Dark Reading Haber Masası, Black Hat USA 2023’te CrowdStrike’ın karşı düşman operasyonları başkanı Adam Meyers ile röportaj yaptı. Haber Masası klibine göz atın Youtube (transkript aşağıdadır).
Karanlık Okuma, Becky Bracken: Herkese merhaba, Black Hat 2023’ten canlı olarak sizlere gelecek olan Dark Reading Haber Masası’na tekrar hoş geldiniz. Ben Becky Bracken, Dark Reading’in editörüyüm ve CrowdStrike’ın karşı düşman operasyonları başkanı Adam Meyers’e hoş geldiniz demek için buradayım. Dark Reading Haber Masasına.
Bize katıldığınız için teşekkürler Adam. Bunu takdir ediyorum. Geçen yıl herkes Rusya’daki APT gruplarına, Ukrayna’da neler yaptıklarına ve siber güvenlik topluluğunun bir araya gelip onlara nasıl yardım edebileceğine odaklanmıştı. O zamandan bu yana zeminde oldukça büyük bir değişim olmuş gibi görünüyor. Bize Rusya’da şu anda ve belki bir yıl önce neler olduğuna dair güncel bilgiler verebilir misiniz?
Adam Meyers: Bu yüzden elbette bu konuda çok fazla endişe olduğunu düşünüyorum. Elbette çatışma başladıktan sonra genellikle yaşanan aksaklıkların ortadan kalkmadığını gördüğümüzü düşünüyorum. Ama biz Ruslarda olup bitenlere odaklanmışken, Çinliler bunun etrafında büyük bir veri toplama çabası başlattılar.
Doktor: Herkes buraya bakarken onlar (ilgili APT gruplarındaki Çin hükümeti) Rus işgalini kılıf olarak mı kullanıyorlardı? Ondan önce bunu yapıyorlar mıydı?
AM: Bu iyi bir soru. Herkesin Rusya ve Ukrayna’da olup bitenlere çok odaklanmış olması nedeniyle bu tür bir koruma sağladığının işe yaradığını düşünüyorum. Bu yüzden herkesin Çin’e seslenmesi ya da orada oldukları şeyleri yapmasının istikrarlı davul sesinden dikkati dağıttı.
Doktor: Yani Rusya’nın motivasyonlarını biliyoruz. Peki ya Çin APT grupları? Motivasyonları neler? Ne yapmaya çalışıyorlar?
AM: Yani devasa bir koleksiyon platformu. Çin’in bir dizi farklı ana programı vardır. Çin Hükümeti tarafından agresif kalkınma talepleriyle dikte edilen Beş Yıllık Planlar gibi şeyleri var. Onlar “Çin’de üretildi 2025” inisiyatif onların elinde Kuşak ve Yol Girişimi. Ve böylece Çin’deki ekonomiyi geliştirmek ve ekonomiyi büyütmek için tüm bu farklı programları oluşturdular.
Hedefledikleri başlıca şeylerden bazıları sağlık gibi şeylerle ilgilidir. Çinliler ilk kez artan orta sınıfla ve dolayısıyla önleyici sağlık sorunları (öncelikli), diyabet, kanser tedavileri ve bunların hepsiyle uğraşıyor. Ve bunların çoğunu Batı’dan alıyorlar. Onlar (Çinliler) orayı inşa etmek istiyorlar. Kendi pazarlarına hizmet verebilmek ve daha sonra bunu çevredeki bölgeye, daha geniş Asya Pasifik bölgesine yayabilmek için yerli eşdeğer ürünlere sahip olmak istiyorlar. Ve bunu yaparak ek etki yaratırlar. Çin ürünlerini, ticaret çözümlerini ve Çin programlarını zorlamaya başlayabilecekleri bu ülkelerle bu bağları kuruyorlar… Böylece, Birleşmiş Milletler’de hoşlanmadıkları bir konu – Tayvan ya da başka bir şey – konusunda baskıya gelindiğinde , “Hey, gerçekten bu şekilde oy vermelisiniz. Çok memnun oluruz” diyebilirler.
Doktor: Yani bu onlar için gerçekten bir istihbarat toplama ve fikri mülkiyet kazancı. Peki önümüzdeki birkaç yıl içinde ne göreceğiz? Bu istihbaratı operasyonel hale getirecekler mi?
AM: Yapay zeka ile neler yaptıklarına bakarsanız, şu anda bu oluyor. Çiplerinin çoğunu dışarıdan temin ettikleri sağlık hizmetleri ve çeşitli çip üretimi alanlarında neler yaptıklarına bir bakın. Bunu yapmak istemiyorlar.
İnsanların kendilerini dünyanın atölyesi olarak gördüklerini sanıyorlar ve gerçekten de yenilikçi olmak istiyorlar. Ve bunu yapmak için aradıkları yol, Çinli APT gruplarından faydalanmak ve siber operasyonlar, siber casusluk, şu anda en son teknolojiyi (çalmak) kullanarak (rakip ülkeler) bir adım öne geçmek ve sonra da bunu yapmaya çalışabilirler. kopyalayın ve bunun üzerine yenilik yapın.
Doktor: İlginç. Tamam, Çin’den hareket ederek şimdi Kuzey Kore’ye geçiyoruz ve onlar bu işin içindeler; APT grupları para kazanıyor, değil mi? Yapmaya çalıştıkları şey bu.
AM: Evet. Yani üç parçası var. Birincisi, kesinlikle diplomatik, askeri ve siyasi istihbarat toplama sürecine hizmet ediyorlar, ama aynı zamanda fikri mülkiyet de yapıyorlar.
Ulusal Ekonomik Kalkınma Stratejisi veya NEDS adı verilen bir program başlattılar. Ve bununla birlikte enerji, madencilik, tarım, ağır makineler ve Kuzey Kore ekonomisiyle ilgili her şeye odaklanan altı temel alan var.
Ortalama Kuzey Kore vatandaşının maliyetini ve yaşam tarzını artırmaları gerekiyor. Nüfusun yalnızca %30’u güvenilir güce sahip, dolayısıyla yenilenebilir enerji ve enerji elde etme yolları gibi şeyler (Kuzey Koreli APT gruplarının aradığı türden veriler).
Ve sonra gelir yaratma. Uluslararası SWIFT sisteminden ve uluslararası finans ekonomilerinden koptular. Artık gelir elde etmenin yollarını bulmaları gerekiyor. Rejime ve aynı zamanda aileye gelir sağlayan Üçüncü Ofis adında bir şeyleri var.
Ve böylece onlar (Üçüncü Ofis) uyuşturucu, insan kaçakçılığı ve ayrıca siber suçlar gibi birçok şey yapıyorlar. Yani Kuzey Koreli APT grupları, kripto para şirketlerinin yanı sıra geleneksel finans şirketlerini de hedeflemede çok etkili oldu. Ve şunu gördük; dün ortaya çıkan raporumuzdaki şeylerden biri, geçen yıl en çok hedeflenen ikinci sektörün telekomun yerini alan finans olduğunu gösteriyor. Yani etki yaratıyor.
Doktor: Tonlarca para kazanıyorlar. APT eyleminin diğer önemli ayağının da İran olduğunu tahmin ediyorum. İranlı APT grupları arasında neler oluyor?
AM: Pek çok durumda, İsrail ve ABD gibi Batılı ülkelerin peşine düşmek için (İranlı) düşmanlarını hedef alan sahte kişiler gördük. İran tarafından desteklenen APT grupları bu sahte kişileri yaratıyor ve fidye yazılımı dağıtıyor, ancak bu aslında fidye yazılımı değil çünkü parayı toplamayı umursamıyorlar. Onlar (İranlı APT grupları) sadece bu aksamaya neden olmak ve ardından hassas bilgileri toplamak istiyorlar. Bütün bunlar, insanların hedefledikleri siyasi örgütlere veya şirketlere olan inançlarını veya inançlarını kaybetmelerine neden oluyor. Yani bu gerçekten İranlı tehdit aktörlerine yönelik fidye yazılımı kılığına giren yıkıcı bir kampanya.
Doktor: Bu saldırıların çoğuna motivasyon atamaya çalışmak çok zor olmalı. Bunu nasıl yaptın? Yani, bunun para kazanma amaçlı bir operasyon değil de, sadece düzeni bozmak için kullanılan bir paravan olduğunu nereden biliyorsun?
AM: Bu harika bir soru ama aslında o kadar da zor değil çünkü gerçekte ne olduğuna bakarsanız, değil mi? – ortaya çıkan şey – eğer suçlularsa ve mali motivasyonları varsa, ödeme yapacaklar. Amaç bu, değil mi?
Örneğin NotPetya gibi para kazanmayı gerçekten umursamıyorlarsa, bu bizim için oldukça açık. Altyapıyı hedefleyeceğiz ve ardından gerekçenin kendisine bakacağız.
Doktor: Ve genel olarak APT grupları arasında saldırılardan bazıları nelerdir? günlük? Şu anda gerçekten neye güveniyorlar?
AM: Ağ tipi cihazların peşinde olan birçok APT grubu gördük. Çeşitli bulut sistemlerine ve ağ aygıtlarına maruz kalan, genellikle modern uç nokta güvenlik yığınlarına sahip olmayan cihazlara karşı çok daha fazla saldırı gerçekleşti.
Ve bu sadece APT grupları değil. Bunu fidye yazılımı gruplarında muazzam bir şekilde görüyoruz. Yani saldırıların %80’i içeri girmek için meşru kimlik bilgilerini kullanıyor. Karadan geçiniyorlar ve oradan yanal olarak hareket ediyorlar. Ve eğer yapabilirlerse, çoğu durumda, DVR aracınızı desteklemeyen bir hipervizöre fidye yazılımı dağıtmaya çalışacaklar ve daha sonra o hipervizörde çalışan tüm sunucuları kilitleyip organizasyonu çökertebilecekler. kullanım dışı.
Doktor: Ne yazık ki zamanımız doldu. Bu konuyu daha uzun süre tartışmayı çok isterdim ama bize hızlıca tahminlerinizi iletebilir misiniz? Sizce bundan 12 ay sonra APT alanında neye bakacağız?
AM: Alan oldukça tutarlıydı. Sanırım onların (APT gruplarının) güvenlik açığı ortamını geliştirmeye devam ettiğini göreceğiz.
Örneğin Çin’e bakarsanız, herhangi bir güvenlik açığı araştırmasının Devlet Güvenlik Bakanlığı’ndan geçmesi gerekiyor. Orada istihbarat toplamaya odaklanılıyor. Bazı durumlarda temel sebep budur; bir de bozulma var.
Ve sonra, bir tahmin olarak, gördüğümüz tehditler nedeniyle herkesin düşünmesi gereken şey kimlik yönetimidir. Bu ihlaller kimlik içerir. Bir aktörün ilk dayanak noktasından çevresine ve başka bir sisteme geçmesinin ne kadar sürdüğünü ölçen “kırılma süresi” adı verilen bir şeyimiz var. Gördüğümüz en hızlısı (kırılma süresi) yedi dakikaydı. Yani bu aktörler daha hızlı hareket ediyor. En büyük çıkarım şu ki, onlar (APT grupları) meşru kimlik bilgileri kullanıyor ve meşru bir kullanıcı olarak geliyorlar. Buna karşı korunmak için kimliğin korunması kritik öneme sahiptir. Yalnızca uç noktalar değil.