Binnen het Microsoft-team dat de gevaarlijkste hackers ter wereld volgt

conceptueel

conceptueel Mevr. Tech / bronafbeeldingen: Unsplash, Wikimedia commons





Toen het Pentagon Microsoft onlangs een contract van $ 10 miljard toekende om de cloudcomputingsystemen van het Amerikaanse leger te transformeren en te hosten, kwam de berg geld met een impliciete uitdaging: kan Microsoft de systemen van het Pentagon beveiligen tegen enkele van de meest goed uitgeruste, hardnekkige en geavanceerde hackers op aarde?

Ze worden elk uur van de dag aangevallen, zegt James Lewis, vice-president van het Center for Strategic and International Studies.

Microsoft's laatste overwinning op cloudrivaal Amazon voor het ultra-lucratieve militaire contract betekent dat een apparaat voor het verzamelen van inlichtingen, een van de belangrijkste ter wereld, is gevestigd in de bossen buiten Seattle. Dit soort nationale veiligheidsverantwoordelijkheden zaten ooit bijna uitsluitend in Washington, DC. Nu, in deze hoek van de staat Washington, zijn tientallen ingenieurs en inlichtingenanalisten toegewijd aan het observeren en stoppen van de door de overheid gesponsorde hackers die zich over de hele wereld verspreiden.



Leden van het zogenaamde MSTIC-team (Microsoft Threat Intelligence Center) zijn gericht op bedreigingen: de ene groep is verantwoordelijk voor Russische hackers met de codenaam Strontium, een andere groep kijkt naar Noord-Koreaanse hackers met de codenaam Zinc en weer een andere groep volgt Iraanse hackers met de codenaam Holmium. MSTIC volgt meer dan 70 door de overheid gesponsorde dreigingsgroepen met codenaam en nog veel meer die geen naam hebben.

De regen begon net voordat ik aankwam op een typische herfstdag in Redmond, Washington. Het bleef naar beneden komen voor mijn hele bezoek. Het hoofdkantoor van Microsoft is net zo groot en labyrintisch als elke overheidsinstallatie, met honderden gebouwen en duizenden werknemers. Ik zou het Microsoft-team ontmoeten dat de gevaarlijkste hackers ter wereld opspoort.

Aanval en verdediging

foto van John Lambert

John Lambert richtte en beheert MSTIC. Microsoft



John Lambert werkt sinds 2000 bij Microsoft, toen een nieuwe cybersecurity-realiteit voor het eerst de kop opstak, zowel in Washington, DC, als op het hoofdkantoor van Microsoft in de staat Washington.

Microsoft, toen een buitengewoon machtig bedrijf dat pc-software monopoliseerde, had pas relatief recent het belang van internet ingezien. Met Windows XP dat de wereld had veroverd terwijl het schrikbarend onzeker bleef, was het team getuige van een reeks enorme en gênante beveiligingsfouten, waaronder zelfreplicerende wormen zoals Code Red en Nimda. De mislukkingen hadden gevolgen voor veel van Microsoft's enorme aantal klanten in de overheid en de particuliere sector, waardoor de kernactiviteiten van Microsoft in gevaar kwamen. Pas in 2002, toen Bill Gates zijn beroemde memo uitzond waarin hij aandrong op de nadruk op betrouwbaar computergebruik, begon Redmond eindelijk te worstelen met het belang van cyberbeveiliging.

Toen raakte Lambert gefascineerd door de offensieve kant van cyber.



Er is een perfectie vereist in de grenzen van aanval en verdediging, vertelde Lambert me. Om goed te verdedigen moet je kunnen aanvallen. Je moet ook een offensieve instelling hebben; je kunt niet alleen aan verdediging denken als je niet weet hoe je creatief moet zijn met aanvallen.

Nadat hij het aantal door de overheid gesponsorde hackcampagnes had zien toenemen, gebruikte Lambert deze offensieve mentaliteit om fundamentele veranderingen teweeg te brengen in de manier waarop Microsoft het probleem aanpakte. Het doel was om van een onkenbare schaduwwereld - waar defensieteams gefrustreerd toekijken hoe geavanceerde hackers netwerken binnendringen met krachtige zero-day-kwetsbaarheden - naar een domein waar Microsoft bijna alles kan zien.

Wat zijn de superkrachten van Microsoft? Lambert herinnert zich de vraag.



Het antwoord is dat het Windows-besturingssysteem en andere software bijna overal aanwezig zijn, waardoor Microsoft de tools heeft om te voelen wat er op kolossale delen van het internet gebeurt. Dat roept echte en voortdurende privacyvragen op waar we nog steeds niet volledig mee geworsteld hebben. Voor de veiligheid is het echter een enorm voordeel.

In de producten van Microsoft waren al Windows Error Report-systemen ingebouwd om te proberen algemene bugs en storingen te begrijpen door middel van telemetrie of het verzamelen van gegevens van de gebruikte hardware of software van het bedrijf. Maar het waren Lambert en de beveiligingsteams die de telemetriesystemen in krachtige beveiligingstools veranderden, waardoor wat ooit een langzame en zware taak was, werd getransformeerd. Voorheen moesten beveiligingsteams vaak fysiek de wereld over, specifieke gerichte machines vinden, hun harde schijven kopiëren en langzaam in de incidenten duiken. Nu nemen die machines gewoon contact op met Microsoft. Vrijwel elke crash en elk onverwacht gedrag wordt gerapporteerd aan het bedrijf, dat de massa aan gegevens doorzoekt en vaak malware vóór iemand anders vindt.

De malware die bekend staat als slecht konijn , dat in 2017 deed alsof het een Adobe Flash-update was en vervolgens de harde schijf van een slachtoffer wiste, kristalliseert hoe Microsoft zwakte in kracht veranderde. Binnen 14 minuten na de introductie van de ransomware doorzochten machine learning-algoritmen de gegevens en begonnen de dreiging snel te begrijpen. Windows Defender begon het automatisch te blokkeren, lang voordat iemand wist wat er aan de hand was.

slechte konijn-malwarecode

Bad Rabbit werd in 2017 voornamelijk gespot in Rusland en Oekraïne. Dit is het losgeldbriefje dat de slachtoffers ontvingen. Bron afbeelding: Kaspersky Labs

Dat is wat niemand anders heeft: zichtbaarheid en data. De gegevens die niemand anders heeft, zijn rond die applicatiecrashes bij het besturingssysteem en de softwarelaag, zegt Jake Williams, een voormalig lid van de National Security Agency. Zelfs voor crashes van derden hebben ze telemetrie eromheen. Terwijl u naar exploitdoelen begint te kijken, heeft Microsoft de mogelijkheid via hun telemetrie. Die telemetrie heeft van elke Windows-machine en elk product een bron gemaakt die Microsoft-gegevens en logs, onmiddellijk en wereldwijd, voedt met alles wat ongewoon is.

Microsoft ziet dingen die niemand anders ziet, zegt Williams, die het cyberbeveiligingsbedrijf Rendition Infosec oprichtte. We vinden bijvoorbeeld routinematig dingen zoals vlaggen voor kwaadaardige IP's in Office 365 die door Microsoft worden gemarkeerd, maar we zien het al maanden nergens anders.

Verbind de punten

Informatie over cyberdreigingen is de discipline van het volgen van tegenstanders, het volgen van broodkruimels en het produceren van informatie die u kunt gebruiken om uw team te helpen en het leven van de andere partij moeilijker te maken. Om dat te bereiken, omvat het vijf jaar oude MSTIC-team voormalige spionnen en inlichtingendiensten van de overheid wiens ervaring op plaatsen als Fort Meade, de thuisbasis van de National Security Agency en US Cyber ​​Command, zich onmiddellijk vertaalt naar hun rol bij Microsoft.

MSTIC noemt tientallen bedreigingen, maar de geopolitiek is ingewikkeld: China en de Verenigde Staten, twee van de belangrijkste spelers in cyberspace en de twee grootste economieën op aarde, worden vrijwel nooit genoemd zoals landen als Iran, Rusland en Noord-Korea vaak zijn.

Ons team gebruikt de gegevens, verbindt de punten, vertelt het verhaal, volgt de acteur en hun gedrag, zegt Jeremy Dallman, directeur strategische programma's en partnerschappen bij MSTIC. Ze jagen op de acteurs - waar ze naartoe gaan, wat ze van plan zijn, op wie ze zich richten - en lopen daarop vooruit.

Tanmay Ganacharya leidt onderzoek naar geavanceerde bescherming tegen bedreigingen van het Microsoft Defender-team, dat datawetenschap toepast op de massa van binnenkomende signalen in een poging nieuwe verdedigingslagen te creëren. Omdat we producten hebben op elk gebied dat je maar kunt bedenken, hebben we sensoren die ons de juiste signalen geven, zegt hij. Het probleem was: hoe gaan we eigenlijk met al deze data om?

Microsoft stelt, net als andere technische giganten, waaronder Google en Facebook, regelmatig mensen op de hoogte die het doelwit zijn van overheidshackers, waardoor de doelwitten de kans krijgen zichzelf te verdedigen. In het afgelopen jaar heeft MSTIC ongeveer 10.000 Microsoft-klanten laten weten dat ze het doelwit zijn van overheidshackers.

Nieuwe doelen

Vanaf augustus ontdekte MSTIC een zogenaamde 'wachtwoordspuitcampagne'. Hackers deden ongeveer 2.700 gefundeerde gissingen naar wachtwoorden voor accounts die verband houden met een Amerikaanse presidentiële campagne, overheidsfunctionarissen, journalisten en vooraanstaande Iraniërs die buiten Iran wonen. Bij deze aanval zijn vier accounts gecompromitteerd.

Analisten van MSTIC hebben de compromissen gedeeltelijk geïdentificeerd door de infrastructuur te volgen waarvan Microsoft zegt te weten dat deze exclusief wordt beheerd door de Iraanse hackgroep Phosphorus.

Zodra we hun infrastructuur begrijpen - we hebben een IP-adres waarvan we weten dat het van hen is en dat ze gebruiken voor kwaadaardige doeleinden - kunnen we gaan kijken naar DNS-records, aangemaakte domeinen en platformverkeer, zegt Dallman. Wanneer ze zich omdraaien en die infrastructuur gaan gebruiken bij dit soort aanvallen, zien we het omdat we dat al volgen als een bekende indicator van het gedrag van die actor.

Na aanzienlijk verkenningswerk te hebben gedaan, probeerde Phosphorus het accountherstelproces te exploiteren door de echte telefoonnummers van doelen te gebruiken. MSTIC heeft fosfor en andere door de overheid gesponsorde hackers gezien, waaronder het Russische Fancy Bear, die herhaaldelijk die tactiek gebruiken om te proberen twee-factor-authenticatiecodes te phishing voor hoogwaardige doelen.

Wat Microsoft bij deze gelegenheid meer dan normaal alarmeerde, was dat Fosfor de standaardprocedure voor het achtervolgen van NGO's en sanctieorganisaties aanpaste. Het vizier verschoof, de tactieken veranderden en de reikwijdte groeide.

Dit is niet ongebruikelijk, maar het verschil hier was dat dit op een aanzienlijk grotere schaal was dan we eerder hadden gezien, zegt Dallman. Ze richten zich vaak op dit soort mensen, maar het was de schaal en de enorme hoeveelheid verkenningswerk die ze voor deze campagne hadden gedaan [dat was anders]. En uiteindelijk kwam het neer op de individuen die ze als doelwit hadden, inclusief de persoon in de presidentiële campagne.

Het speurwerk van Microsoft wees uiteindelijk de vinger naar Iraanse hackers voor het richten van presidentiële campagnes, waaronder Reuters gemeld , de herverkiezingsoperatie van Donald Trump in 2020.

foto van microsoft campus

De campus van Microsoft in Redmond is enorm. Op meer dan 8 miljoen vierkante meter biedt het onderdak aan meer dan 50.000 werknemers. bron: Microsoft

We hebben de patronen gezien.

In de twintig jaar dat Lambert bij Microsoft werkt, hebben de tools en wapens van het cyberdomein zich verspreid naar tientallen andere landen, honderden capabele cybercriminaliteitsgroepen en – in toenemende mate – een industrie van bedrijven in de particuliere sector die exploits internationaal verkopen aan kopers die bereid zijn een hoge prijs te betalen.

Proliferatie betekent een veel breder scala aan slachtoffers, zegt Lambert. Meer acteurs om te volgen.

Dat blijkt uit politieke hacks. Een gevolg van de Amerikaanse verkiezingen van 2016 is een stijging van het aantal spelers dat vecht om politieke partijen, campagnes en denktanks te hacken, om nog maar te zwijgen van de regering zelf. Verkiezingsgerelateerd hacken is typisch de provincie van de grote vier geweest: Rusland, China, Iran en Noord-Korea. Maar het verspreidt zich naar andere landen, hoewel de Microsoft-onderzoekers weigerden te specificeren wat ze hebben gezien.

Wat anders is, is dat je extra landen in de strijd krijgt die er voorheen niet waren, zegt Jason Norton, een hoofdprojectmanager bij MSTIC. De grote twee [Rusland en China] - nu kunnen we zeggen dat ze hier historisch gezien al lang voor de verkiezingen van 2016 achteraan gingen. Maar nu zie je dat andere landen dat doen - porren en porren in de zachte onderbuik om de juiste stukken te kennen om in de toekomst invloed of impact te hebben.

Het wordt steeds drukker op het veld, beaamt Dallman. Acteurs leren van elkaar. Terwijl ze tactieken leren van de meer prominente namen, draaien ze dat om en gebruiken ze.

De aanstaande verkiezingen zijn ook anders, omdat niemand verbaasd is om deze kwaadaardige activiteit te zien. In de aanloop naar 2016 werd de Russische cyberactiviteit begroet met een collectieve verbijsterde naïviteit, wat bijdroeg tot verlamming en een onzekere reactie. Deze keer niet.

Het verschil komt echt neer op wat we weten dat er gaat gebeuren, legt Dallman uit.

Toen was het meer een onbekende en we wisten niet zeker hoe de tactiek zich zou ontwikkelen. Nu weten we; we hebben de patronen gezien. Je zag ze in 2016, je zag wat ze deden in Duitsland, je zag ze bij de Franse verkiezingen – allemaal volgens dezelfde MO. De midterms van 2018 ook - in mindere mate, maar we zagen nog steeds een aantal van dezelfde MO, dezelfde acteurs, dezelfde timing, dezelfde technieken. Nu we 2020 ingaan, weten we dat dit de MO is waarnaar we op zoek zijn. En nu zien we dat andere landen naar buiten komen en andere tactieken gaan toepassen.

De nieuwe norm is dat cyberinlichtingenwinkels in de industrie de neiging hebben om het voortouw te nemen bij dit soort openbare veiligheidsactiviteiten, terwijl de overheid volgt.

In 2016 was het CrowdStrik dat voor het eerst onderzoek deed en wees met de vinger naar de Russische activiteit met als doel de Amerikaanse verkiezingen te verstoren. De Amerikaanse wetshandhavings- en inlichtingengemeenschap bevestigde later de bevindingen van het bedrijf en klaagde uiteindelijk, na het onderzoek van Robert Mueller, Russische hackers aan en gedetailleerd de campagne van Moskou.

Met een totale omvang van meer dan $ 1 biljoen is Microsoft een orde van grootte groter, wat enorme middelen met zich meebrengt voor de beveiligingsuitdaging. En de techgigant heeft nog een ander groot voordeel: hij heeft overal ogen, oren en software. Dat is, zoals Lambert zou kunnen zeggen, zijn superkracht.

zich verstoppen