Temos um novo projeto: a partir deste post, iremos familiarizá-lo com as profissões e principais especialistas do Grupo-IB, falar sobre seus trabalhos, pesquisas e cases, como e onde você pode obter treinamento e, claro, fornecer um link para as vagas atuais. A primeira convidada é Anastasia Tikhonova , damos suas entrevistas em um discurso direto e, como dizem, sem cortes.
:
: .
: Threat Intelligence Group-IB.
: Threat Intelligence & Attribution Analyst.
: 29 .
: .
: 9 , (APT).
: APT, ,
- desenvolvimento de novas armas digitais, exploração de vulnerabilidades de dia zero, teste de novos meios de entrega e distribuição de programas maliciosos. China, Coreia do Norte, Estados Unidos, Irã têm seus próprios exércitos cibernéticos, e Turquia, Índia, Cazaquistão e os países da América do Sul aderiram a essa corrida. Por mais de três anos, desde 2017, tenho estudado APT (Advanced Persistent Threat) - ameaças direcionadas complexas, ataques por serviços especiais ou, como também são chamados, grupos de hackers pró-governo, e vejo 4-5 novos grupos aparecem todos os anos. Existem hoje mais de 70 grupos operando no mundo, sem contar aqueles que temporariamente “se escondem” ou aqueles que ainda operam em segredo. A maioria dos APTs tem como alvo a espionagem cibernética, menos sabotagem e sabotagem. Embora haja exceções em face do grupo norte-coreano Lazarus e numerosos APTs chineses que atacam as trocas de criptomoedas,bancos e desenvolvedores de jogos para ganhar dinheiro.
Os grupos pró-governo não são necessariamente “hackers uniformizados” que trabalham em um bunker convencional das 9h às 18h. Podem ser especialistas usados "no escuro", ou mesmo ciber-patriotas que cometem crimes por amor à sua pátria (existem alguns!), Ou mercenários profissionais - hackers com "salário". Não temos recibos ou demonstrativos de quanto eles estão pagos (e se recebem de fato), mas acho que é mais alto do que no mercado. Porque eles têm um trabalho bastante específico. E os riscos são apropriados.
Qualquer ataque cibernético, independentemente do motivo perseguido pelos hackers, é um crime e uma violação da lei.O recente ataque em Miami (Flórida) ao sistema de controle de um sistema de tratamento de água é uma história com acesso remoto a um computador. O TeamViewer foi instalado na máquina para que os funcionários pudessem controlar algo remotamente. A conta estava protegida por senha, mas o invasor conseguiu adivinhar a senha. Ele se conectou duas vezes e, na segunda vez, alterou a proporção quantitativa de hidróxido de sódio nas configurações da interface para uma que pudesse causar danos significativos à saúde humana. Um funcionário da empresa, vendo isso, imediatamente alterou as configurações de volta para seguras. E este não é um enredo de uma série de TV cyberpunk. No ano retrasado, os hackers norte-coreanos conseguiram parar as unidades de energia da usina nuclear Kudankulam, na Índia, provavelmente comprometendo a estação de trabalho de um funcionário de alto escalão.Em 2020, os atacantes de Israel também conseguiram obter acesso a sistemas de purificação de água e, mesmo remotamente, tentaram alterar o nível de cloro, o que teria desencadeado uma onda de envenenamento. Temos muita sorte de que os ataques APT ainda não tenham resultado em perdas massivas de vidas.
APT- - as táticas e procedimentos que eles usam em seus ataques também são adotados por cibercriminosos comuns. Por exemplo, após o uso de ransomware WannaCry, BadRabbit e NotPetya por grupos pró-estado em 2017, uma verdadeira epidemia de ataques criminosos de ransomware varreu o mundo - com a ajuda deles, você pode ganhar nada menos do que no caso de um ataque bem-sucedido contra um banco, apesar de a execução técnica e o custo do ataque serem muito mais simples ... Mesmo grupos criminosos “clássicos” com motivação financeira como Cobalt and Silence, que costumavam atacar bancos para roubar e sacar dinheiro, passaram a usar ransomware e se tornaram membros de programas de parceria privada. De acordo com nossas estimativas, o dano causado por ataques de ransomware - e havia cerca de 2.000 deles - no ano passado foi de pelo menos US $ 1 bilhão. E isso está de acordo com as estimativas mais conservadoras.
: Threat Intelligence
, . Quando criança, queria ser policial. E no 10º ano tentei entrar na Academia FSB - venho de uma família de militares. Antes do Grupo-IB, trabalhei um ano em uma empresa de antivírus, e já lá percebia com frequência notícias sobre o Grupo-IB na imprensa: eles divulgaram um novo estudo, fizeram uma investigação, participaram da prisão. Naquela época, havia pouquíssimos players no mercado de empresas de segurança da informação, e mesmo assim o Grupo-IB se destacava pela intolerância ao crime cibernético, sua aposta na tecnologia, e ficou interessante para mim saber quais as oportunidades de desenvolvimento ali estavam. Quando entrei para o Group-IB em 2013, nosso departamento de Threat Intelligence era simplesmente chamado de departamento de análise e estávamos envolvidos em questões completamente diferentes: desde pesquisar hacktivistas até ajudar o departamento de investigações a identificar hackers e estabelecer suas identidades.Em sete anos, nosso departamento de três pessoas cresceu e se tornou um departamento de inteligência cibernética com mais de trinta funcionários.
A inteligência cibernética é diferente. Hoje em dia, o Threat Intelligence e o mercado de ferramentas de TI geralmente se resumem a enviar aos clientes “listas negras” banais - uma lista de endereços “ruins”, domínios “ruins”. Para nós, do Group-IB, Threat Intelligence & Attribution é o conhecimento sobre os invasores, não basta mais simplesmente analisar as ameaças. Como diz nosso CTO Dima Volkov, quando você se depara com uma ameaça real̆, você precisa de uma resposta para uma das perguntas importantes: quem está atacando você e com que ajuda? Além destes dados, damos aos nossos clientes as ferramentas para trabalhar e prestar o nosso próprio serviço, o que transfere algumas das tarefas ativas para os ombros dos nossos especialistas que já possuem a experiência e as competências necessárias. Muito agora é feito por nós por inteligência de máquina e sistemas automatizados. Mas isso não nega o "delicado trabalho manual".
Um dos meus primeiros grandes estudos foi sobre ataques à Rússia por hackers que apóiam o ISIS. Forbes escreveu sobre isso então : “Hackers islâmicos do Califado Islâmico Global, Team System Dz, grupos FallaGa Team atacaram cerca de 600 sites russos de agências governamentais e empresas privadas”. Naquela época, ainda tínhamos acesso semiamanual ao underground: fui a fóruns de hackers, me cadastrei, coletei várias informações e dados úteis para inteligência cibernética (Threat Intelligence), e com base neles fiz relatórios para nossos clientes. Em algum momento, ficou chato para mim estar engajado no underground, eu queria tarefas mais difíceis, e meu líder, Dmitry Volkov, CTO Group-IB, sugeriu fazer uma pesquisa sobre um dos APTs chineses. Desde que tudo isso começou.
No meu trabalho, você precisa mover rapidamente o cérebro, as mãos ... e geralmente se mover. Em um dia, podemos ter um estudo de ataques por grupos pró-governo da China, então você vê como um gatilho para a regra de detecção da Nigéria surgiu (houve recentemente uma operação conjunta com a Interpol) e, à noite, descobriu-se que alguém tem um cliente DDOS com o nome de hackers russos ...
Uma garota no infobez? Bem, sim, e daí? Eu odeio essas perguntas. Como diz o ditado, "o talento não tem gênero". Não importa que gênero você seja, você pode ser um excelente analista, pesquisador ou não.
Trabalhe como está: um pouco de trabalho interno
Meu dia típico começa com uma xícara de café e twitter. Tenho uma boa base de assinaturas - há pesquisadores e jornalistas, que assinam e que assinam comigo. Nesta rede social, infobez troca dados sobre vários ataques, relatórios de fornecedores. Por exemplo, a empresa coreana ESRC está fazendo investigações muito interessantes agora. Também estou inscrito em alguns canais de telegramas especializados via APT. Aqui, a comunidade trabalha de forma muito clara: se um pesquisador encontrar o servidor de gerenciamento de um grupo de hackers e colocar os dados no canal de telegrama, eles o ajudam a investigar e a divulgar informações sobre o caso. Qualquer tópico jogado sobre APT geralmente muito rapidamente torna-se repleto de detalhes interessantes, mas o interesse em cyber-edge e phishing não é tão grande. Bem, talvez com exceção do popular ransomware.
O trabalho em qualquer caso começa com análises. Como regra, antes de iniciar um projeto de pesquisa, já tenho um pool de informações: nossas e de terceiros (de outros fornecedores ou analistas). Começo a girar os indicadores detectados: hashes de trojans, documentos maliciosos, domínios, links, etc. que foram usados, e estou testando tudo isso para a possibilidade de complementar esses indicadores com nossos dados, que ninguém viu ainda , isso geralmente acontece. Minhas ferramentas de trabalho - nossos desenvolvimentos de Threat Intelligence & Attribution, gráfico de rede Group-IB - usam-nas para encontrar rapidamente indicadores adicionais de comprometimento e enviá-los como um alerta ao cliente. Isso dá aos clientes a capacidade de evitar um ataque e bloquear atividades indesejadas.
Na foto: um exemplo de pesquisa de infraestrutura de um grupo usando o gráfico de rede Grupo-IB.
Temos conexões históricas entre grupos e hackers na comunidade, dados de cibercriminosos ao longo de vários anos. São dados valiosos - e-mail, telefones, mensageiros instantâneos, um banco de dados de domínios e IP, dados relacionados a programas maliciosos. Por exemplo, no banco de dados TI&A do Group-IB, existem todos os domínios já usados por cibercriminosos com um histórico de suas alterações ao longo de 17 anos. Podemos falar sobre as especificidades, "caligrafia" de cada grupo criminoso individual. Sabemos que um grupo usa os mesmos servidores ou registra nomes de domínio com dois provedores favoritos. Carregamos todos esses dados no External Threat Hunting do sistema Group-IB e obtemos o que agora pode ser chamado de caça efetiva de ameaças na saída.
, , .Acontece que você fica sentado por um longo tempo, monitora um personagem, tenta encontrar algumas contas adicionais e não consegue encontrar .... E então, de repente, você vê que ele indicou seu e-mail pessoal em uma captura de tela postada na Internet ou em uma fotografia antiga. Temos que cavar uma análise cada vez mais profunda. Você já está começando a procurar contas adicionais, pessoas que pudessem interagir com ele, se você calcular uma cidade específica, você já consegue mais informações, às vezes acontece que você já conhece a rua. O que poderia ser uma pista? Pode ser uma foto de redes sociais, ou uma foto no Instagram de sua namorada, não tem garota - olha no tinder, e assim por diante - em outras palavras OSINT, inteligência de código aberto. Todas as divisões técnicas do Grupo-IB possuem esta ferramenta, mas cada uma possui seu próprio OSINT.
Também estamos sendo investigados.Você acha que nós, Grupo-IB, não tentamos atacar? Estamos enfrentando o verdadeiro cibercrime, eles estão tentando nos ameaçar, mandaram “saudações”. Não como Krebs, é claro, outras saudações, mais frequentemente de malware.
Em última análise, todas as minhas análises são necessárias para evitar o crime cibernético. Parece ficção científica, mas podemos prever ataques antes mesmo que os hackers e APTs os façam. Ainda na fase de preparação da infraestrutura, identificamos ataques e alertamos os clientes. Além disso, os dados de Threat Intelligence & Attribution são enriquecidos com informações da darkweb, de fóruns de hackers clandestinos e são usados em nossas outras soluções, permitindo que os analistas vejam o quadro mais completo das ameaças e atribuam a atividade criminosa com a maior precisão.
Da Coreia à Carélia: a paisagem do APT
APT, “ ” — — .Eu “gosto” de sua abordagem - eles são cuidadosos e não são uma abordagem padronizada para seu trabalho. Por exemplo, na fase de exploração e penetração, fazem entrevistas super-reais com "candidatos", tocam por muito tempo, sem levantar suspeitas. Além disso, eles têm ferramentas interessantes que estão constantemente desenvolvendo. Inicialmente, eles começaram com a clássica espionagem cibernética contra a Coréia do Sul e os Estados Unidos, com o tempo eles se tornaram soldados universais capazes de roubar dinheiro, informações valiosas ou sabotagem. De ano para ano, grupos norte-coreanos como Lazarus e Kimsuky mostram um desenvolvimento constante em seus métodos de ataque e ferramentas. No ano passado, um grande número de ataques de hackers norte-coreanos visou empreiteiros militares em todo o mundo. Kommersant escreveu sobre isso, talvez você tenha lido tal imprensa :)
Na Coréia do Norte, na minha opinião, existe um grande grupo "raiz" - Lazarus , que tem diferentes equipes sob seu comando, por exemplo, Andariel, para resolver várias tarefas não essenciais. A propósito, os dois nomes dessas APTs norte-coreanas foram tirados de pesquisadores do popular jogo de computador "Diablo".
No Irã, o recrutamento de funcionários para grupos APT ocorre diretamente da bancada do aluno.Uma vez publicamos um artigo sobre Habré sobre hackers iranianos, onde o nome e sobrenome de um dos réus estava escrito nos documentos. No início duvidamos - nunca se sabe de quem é o nome inscrito. No entanto, descobrimos que uma vez seu e-mail foi exposto em recursos de hackers, o que nos interessou bastante. Depois de desvendar tudo isso, encontramos várias contas diferentes em fóruns que se dedicam a aprender como explorar vulnerabilidades, o que nos convenceu ainda mais de que era essa mesma pessoa "blacher" que estava hackeando. Quando publicamos nossas descobertas, ele escreveu no Twitter com o seguinte espírito: “Por que você acusa as pessoas, nunca se sabe, uma pessoa pode ser enganada ou tropeçou?”. Depois de algum tempo, ele mesmo apagou esta mensagem: denunciava-o precipitadamente.
Não ouvimos falar de APTs americanos, mas isso não significa que eles não existam. Existem bandas americanas, mas não há quase nada sobre elas. Por que você precisa de tantos pequenos grupos APT se você tem um bem organizado que trabalha em tarefas e espiona os outros? Uma pergunta retórica. Nos EUA, tudo está intimamente conectado com a NSA, ou seja, eles têm, eu diria, uma rede bastante grande com esses 0-day e outras vulnerabilidades e ferramentas. O que o WikiLeaks postou é uma pequena parte do que a NSA tem.
Os “hackers russos” que trabalham para o Estado são agora um assunto muito na moda e exagerado no Ocidente.Os ataques de hackers na imprensa costumam estar vinculados a um determinado país com base na tensa situação política - Rússia x EUA, Israel x Irã, Coreia do Norte x Coréia do Sul, e não com base em dados técnicos reais que indicam inequivocamente um determinado agrupamento. Não vamos esquecer que os grupos costumam usar sinalizadores falsos e tentar ofuscar os rastros. Por exemplo, foi isso que Lázaro fez. Em geral, um "hacker russo" é algo do final dos anos 90. Não existem “russos”, existem “falantes de russo” - pessoas dos países pós-seculares. E “os hackers russos são os mais legais” não é mais o caso: os grupos são mistos e consistem em pessoas de diferentes nacionalidades.
Não pense que tudo é simples.Os APTs frequentemente tentam ofuscar os rastros, lançar bandeiras falsas e "setas de direção" umas em cima das outras. O mesmo MuddyWater iraniano começou tentando imitar Fin7. Se, como no caso de Lazarus, você acessa endereços IP específicos que pertencem à Coreia do Norte, então, depois disso, você pode fazer uma declaração de que se trata da Coreia do Norte. E é isso que alguns fornecedores fazem. Caso contrário, você só pode olhar para os alvos que foram atacados, olhar para a infraestrutura de onde foi tirada e na forma de alguns comentários ao escrever o código e assim por diante. Se houve um ataque no Mar da China Meridional, você pode presumir que países com interesses nesta região estão envolvidos. E então você já começa a descobrir que tipo de ferramentas foram usadas: como este é um Trojan PlugX, então provavelmente é definitivamente a China. E então chegamos à infraestrutura, descobrimosque esses são, de fato, endereços IP chineses.
Segredos de maestria e lista de livros de nivelamento
Não há limite em seu próprio autodesenvolvimento. Eu gostaria de trabalhar na Europa e na Ásia, porque haveria mais chances de trocar experiências com outros especialistas em segurança da informação, você começa a entender a mentalidade e imaginar melhor como a APT poderia atuar especificamente nesta região. Acho que será fácil de fazer. No ano retrasado, o Group-IB abriu sua sede global em Cingapura e, no ano passado, sua sede europeia em Amsterdã. Conforme as ferramentas evoluem e os grupos APT nunca irão desaparecer, sempre terei trabalho. Além disso, minha profissão estará em alta.
Somos todos super multitarefa:frequentemente você tem que pegar muitos dados de diferentes fontes, analisá-los, e este é um processo trabalhoso. Portanto, para um iniciante, várias qualidades são importantes: curiosidade, perseverança. Precisamos estar a par de todas as notícias políticas, sobre todos os tipos de ataques, para monitorar o surgimento de novos tipos de ataques ou vulnerabilidades. Na maioria dos casos, levamos pessoas com formação especializada em segurança da informação, mas como o meu caso não é um desses, é possível ganhar experiência na hora. Ou seja, se você é uma pessoa interessada, está acostumado a ir ao fundo do assunto, tem conhecimento em TI (ainda é preciso ter conhecimento em TI), então, em princípio, você pode chamar um analista júnior, e já tem experiência de desenvolvimento nesta área. O principal é a dedicação e a vontade de se desenvolver.
Para mergulhar na profissão ou subir de nível como analista de Inteligência de Ameaças, recomendo esta pequena lista de referências:
- Clássico atemporal do veterano da CIA Richards Heuer "Psychology of Intelligence Analysis" , que descreve as peculiaridades de nosso pensamento, erros e limitações (preconceitos cognitivos) que nossos cérebros geram. Por exemplo, reconhecer um fenômeno inesperado requer mais informações inequívocas do que o esperado: "Temos a tendência de perceber o que esperamos perceber."
- Os princípios e conceitos básicos da Inteligência de Ameaças Cibernéticas podem ser encontrados em Inteligência de Ameaças: Coletando, Analisando, Avaliando por David Chismon, Martyn Ruks da MWR InfoSecurity .
- , Cyber Threat Intelligence, APT, «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». , , .
- Kill Chain, Diamond Model MITRE ATT&CK — , Cyber Threat Intelligence, : „MITRE ATT&CK: Design and Philosophy , ATT&CK, . MITRE ATT&CK, .
- Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — Kill Chain, , .
- The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — , CTI.
- , , APTNotes. , , , , , , .
- , —
Threat Intelligence & Attribution Analyst?
Para aqueles que estão interessados na profissão de Threat Intelligence & Attribution Analyst, nossa empresa está pronta para oferecer um curso prático sobre a coleta de informações sobre ameaças cibernéticas e enriquecimento de processos de segurança cibernética com dados de TI para resposta eficaz a incidentes e monitoramento de ameaças.
O objetivo do curso Group-IB Threat Intelligence & Attribution Analyst é ensinar como coletar informações significativas de diferentes tipos de fontes - abertas e fechadas - para interpretar essas informações e identificar sinais de preparação para um ataque. O programa inclui exercícios práticos baseados em estudos de caso do Departamento de Inteligência Cibernética do Grupo-IB. Essa abordagem é importante para que os alunos possam aplicar imediatamente os conhecimentos adquiridos em sua prática diária.
Um trabalho que faz sentido!
E mais um anúncio importante. O Grupo IB fortalece sua equipe técnica: faça parte da equipe e mude o mundo conosco! Atualmente, mais de 120 vagas estão abertas, incluindo 60 para especialistas técnicos. Detalhes aqui . O Group-IB é a próxima geração de engenheiros. Incorporamos ideias ousadas, criando tecnologias inovadoras para investigar crimes cibernéticos, prevenir ataques cibernéticos, rastrear atacantes, suas táticas, ferramentas e infraestrutura.
Junte-se a nós!