Tenemos un nuevo proyecto: a partir de este post, te familiarizaremos con las profesiones y los principales especialistas del Grupo-IB, te contaremos su trabajo, investigaciones y casos, cómo y dónde puedes capacitarte y, por supuesto, brindarte un enlace a las vacantes actuales. La primera invitada es Anastasia Tikhonova , le damos entrevistas en un discurso directo y, como dicen, sin cortes.
:
: .
: Threat Intelligence Group-IB.
: Threat Intelligence & Attribution Analyst.
: 29 .
: .
: 9 , (APT).
: APT, ,
- desarrollo de nuevas armas digitales, explotación de vulnerabilidades de día cero, prueba de nuevos medios de entrega y distribución de programas maliciosos. China, Corea del Norte, Estados Unidos, Irán tienen sus propios ejércitos cibernéticos, y Turquía, India, Kazajstán y los países de América del Sur se han sumado a esta carrera. Durante más de tres años, desde 2017, he estado estudiando APT (Advanced Persistent Threat): amenazas dirigidas complejas, ataques de servicios especiales o, como también se les llama, grupos de hackers progubernamentales, y veo 4-5 grupos nuevos. aparecen todos los años. En la actualidad, hay más de 70 grupos operando en el mundo, sin contar los que temporalmente “se mantienen ocultos” o los que todavía operan en secreto. La mayoría de las APT apuntan al ciberespionaje, menos al sabotaje y al sabotaje. Aunque hay excepciones frente al grupo norcoreano Lazarus y numerosas APT chinas que atacan los intercambios de criptomonedas,bancos y desarrolladores de juegos para ganar dinero.
Los grupos pro-gobierno no son necesariamente "hackers en uniforme" que trabajan desde un búnker convencional de 9.00 a 18.00 horas. Estos pueden ser especialistas que se utilizan "en la oscuridad", o incluso ciber patriotas que cometen delitos por amor a su patria (¡hay algunos!), O mercenarios profesionales: piratas informáticos con un "salario". No tenemos recibos ni declaraciones de cuánto se les paga (y si se les paga en absoluto), pero creo que es más alto que en el mercado. Porque tienen un trabajo bastante específico. Y los riesgos son los adecuados.
Cualquier ciberataque, independientemente del motivo perseguido por los piratas informáticos, es un delito y una violación de la ley.El reciente ataque en Miami (Florida) al sistema de control de un sistema de tratamiento de agua es una historia con acceso remoto a una computadora. TeamViewer se instaló en la máquina para que los empleados pudieran controlar algo de forma remota. La cuenta estaba protegida con contraseña, pero el atacante pudo adivinar la contraseña. Se conectó dos veces y la segunda vez cambió la proporción cuantitativa de hidróxido de sodio en la configuración de la interfaz a una que podría causar un daño significativo a la salud humana. Un empleado de la empresa, al ver esto, cambió inmediatamente la configuración a segura. Y esta no es una trama de una serie de televisión cyberpunk. El año anterior al pasado, los piratas informáticos norcoreanos lograron detener las unidades de energía en la planta de energía nuclear de Kudankulam en India, presumiblemente comprometiendo la estación de trabajo de un empleado de nivel bastante alto.En 2020, los atacantes de Israel también lograron acceder a los sistemas de purificación de agua e incluso intentaron cambiar el nivel de cloro de forma remota, lo que habría desencadenado una ola de envenenamiento. Somos muy afortunados de que los ataques APT aún no hayan provocado una pérdida masiva de vidas.
APT- - Los ciberdelincuentes comunes también adoptan las tácticas y los procedimientos que utilizan en sus ataques. Por ejemplo, después del uso de ransomware WannaCry, BadRabbit y NotPetya por grupos pro-estatales en 2017, una verdadera epidemia de ataques criminales de ransomware se extendió por todo el mundo; con su ayuda, puede ganar nada menos que en el caso de un ataque exitoso en un banco, a pesar de que la ejecución técnica y el coste del ataque es mucho más sencillo ... Incluso grupos criminales "clásicos" con motivaciones financieras como Cobalt y Silence, que solían atacar a los bancos para robar y retirar dinero, pasaron al ransomware y se convirtieron en miembros de programas de asociaciones privadas. Según nuestras estimaciones, el daño de los ataques de ransomware, y hubo alrededor de 2.000 de ellos, el año pasado ascendió a al menos $ 1 mil millones, y esto es de acuerdo con las estimaciones más conservadoras.
: Threat Intelligence
, . Cuando era niño, quería convertirme en oficial de policía. Y en el décimo grado intenté ingresar a la Academia FSB; vengo de una familia de personal militar. Antes de Group-IB, trabajé durante un año en una empresa antivirus, y ya allí noté a menudo noticias sobre Group-IB en la prensa: publicaron un nuevo estudio, realizaron una investigación, participaron en el arresto. En ese momento, había muy pocos actores en el mercado de las empresas de seguridad de la información, e incluso entonces Group-IB se destacaba por su intolerancia al ciberdelito, su apuesta por la tecnología, y me resultó interesante descubrir qué oportunidades de desarrollo había allí. fueron. Cuando me uní a Group-IB en 2013, nuestro departamento de Inteligencia de Amenazas se llamaba simplemente departamento de análisis, y estábamos involucrados en temas completamente diferentes: desde investigar a los hacktivistas hasta ayudar al departamento de investigaciones a identificar a los piratas informáticos y establecer sus identidades.En siete años, nuestro departamento de tres personas se ha convertido en un departamento de Cyber Intelligence con más de treinta empleados.
La inteligencia cibernética es diferente. Hoy en día, Threat Intelligence y el mercado de herramientas de TI a menudo se reducen a enviar a los clientes "listas negras" banales, una lista de direcciones "incorrectas", dominios "malos". Para nosotros, en Group-IB, Threat Intelligence & Attribution es conocimiento sobre los atacantes; ya no nos basta con analizar las amenazas. Como dice nuestro CTO Dima Volkov, cuando te enfrentas a una amenaza real̆, necesitas una respuesta a una de las preguntas importantes: ¿quién te ataca y con qué ayuda? Además de estos datos, les damos a nuestros clientes las herramientas para trabajar y brindar nuestro propio servicio, lo que traslada algunas de las tareas activas sobre los hombros de nuestros especialistas que ya cuentan con la experiencia y habilidades necesarias. La inteligencia de las máquinas y los sistemas automatizados han hecho mucho por nosotros. Pero esto no niega el "delicado trabajo manual".
Uno de mis primeros grandes estudios fue sobre los ataques a Rusia por parte de piratas informáticos que apoyan a ISIS. Forbes escribió sobre esto entonces : “Hackers islamistas del Califato Islámico Global, Team System Dz, grupos del Equipo FallaGa atacaron alrededor de 600 sitios web rusos de agencias gubernamentales y empresas privadas”. En ese momento, todavía teníamos acceso semi-manual al underground: fui a foros de piratas informáticos, me registré, recopilé información y datos útiles para la inteligencia cibernética (Threat Intelligence), y en base a ellos hice informes para nuestros clientes. En algún momento, me aburrió estar involucrado en la clandestinidad, quería tareas más difíciles, y mi líder, Dmitry Volkov, CTO Group-IB, sugirió hacer una investigación sobre una de las APT chinas. Desde que empezó todo.
En mi trabajo, necesitas mover rápidamente el cerebro, las manos ... y, en general, moverte. En un día, podemos tener un estudio de los ataques de grupos progubernamentales de China, luego ves cómo entró en acción un detonante de la regla de detección de Nigeria (recientemente hubo una operación conjunta con Interpol), y por la noche resulta que alguien tiene un cliente DDOS con el nombre de hackers rusos ... ¿
Una chica en infobez? Bueno, sí, ¿y qué? Odio esas preguntas. Como dice el refrán, "el talento no tiene género". No importa de qué género seas, puedes ser un excelente analista, investigador o puede que no lo seas.
Trabaja como está: un poco de trabajo interior
Mi día típico comienza con una taza de café y twitter. Tengo una buena base de suscripciones: hay investigadores y periodistas a los que estoy suscrito y a los que me suscribieron. En esta red social, infobez intercambia datos sobre varios ataques, informa el proveedor. Por ejemplo, la empresa coreana ESRC está realizando ahora investigaciones muy interesantes. También estoy suscrito a un par de canales de telegramas especializados a través de APT. Aquí la comunidad funciona con mucha claridad: si un investigador encuentra el servidor de administración de un grupo de hackers y deja caer los datos en el canal de telegramas, lo ayudan a investigar y arrojar información sobre este caso. Cualquier tema sobre APT generalmente se llena rápidamente de detalles interesantes, pero el interés en el cyber-edge y el phishing no es tan alto. Bueno, tal vez con la excepción del popular ransomware.
El trabajo en cualquier caso comienza con la analítica. Como regla general, antes de comenzar un proyecto de investigación, ya tengo un conjunto de información: tanto nuestra como de otra persona (de otros proveedores o analistas). Empiezo a hacer girar los indicadores detectados: hashes de troyanos, documentos maliciosos, dominios, enlaces, etc. que fueron utilizados, y estoy probando todo esto para la posibilidad de complementar estos indicadores con nuestros datos, que nadie ha visto todavía. , esto sucede a menudo. Mis herramientas de trabajo - nuestros desarrollos de Threat Intelligence & Attribution, Group-IB network graph - las utilizan para encontrar rápidamente indicadores adicionales de compromiso y enviarlos como una alerta al cliente. Esto brinda a los clientes la capacidad de prevenir un ataque y bloquear actividades no deseadas.
En la foto: un ejemplo de investigación de la infraestructura de un grupo utilizando el gráfico de red Group-IB
Tenemos conexiones históricas entre grupos y hackers en la comunidad, datos de ciberdelincuentes durante varios años. Se trata de datos valiosos: correo, teléfonos, mensajería instantánea, una base de datos de dominios e IP, datos relacionados con programas maliciosos. Por ejemplo, en la base de datos de TI&A de Group-IB, hay todos los dominios utilizados por los ciberdelincuentes con un historial de sus cambios durante 17 años. Podemos hablar sobre los detalles, la "escritura a mano" de cada grupo criminal individual. Sabemos que un grupo usa los mismos servidores o registra nombres de dominio con dos proveedores favoritos. Cargamos todos estos datos en la búsqueda de amenazas externas del sistema Group-IB y obtenemos lo que ahora se puede llamar búsqueda de amenazas efectiva en la salida.
, , .Sucede que te sientas durante mucho tiempo, monitoreas a un personaje, intentas encontrar algunas cuentas adicionales y no puedes encontrar ... Y luego, de repente, ves que indicó su correo personal en una captura de pantalla publicada en Internet o en una fotografía antigua. Tenemos que profundizar en un análisis más profundo. Ya estás empezando a buscar cuentas adicionales, personas que podrían interactuar con él, si calculas una ciudad en concreto, ya obtienes más información, a veces sucede que ya conoces la calle. ¿Qué podría ser una pista? Puede ser una foto de las redes sociales, o una foto en el Instagram de su novia, no hay chica - mira en la yesca, etcétera - en otras palabras OSINT, inteligencia de código abierto. Todas las divisiones técnicas del Grupo-IB poseen esta herramienta, pero cada una tiene su propio OSINT.
También nos están investigando.¿Crees que nosotros, Grupo-IB, no intentamos atacar? Estamos enfrentando el verdadero ciberdelito, nos están tratando de amenazar, nos mandaron "saludos". No como Krebs, por supuesto, otros saludos, más a menudo de malware.
En última instancia, todos mis análisis son necesarios para prevenir el ciberdelito. Suena a ciencia ficción, pero podemos predecir ataques incluso antes de que los piratas informáticos y las APT los hagan. Incluso en la etapa de preparación de la infraestructura, identificamos ataques y advertimos a los clientes. Además, los datos de Threat Intelligence & Attribution se enriquecen con información de darkweb, de foros de piratas informáticos clandestinos y se utilizan en nuestras otras soluciones, lo que permite a los analistas ver la imagen más completa de las amenazas y atribuir la actividad delictiva con la máxima precisión.
De Corea a Karelia: el panorama APT
APT, “ ” — — .Me “gusta” su enfoque: son un enfoque reflexivo y no estándar para su trabajo. Por ejemplo, en la etapa de exploración y penetración, realizan entrevistas súper reales con "candidatos", juegan durante mucho tiempo, sin despertar sospechas. Además, tienen herramientas interesantes que están en constante desarrollo. Inicialmente, comenzaron con el clásico ciberespionaje contra Corea del Sur y Estados Unidos, con el tiempo se convirtieron en soldados universales capaces de robar dinero, información valiosa o sabotaje. Año tras año, grupos norcoreanos como Lazarus y Kimsuky muestran un desarrollo constante en sus métodos de ataque y sus herramientas. El año pasado, una gran cantidad de ataques de piratas informáticos norcoreanos tuvieron como objetivo a contratistas militares de todo el mundo. Kommersant escribió sobre esto, tal vez leas una prensa así :)
En Corea del Norte, en mi opinión, hay un gran grupo "raíz", Lazarus , que tiene diferentes equipos bajo su mando, por ejemplo, Andariel, para resolver varias tareas secundarias. Por cierto, ambos nombres de estos APT norcoreanos fueron tomados por investigadores del popular juego de computadora "Diablo".
En Irán, el reclutamiento de empleados en grupos APT se lleva a cabo directamente desde el banco de estudiantes.Una vez publicamos un artículo en Habré sobre piratas informáticos iraníes, donde el nombre y apellido de uno de los acusados estaba escrito en los documentos. Al principio dudamos: nunca se sabe de quién está escrito el nombre. Sin embargo, resultó que una vez su correo estuvo expuesto a recursos de piratas informáticos, lo que nos interesó bastante. Habiendo desentrañado todo esto, encontramos muchas cuentas diferentes en foros que se dedican a aprender a explotar vulnerabilidades, lo que nos convenció aún más de que era esta misma persona "blacher" la que estaba hackeando. Cuando publicamos nuestros hallazgos, escribió en Twitter con el siguiente espíritu: "¿Por qué simplemente acusas a la gente, nunca se sabe, una persona podría ser engañada o tropezó?". Después de un tiempo, él mismo borró este mensaje: lo denunció de lleno.
No escuchamos acerca de las APT estadounidenses, pero eso no significa que no existan. Hay bandas americanas, pero no hay casi nada sobre ellas. ¿Por qué necesita muchos grupos APT pequeños si tiene uno bien organizado que trabaja en tareas y espía a otros? Una pregunta retórica. En los EE. UU., Todo está estrechamente relacionado con la NSA, es decir, tienen, yo diría, una red bastante grande con estas vulnerabilidades y herramientas de día 0 y otras. Lo que WikiLeaks ha publicado es una pequeña parte de lo que tiene la NSA.
Los "hackers rusos" que trabajan para el estado son ahora un tema muy de moda y de moda en Occidente.Los ataques de piratas informáticos en la prensa a menudo están vinculados a un país en particular en función de la tensa situación política: Rusia contra EE. UU., Israel contra Irán, Corea del Norte contra Corea del Sur, y no sobre la base de datos técnicos reales que indiquen inequívocamente una agrupación en particular. No olvidemos que los grupos a menudo usan banderas falsas e intentan ofuscar las pistas. Por ejemplo, esto es lo que hizo Lázaro. En general, un "hacker ruso" es algo de finales de los 90. No hay "rusos", hay "de habla rusa", gente de los países posseculares. Y "los hackers rusos son los más geniales" ya no es el caso: los grupos son mixtos y están formados por personas de diferentes nacionalidades.
No creas que todo es simple.Los APT a menudo intentan ocultar las vías, lanzar banderas falsas y "flechas de giro" una encima de la otra. El mismo MuddyWater iraní empezó intentando imitar a Fin7. Si, como en el caso de Lazarus, vas a direcciones IP específicas que pertenecen a Corea del Norte, luego puedes hacer una declaración de que se trata de Corea del Norte. Y esto es lo que hacen algunos proveedores. De lo contrario, solo puede mirar los objetivos que fueron atacados, mirar la infraestructura de donde fue tomado, y en la forma de algunos comentarios al escribir el código, y así sucesivamente. Si hubo un ataque en el Mar de China Meridional, puede suponer que los países con intereses en esta región están involucrados. Y luego ya comienza a descubrir qué tipo de herramientas se utilizaron: dado que se trata de un troyano PlugX, lo más probable es que sea definitivamente China. Y luego llegamos a la infraestructura, resultaque estas son, de hecho, direcciones IP chinas.
Secretos de dominio y lista de libros de nivelación
No hay límite para tu propio desarrollo personal. Me gustaría trabajar en Europa y Asia, porque habría más posibilidades de intercambiar experiencias con otros especialistas en seguridad de la información, empiezas a entender la mentalidad e imaginas mejor cómo podría funcionar APT específicamente en esta región. Creo que será fácil de hacer. El año anterior al pasado, Group-IB abrió su sede mundial en Singapur y el año pasado, su sede europea en Ámsterdam. A medida que las herramientas evolucionen y los grupos APT nunca desaparezcan, siempre tendré trabajo. Además, mi profesión estará en demanda.
Todos somos super multitarea:a menudo hay que tomar una gran cantidad de datos de diferentes fuentes, analizarlos, y este es un proceso minucioso. Por lo tanto, para un principiante, varias cualidades son importantes: curiosidad, perseverancia. Necesitamos estar al tanto de todas las noticias políticas, sobre todo tipo de ataques, para monitorear la aparición de nuevos tipos de ataques o vulnerabilidades. En la mayoría de los casos, tomamos personas con educación especializada en seguridad de la información, pero como mi caso no es uno de estos, es posible ganar experiencia en el lugar. Es decir, si eres una persona interesada, estás acostumbrado a llegar al fondo del asunto, tienes conocimientos en TI (todavía tienes que tener conocimientos en TI) entonces, en principio, puedes conseguir un analista junior, y ya he experimentado el desarrollo en esta área. Lo principal es la dedicación y las ganas de desarrollarse.
Para sumergirte en la profesión o subir de nivel como analista de Threat Intelligence te recomiendo esta pequeña lista de referencias:
- Clásico atemporal del veterano de la CIA Richards Heuer "Psicología del análisis de la inteligencia" , que describe las peculiaridades de nuestro pensamiento, errores y limitaciones (sesgos cognitivos) que generan nuestros cerebros. Por ejemplo, reconocer un fenómeno inesperado requiere información más inequívoca de la esperada: "Tendemos a percibir lo que esperamos percibir".
- Los principios y conceptos básicos de Cyber Threat Intelligence se pueden encontrar en Threat Intelligence: Collecting, Analyzing, Evaluating por David Chismon, Martyn Ruks de MWR InfoSecurity .
- , Cyber Threat Intelligence, APT, «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». , , .
- Kill Chain, Diamond Model MITRE ATT&CK — , Cyber Threat Intelligence, : „MITRE ATT&CK: Design and Philosophy , ATT&CK, . MITRE ATT&CK, .
- Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — Kill Chain, , .
- The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — , CTI.
- , , APTNotes. , , , , , , .
- , —
Threat Intelligence & Attribution Analyst?
Para aquellos que estén interesados en la profesión de Analista de Atribución e Inteligencia de Amenazas, nuestra empresa está lista para ofrecer un curso práctico sobre la recopilación de información sobre amenazas cibernéticas y el enriquecimiento de los procesos de seguridad cibernética con datos de TI para una respuesta eficaz a incidentes y monitoreo de amenazas.
El objetivo del curso Group-IB Threat Intelligence & Attribution Analyst es enseñarle cómo recopilar información significativa de diferentes tipos de fuentes, tanto abiertas como cerradas, para interpretar esta información e identificar signos de preparación para un ataque. El programa incluye ejercicios prácticos basados en estudios de casos del Departamento de Inteligencia Cibernética del Grupo IB. Este enfoque es importante para que los estudiantes puedan aplicar inmediatamente los conocimientos adquiridos en su práctica diaria.
¡Un trabajo que tiene sentido!
Y un anuncio más importante. Group-IB refuerza su equipo técnico: ¡conviértase en parte del equipo y cambie el mundo con nosotros! Actualmente, hay más de 120 vacantes abiertas, incluidas 60 para especialistas técnicos. Detalles aquí . Group-IB es la próxima generación de ingenieros. Encarnamos ideas audaces, creando tecnologías innovadoras para investigar delitos cibernéticos, prevenir ataques cibernéticos, rastrear atacantes, sus tácticas, herramientas e infraestructura.
¡Únete a nosotros!