211service.com
Inuti Microsoft-teamet som spårar världens farligaste hackare
Konceptuell Ms Tech / källbilder: Unsplash, Wikimedia commons
När Pentagon nyligen tilldelade Microsoft ett kontrakt på 10 miljarder dollar för att transformera och vara värd för den amerikanska militärens molnberäkningssystem, kom berget av pengar med en implicit utmaning: Kan Microsoft hålla Pentagons system säkra mot några av de mest resursrika, ihärdiga och sofistikerade hackare på jorden?
De utsätts för angrepp varje timme på dygnet, säger James Lewis, vicepresident vid Center for Strategic and International Studies.
Microsofts senaste vinst över molnkonkurrenten Amazon för det ultralukrativa militära kontraktet innebär att en underrättelseinsamlingsapparat bland de viktigaste i världen är baserad i skogen utanför Seattle. Den här typen av nationellt säkerhetsansvar låg en gång nästan uteslutande i Washington, DC. Nu i det här hörnet av delstaten Washington är dussintals ingenjörer och underrättelseanalytiker dedikerade till att titta på och stoppa de regeringssponsrade hackare som sprider sig runt om i världen.
Medlemmar av det så kallade MSTIC-teamet (Microsoft Threat Intelligence Center) är hotfokuserade: en grupp är ansvarig för ryska hackare med kodnamnet Strontium, en annan tittar på nordkoreanska hackare med kodnamnet Zinc, och ytterligare en annan spårar iranska hackare med kodnamn. Holmium. MSTIC spårar över 70 kodnamnade regeringssponsrade hotgrupper och många fler som är namnlösa.
Regnet började precis innan jag kom en typisk höstdag i Redmond, Washington. Det fortsatte att falla under hela mitt besök. Microsofts huvudkontor är lika stort och labyrintiskt som alla statliga installationer, med hundratals byggnader och tusentals anställda. Jag skulle komma för att träffa Microsoft-teamet som spårar världens farligaste hackare.
Anfall och försvar
John Lambert grundade och leder MSTIC. Microsoft
John Lambert har varit på Microsoft sedan 2000, när en ny cybersäkerhetsverklighet för första gången inträffade både i Washington, DC och i Microsofts huvudkontor i delstaten Washington.
Microsoft, då ett synnerligen kraftfullt företag som monopoliserade PC-programvara, hade först relativt nyligen insett vikten av internet. Eftersom Windows XP hade erövrat världen samtidigt som de förblev chockerande osäker bevittnade teamet en serie enorma och pinsamma säkerhetsfel, inklusive självreplikerande maskar som Code Red och Nimda. Misslyckandena påverkade många av Microsofts enorma antal kunder inom den offentliga och privata sektorn, vilket äventyrade dess kärnverksamhet. Inte förrän 2002, när Bill Gates skickade ut sitt berömda memo där han uppmanade till att betona pålitlig datoranvändning, började Redmond äntligen brottas med vikten av cybersäkerhet.
Det var då Lambert blev fascinerad av den offensiva sidan av cyber.
Det krävs en perfektion i gränserna för anfall och försvar, sa Lambert till mig. För att försvara sig bra måste man kunna anfalla. Du måste också ha det offensiva tankesättet; du kan inte bara tänka på försvar om du inte vet hur man ska vara kreativ när det gäller anfall.
Efter att ha sett antalet statligt sponsrade hackningskampanjer öka, använde Lambert detta offensiva tänkesätt för att hjälpa till att driva på grundläggande förändringar i hur Microsoft närmade sig problemet. Målet var att flytta från en okänd skuggvärld – där försvarsteam ser frustrerade på när sofistikerade hackare penetrerar nätverk med potenta nolldagssårbarheter – till en domän där Microsoft kan se nästan vad som helst.
Vilka är Microsofts superkrafter? Lambert minns att han frågade.
Svaret är att dess Windows-operativsystem och annan programvara finns nästan överallt, vilket ger Microsoft verktygen att känna av vad som händer på kolossala delar av internet. Det väcker verkliga och pågående integritetsfrågor som vi fortfarande inte helt har brottats med. För säkerheten är det dock en enorm fördel.
Microsofts produkter hade redan Windows Felrapportsystem inbyggda för att försöka förstå allmänna buggar och felfunktioner med hjälp av telemetri, eller insamling av data från någon av företagets hårdvara eller mjukvara som används. Men det var Lambert och säkerhetsteamen som förvandlade telemetrisystemen till kraftfulla säkerhetsverktyg och förvandlade det som en gång var en långsam och mödosam uppgift. Tidigare var säkerhetsteam ofta tvungna att fysiskt åka jorden runt, hitta specifika riktade maskiner, kopiera sina hårddiskar och sakta dyka in i incidenterna. Nu når dessa maskiner helt enkelt ut till Microsoft. Praktiskt taget varje krasch och oväntat beteende rapporteras till företaget, som sorterar igenom mängden data och ofta hittar skadlig programvara före någon annan.
Skadlig programvara känd som Dålig kanin , som 2017 låtsades vara en Adobe Flash-uppdatering och sedan torkade ett offers hårddisk, kristalliserar hur Microsoft ändrade svaghet till styrka. Inom 14 minuter efter introduktionen av ransomware gick maskinlärande algoritmer igenom data och började snabbt förstå hotet. Windows Defender började blockera det automatiskt, långt innan någon människa visste vad som hände.
Bad Rabbit sågs främst i Ryssland och Ukraina 2017. Detta är lösensedlen som offren fick. Källbild: Kaspersky Labs
Det är det som ingen annan har: synlighet och data. Den data som ingen annan har är kring dessa programkrascher i operativsystemet och mjukvarulagret, säger Jake Williams, en tidigare medlem av National Security Agency. Även för tredjepartskrascher har de telemetri runt dessa. När du börjar titta på exploateringsmål har Microsoft möjligheten genom sin telemetri. Denna telemetri har gjort varje Windows-maskin och produkt till en källa som matar Microsoft-data och loggar, direkt och över hela världen, på allt ovanligt.
Microsoft ser saker som bara ingen annan gör, säger Williams, som grundade cybersäkerhetsföretaget Rendition Infosec. Vi hittar rutinmässigt saker, till exempel, som flaggor för skadliga IP-adresser i Office 365 som Microsoft flaggar, men vi ser det inte någon annanstans på flera månader.
Koppla ihop prickarna
Cyberhotsintelligens är disciplinen att spåra motståndare, följa brödsmulor och producera intelligens som du kan använda för att hjälpa ditt team och göra den andra sidans liv svårare. För att uppnå det inkluderar det femåriga MSTIC-teamet före detta spioner och statliga underrättelseoperatörer vars erfarenhet på platser som Fort Meade, hem för National Security Agency och US Cyber Command, omedelbart översätts till deras roller på Microsoft.
MSTIC namnger dussintals hot, men geopolitiken är komplicerad: Kina och USA, två av de viktigaste aktörerna i cyberrymden och de två största ekonomierna på jorden, kallas praktiskt taget aldrig ut som länder som Iran, Ryssland och Nordkorea ofta är.
Vårt team använder data, kopplar ihop prickarna, berättar historien, spårar skådespelaren och deras beteenden, säger Jeremy Dallman, chef för strategiska program och partnerskap på MSTIC. De jagar skådespelarna – vart de flyttar, vad de planerar härnäst, vem de riktar sig till – och kommer före det.
Tanmay Ganacharya leder avancerad forskning om hotskydd om Microsoft Defender-teamet, som tillämpar datavetenskap på massan av inkommande signaler i ett försök att skapa nya försvarsskikt. Eftersom vi har produkter inom alla områden du kan tänka dig har vi sensorer som ger oss rätt sorts signaler, säger han. Problemet var hur vi egentligen hanterar all denna data?
Microsoft, liksom andra teknikjättar inklusive Google och Facebook, meddelar regelbundet människor som riktas mot statliga hackare, vilket ger målen chansen att försvara sig själva. Under det senaste året har MSTIC meddelat cirka 10 000 Microsoft-kunder att de är måltavla av statliga hackare.
Nya mål
Med början i augusti upptäckte MSTIC vad som är känt som en lösenordsspraykampanj. Hackare tog omkring 2 700 utbildade gissningar på lösenord för konton som är associerade med en amerikansk presidentkampanj, regeringstjänstemän, journalister och högprofilerade iranier som bor utanför Iran. Fyra konton äventyrades i denna attack.
Analytiker på MSTIC identifierade kompromisserna delvis genom att spåra infrastruktur som Microsoft säger att de vet kontrolleras exklusivt av den iranska hackergruppen Phosphorus.
När vi väl förstår deras infrastruktur – vi har en IP-adress som vi vet är deras som de använder i skadliga syften – kan vi börja titta på DNS-poster, skapade domäner, plattformstrafik, säger Dallman. När de vänder sig om och börjar använda den infrastrukturen i den här typen av attack ser vi det eftersom vi redan spårar det som en känd indikator på den skådespelarens beteende.
Efter att ha gjort avsevärt spaningsarbete försökte Phosphorus utnyttja kontoåterställningsprocessen genom att använda målens riktiga telefonnummer. MSTIC har sett Phosphorus och andra regeringssponsrade hackare, inklusive Rysslands Fancy Bear, upprepade gånger använda den taktiken för att försöka nätfiska tvåfaktorsautentiseringskoder för högvärdiga mål.
Det som väckte Microsofts larm över det normala vid det här tillfället var att Phosphorus varierade sitt standardförfarande för att gå efter icke-statliga organisationer och sanktionsorganisationer. Hårkorset ändrades, taktiken ändrades och omfattningen växte.
Det här är inte ovanligt, men skillnaden här var att detta var i betydligt större skala än vi hade sett tidigare, säger Dallman. De riktar sig ofta mot den här typen av människor, men det var omfattningen och den enorma mängden spaningsarbete som de hade gjort för den här kampanjen [som var annorlunda]. Och sedan kom det i slutändan till individerna de riktade in sig på, inklusive individen i presidentkampanjen.
Microsofts efterforskningar pekade slutligen finger åt iranska hackare för att ha riktat in sig på presidentkampanjer inklusive Reuters rapporterad , Donald Trumps omvalsoperation 2020.
Microsofts Redmond-campus är enormt. På över 8 miljoner kvadratfot har det över 50 000 anställda. källa: Microsoft
Vi har sett mönstren.
Under Lamberts två decennier på Microsoft har cyberdomänens verktyg och vapen spridit sig till dussintals fler länder, hundratals kapabla cyberbrottsgrupper och – i allt högre grad – en industri av privata företag som säljer bedrifter internationellt till köpare som är villiga att betala den högsta dollarn.
Spridning innebär ett mycket bredare utbud av offer, säger Lambert. Fler skådespelare att spåra.
Det visar sig i politiska hackor. En konsekvens av det amerikanska valet 2016 är en ökning av det stora antalet spelare som kämpar för att hacka politiska partier, kampanjer och tankesmedjor, för att inte tala om själva regeringen. Valrelaterad hacking har vanligtvis varit provinsen för de fyra stora – Ryssland, Kina, Iran och Nordkorea. Men det sprider sig till andra länder, även om Microsofts forskare vägrade att specificera vad de har sett.
Vad som är annorlunda är att du får fler länder med i striden som inte nödvändigtvis fanns där tidigare, säger Jason Norton, en huvudprojektledare på MSTIC. De två stora [Ryssland och Kina] – nu kan vi säga att de historiskt har gått efter detta sedan långt före valet 2016. Men nu kommer du att få se fler länder göra det – peta och stöta den mjuka underlivet för att veta de rätta bitarna som kan påverka eller påverka i framtiden.
Det börjar bli trångt på fältet, instämmer Dallman. Skådespelare lär av varandra. När de lär sig taktik från de mer framträdande namnen, vänder de på det och använder dem.
Det kommande valet är också annorlunda, eftersom ingen är förvånad över att se denna skadliga aktivitet. Inför 2016 möttes rysk cyberaktivitet med en kollektiv förstummad naivitet, vilket bidrog till förlamning och ett osäkert svar. Inte den här gången.
Skillnaden beror egentligen på vad vi vet kommer att hända, förklarar Dallman.
Sedan var det mer okänt och vi var inte säkra på hur taktiken skulle utvecklas. Nu vet vi; vi har sett mönstren. Du såg dem 2016, du såg vad de gjorde i Tyskland, du såg dem i det franska valet – allt efter samma MO. Mellanterminerna 2018 också - i mindre grad, men vi såg fortfarande några av samma MO, samma skådespelare, samma timing, samma tekniker. Nu vet vi, in i 2020, att det här är MO vi letar efter. Och nu har vi börjat se andra länder komma ut och börja göra andra taktiker.
Det nya normala är att branschens cyberintelligensbutiker tenderar att leda vägen i denna typ av offentlig säkerhetsverksamhet medan regeringen följer efter.
2016 var det CrowdStrike som först undersökte och pekade finger åt rysk aktivitet som syftar till att störa det amerikanska valet. Den amerikanska polisen och underrättelsetjänsten bekräftade senare företagets fynd och åtalade så småningom, efter Robert Muellers utredning, ryska hackare och detaljerade Moskvas kampanj.
Med en total storlek på över 1 biljon dollar är Microsoft en storleksordning större, vilket ger enorma resurser till säkerhetsutmaningen. Och teknikjätten har en annan stor fördel: den har ögon, öron och mjukvara överallt. Det, som Lambert kanske säger, är dess superkraft.