinesi non sono diversi sotto molti aspetti. Quindi è stato piuttosto interessante per noi monitorare, in particolare le cose sviluppate in ambienti in lingua cinese e poi distribuite contro i nostri clienti.
Abbiamo svolto un impegno di risposta agli incidenti con un cliente in cui abbiamo visto l'attore utilizzare un particolare exploit contro un server Microsoft Exchange utilizzando una vulnerabilità priva di patch. E quando abbiamo esaminato i comandi che erano in esecuzione e l'exploit che era stato utilizzato, abbiamo cercato le prove di quei comandi altrove. Abbiamo cercato su Internet uno di questi comandi e gli hit che stavamo ottenendo provenivano dai forum in lingua cinese in cui si parlava di questo exploit. E c'erano hacker o ricercatori che parlavano di come avrebbero potuto usarlo – nello stesso modo in cui fanno i ricercatori in Occidente – ma la maggior parte delle conversazioni di questa particolare cosa sembrava avvenire nei forum in lingua cinese.
Ha suggerito che questo attore che pensavamo fosse cinese aveva potenzialmente ottenuto uno strumento da uno di questi forum e poi lo ha usato contro uno dei nostri clienti.
E poi, in un'istanza separata, stavamo esaminando alcuni malware che abbiamo scoperto che utilizzavano un modo particolarmente nuovo di caricarsi: un PlugX [malware] che utilizzava un VBScript per il caricamento. E ancora, quando abbiamo iniziato a esaminare quella tecnica di caricamento, abbiamo scoperto che ne avevano discusso in un forum in lingua cinese. E abbiamo iniziato a vedere uno schema comune in cui c'era un numero molto piccolo di ricercatori che fondamentalmente stavano sviluppando strumenti, allo stesso modo, ancora una volta, delle loro controparti occidentali. C'erano gruppi cinesi che raccoglievano questi strumenti e li usavano, a volte entro uno o due giorni [dalla loro messa a disposizione]. Quindi [i gruppi di minacce li stavano] incorporando molto rapidamente nel loro set di strumenti, e poi uscendo e usandoli contro le organizzazioni a cui erano interessati.
E ovviamente non abbiamo alcuna prova che quei ricercatori siano in qualche modo legati a queste operazioni. I loro strumenti sono disponibili per chiunque voglia scaricarli, ma chiaramente i gruppi di minacce cinesi che sono impegnati a monitorare gli strumenti che questi ragazzi mettono fuori, e stanno quindi cercando di usarli rapidamente.
Dal nostro punto di vista, se è possibile monitorare lo sviluppo di tale strumento e sviluppare protezioni per esso non appena diventano disponibili, possiamo potenzialmente arrivarci prima che alcuni di questi attori delle minacce lo facciano e avere effettivamente protezioni per i clienti prima di vederlo essere utilizzato.
Perché questa strategia è vantaggiosa per i gruppi di hacker sponsorizzati dallo stato cinese invece di fare affidamento principalmente sui propri set di strumenti proprietari, che possono sviluppare da zero e di nascosto? Non è un vantaggio per la comunità della sicurezza che anche loro abbiano una finestra su questi forum di hacking e conoscano questi strumenti?
Questo grande "modello pubblico-privato" non credo sia particolarmente nuovo per la Cina. Hanno sempre cercato di utilizzare i privati e gli strumenti sviluppati da alcuni di questi individui a proprio vantaggio.
È una tendenza che abbiamo visto su tutta la linea, davvero. Ad esempio, guardi altri strumenti disponibili pubblicamente come Cobalt Strike: così tanti attori delle minacce stanno utilizzando quello strumento con successo contro obiettivi. Quindi, c'è un modello provato e testato per farlo. Il motivo per cui ha successo è perché le organizzazioni [non dispongono degli] strumenti per rilevarlo o perché gli sviluppatori di quegli strumenti li stanno evolvendo per renderli più difficili da rilevare perché questo è il loro modello.
Il secondo punto è: perché non provarci? Anche se vieni scoperto, puoi semplicemente riprovare con uno strumento diverso. Non ci sono costi per il gruppo di minacce nello sviluppo di quello strumento perché non hanno dovuto dedicare tempo a scrivere codice, non hanno bisogno di avere sviluppatori interni per fare quel genere di cose nel modo giusto.
E il terzo punto è che, anche se vieni scoperto, è davvero difficile per noi capire chi fosse, perché dobbiamo fare affidamento su cose diverse dagli strumenti. Mentre ai bei vecchi tempi, quando i cinesi scrivevano il proprio malware, era possibile tenere traccia dei singoli gruppi in base ai set di strumenti che utilizzavano, perché sapevi che quello strumento veniva utilizzato solo da un particolare gruppo. Non appena diventano disponibili pubblicamente, non possiamo fare affidamento sugli strumenti da soli come una forma di attribuzione, quindi anche se vieni scoperto, devi solo riorganizzare, riprovare e la vittima potrebbe non capire chi era chi era cercando di entrare, in primo luogo.
Oltre a sviluppare protezioni per questi strumenti per difendere i tuoi clienti, condividi questo tipo di risultati con le forze dell'ordine?
Avremo una conversazione con le forze dell'ordine su ciò che abbiamo visto. Dobbiamo anche stare attenti, perché questi [sviluppatori] sono individui che hanno costruito strumenti che sono, in teoria, sviluppati per scopi di test di sicurezza molto simili a Cobalt Strike e Mimikatz e tutto quel genere di cose di cui si sente parlare più comunemente. Quindi dobbiamo stare molto attenti a non suggerire a nessuno, comprese le forze dell'ordine, che questi individui siano coinvolti [con gruppi di minaccia APT].
Chiaramente, se vediamo questi strumenti utilizzati, potremmo trasmettere tali informazioni, potenzialmente, e spetta alle forze dell'ordine indagare sui collegamenti lì. E sono abbastanza bravi a trovare quei collegamenti che esistono. Quindi sì, lavoriamo con le forze dell'ordine dove possiamo aiutarli a comprendere l'impatto sui nostri clienti e, ovviamente, con il consenso dei nostri clienti. Ma lasciamo a loro l'analisi e la valutazione in termini di come la perseguono.
Esiste l'obbligo morale da parte degli sviluppatori di questi strumenti di prendere determinate precauzioni in modo che questi strumenti non possano essere utilizzati in modo così rapido e semplice da parte di malintenzionati? Forse in alcuni casi gli strumenti non dovrebbero nemmeno essere disponibili al grande pubblico?
Al momento nel settore è in corso un dibattito interessante sulla velocità con cui alcuni di questi strumenti vengono sviluppati e sulla velocità con cui compaiono e vengono utilizzati nuovi exploit. Sicuramente iniziano a incorporare in alcuni di questi strumenti più velocemente di quanto le organizzazioni possano applicare le patch e controllare se stesse. È un dibattito interessante, lo sviluppo di alcuni di questi strumenti. Ma sì, sono sviluppati principalmente per buoni scopi.
È davvero complicato. Non credo che possano fare molto. Sviluppano lo strumento e se scelgono di renderlo disponibile pubblicamente, il modo in cui le persone scelgono di usarlo dipende da loro. Non dovrebbe essere gratuito. Lo sviluppo di questi strumenti dovrebbe avvenire con l'intento dichiarato, ovvero aiutare le organizzazioni a comprendere i propri rischi ed essere in grado di testare l'efficacia dei propri controlli. E penso che questi strumenti forniscano uno scopo davvero utile e prezioso per questo, ma c'è quasi una fretta indecente con cui gli sviluppatori a volte cercano di aggiornare i loro strumenti e incorporare l'ultimo e più grande exploit. e sarà sempre più veloce di quanto qualsiasi organizzazione ragionevole possa difendersi.
Quindi penso che ci sia la responsabilità di pensare potenzialmente alla velocità con cui stai rendendo disponibile questa roba. La roba ransomware che abbiamo visto, ad esempio, è un buon esempio in cui la barra di accesso è stata abbassata così tanto da strumenti disponibili pubblicamente che non è molto difficile ora per qualcuno uscire e iniziare a crittografare i sistemi nella rete di qualcuno. Hanno un sacco di strumenti su Internet e hanno imparato a usarli.
È un vero equilibrio. Sono ovviamente dalla parte del "team blu", suppongo … ma penso solo che il settore abbia bisogno di pensare a come meglio fornire l'effetto [degli strumenti], che è assicurarsi che le organizzazioni possano proteggersi, senza consegnando questo genere di cose ai cattivi che poi le usano contro i clienti di altre organizzazioni.
Lo scorso luglio, i funzionari del Dipartimento di giustizia degli Stati Uniti hanno incriminato due cittadini cinesi accusati di aver violato la ricerca sul Covid-19 . Hai monitorato gli sforzi di spionaggio informatico della Cina in relazione alla pandemia?
Ovviamente abbiamo monitorato attentamente quella situazione e abbiamo parlato molto con i nostri clienti farmaceutici, e anche con i clienti che lavorano nello sviluppo delle politiche e in quel tipo di aree perché tutte queste cose sono legate insieme. Questi settori sono sempre stati obiettivi prioritari per i cinesi almeno dal 2011.
C'è sempre stato interesse a essere in grado di svilupparsi e competere con le industrie farmaceutiche d'oltremare, perché la Cina vuole essere in grado di produrre i propri farmaci per la propria gente e competere anche a livello internazionale.
Non abbiamo visto una quantità enorme di questo con la nostra base di clienti, ma ovviamente abbiamo sentito la notizia che sta accadendo altrove … Quindi non è una sorpresa. Il punto che abbiamo fatto a uno dei nostri clienti farmaceutici è: non dovresti essere sorpreso dal fatto che i cinesi lo facciano. Anche se al momento non abbiamo dimostrato che te lo stanno facendo, sarai potenzialmente un bersaglio per loro. Quindi è uno sviluppo interessante, che terremo d'occhio.
Come descriveresti l'attuale natura del patto tra Stati Uniti e Cina in cui le nazioni hanno deciso di non sottrarre la proprietà intellettuale alle industrie private ?
Penso che la Cina sia stata prolifica all'inizio degli anni 2010 e stesse rubando informazioni, sinistra, destra e centro relative in particolare al loro piano quinquennale per [soddisfare] le loro priorità strategiche come paese. Con l'accordo mediato dall'amministrazione Obama, penso sia giusto dire che abbiamo assistito a una diminuzione dell'attività e che è diventato meno prolifico. Penso che probabilmente sia stato guidato principalmente dal danno politico che hanno causato dall'essere catturati … Abbiamo avuto alcune delle grandi accuse emerse intorno alla campagna APT1 e quel genere di cose che hanno davvero evidenziato i volumi di hacking. E penso che il costo politico per la Cina sia forse cambiato un po 'nel corso degli anni … Penso che sia diventato un po' più costoso per loro. Quindi sì, penso che abbiamo visto una leggera diminuzione dell'attività.
Probabilmente non l'abbiamo ancora visto raggiungere quei volumi a cui era. Penso che sia stato il periodo di massimo splendore per la Cina in particolare per il furto di proprietà intellettuale. Tutto quello che vorrei dire è che non credo che abbiamo mai assistito a una completa cessazione dell'hacking della proprietà intellettuale. Quindi, anche se c'era una narrativa comune secondo cui smisero di fare spionaggio commerciale o industriale, non penso che sia mai stato del tutto così. Penso che fossero ancora attivi in alcune di quelle aree … In definitiva vedono ancora lo spionaggio come un aspetto della politica estera e dello sviluppo industriale. È uno strumento politico per loro tanto quanto qualsiasi altra cosa ed è economico, quindi non è completamente fermato.
Come stanno cambiando le cose nell'attuale amministrazione, suppongo che il tempo lo dirà un po '. Sicuramente stiamo ancora vedendo prove del loro tentativo di compromettere i nostri clienti.
Descrivi la natura dell'attività di hacking sponsorizzata dallo stato cinese nel 2020. Quali sono le tendenze attuali?
Le priorità industriali ed economiche a lungo termine sono ancora un fattore trainante per la Cina e il suo spionaggio – non solo cyber ma operazioni miste uomo-cyber – continuerà a concentrarsi su questo. Penso che siano stati, e continueranno ad essere, attivi anche in raccolte di intelligence più pura e set di dati di massa come l' hack OPM e Anthem e quel tipo di cose che sono state progettate per raccogliere grandi quantità di PII sugli individui. Ciò ha un valore di intelligenza perché ti consente di tracciare le persone ed essere in grado di monitorare gli obiettivi di interesse, quindi questa è stata una seconda spinta dell'attività.
Un terzo che stiamo vedendo non è specificamente focalizzato sugli USA. Vediamo molto interesse nella regione circostante, quindi il Mar Cinese Meridionale in particolare e l'Asia orientale sono piuttosto attivi al momento. Molta attività contro alcuni dei paesi lì intorno. E li vediamo anche continuare a reagire all'attualità, quindi reazione alle proteste di Hong Kong, dove il governo cinese vede il cyber come uno strumento di governo, uno strumento per raggiungere i suoi obiettivi.
La minaccia rimane non dissimile da quella che era qualche anno fa. Probabilmente hanno evoluto un po 'le loro tecniche e tattiche. Sicuramente abbiamo visto prove di loro che perseguono le vulnerabilità in un modo che forse non hanno fatto altrettanto prima. Quindi scansione di massa di alcune vulnerabilità per essere rilasciate pubblicamente e quindi provare a utilizzare quelle per ottenere l'accesso. Ma il loro intento strategico, credo, segue ampiamente questo tipo di linee.
Il post Threat hunters guarda come gli hacker cinesi cercano strumenti nei forum apparsi per la prima volta su SC Media .