Kami memiliki proyek baru: dimulai dengan posting ini, kami akan memperkenalkan Anda dengan profesi dan spesialis terkemuka dari Grup-IB, memberi tahu Anda tentang pekerjaan, penelitian dan kasus mereka, bagaimana dan di mana Anda bisa mendapatkan pelatihan dan, tentu saja, memberikan tautan ke lowongan saat ini. Tamu pertama adalah Anastasia Tikhonova , kami mewawancarainya dalam pidato langsung dan, seperti yang mereka katakan, tanpa pemotongan.
:
: .
: Threat Intelligence Group-IB.
: Threat Intelligence & Attribution Analyst.
: 29 .
: .
: 9 , (APT).
: APT, ,
- pengembangan senjata digital baru, eksploitasi kerentanan zero-day, pengujian cara baru pengiriman dan distribusi program jahat. China, Korea Utara, Amerika Serikat, Iran memiliki pasukan dunia maya mereka sendiri, dan Turki, India, Kazakhstan, dan negara-negara Amerika Selatan telah bergabung dalam perlombaan ini. Selama lebih dari tiga tahun, sejak 2017, saya telah mempelajari APT (Advanced Persistent Threat) - ancaman bertarget yang kompleks, serangan oleh layanan khusus atau, sebagaimana mereka juga disebut, kelompok peretas pro-pemerintah, dan saya melihat 4-5 kelompok baru muncul setiap tahun. Sekarang ada lebih dari 70 kelompok yang beroperasi di dunia, tidak termasuk mereka yang “bersembunyi” untuk sementara atau mereka yang masih beroperasi secara rahasia. Sebagian besar APT menargetkan spionase dunia maya, lebih sedikit sabotase dan sabotase. Meskipun ada pengecualian di hadapan grup Korea Utara Lazarus dan banyak APT China yang menyerang bursa mata uang kripto,bank dan pengembang game untuk menghasilkan uang.
Kelompok pro-pemerintah belum tentu "peretas berseragam" yang bekerja dari bunker konvensional dari pukul 9.00 hingga 18.00. Ini bisa menjadi spesialis yang digunakan "dalam kegelapan", atau bahkan patriot dunia maya yang melakukan kejahatan karena cinta untuk tanah air mereka (ada beberapa!), Atau tentara bayaran profesional - peretas dengan "gaji". Kami tidak memiliki tanda terima atau pernyataan tentang berapa banyak mereka dibayar (dan apakah mereka dibayar sama sekali), tetapi saya pikir itu lebih tinggi daripada di pasar. Karena mereka punya pekerjaan yang agak spesifik. Dan risikonya sesuai.
Setiap serangan dunia maya, apa pun motif yang dilakukan oleh peretas, adalah kejahatan dan pelanggaran hukum.Serangan baru-baru ini di Miami (Florida) pada sistem kontrol sistem pengolahan air adalah cerita dengan akses jarak jauh ke komputer. TeamViewer diinstal pada mesin sehingga karyawan dapat mengontrol sesuatu dari jarak jauh. Akun itu dilindungi kata sandi, tetapi penyerang bisa menebak kata sandinya. Dia masuk dua kali dan kedua kalinya mengubah rasio kuantitatif natrium hidroksida dalam pengaturan antarmuka menjadi rasio yang berpotensi menyebabkan kerusakan signifikan bagi kesehatan manusia. Seorang karyawan perusahaan, melihat ini, segera mengubah pengaturan kembali menjadi aman. Dan ini bukan plot dari serial TV cyberpunk. Setahun sebelumnya, peretas Korea Utara berhasil menghentikan unit daya di pembangkit listrik tenaga nuklir Kudankulam di India, mungkin membahayakan stasiun kerja seorang karyawan tingkat tinggi.Pada tahun 2020, penyerang Israel juga berhasil mendapatkan akses ke sistem pemurnian air dan bahkan dari jarak jauh mencoba mengubah tingkat klorin, yang akan memicu gelombang keracunan. Kami sangat beruntung karena serangan APT belum mengakibatkan korban jiwa yang besar.
APT- - taktik dan prosedur yang mereka gunakan dalam serangan juga diadopsi oleh penjahat dunia maya biasa. Misalnya, setelah penggunaan ransomware WannaCry, BadRabbit, dan NotPetya oleh kelompok-kelompok pro-negara pada tahun 2017, epidemi nyata serangan kriminal ransomware melanda dunia - dengan bantuan mereka, Anda dapat memperoleh penghasilan tidak kurang dari dalam kasus serangan yang berhasil di bank, terlepas dari kenyataan bahwa eksekusi teknis dan biaya serangan itu jauh lebih sederhana ... Bahkan kelompok kriminal "klasik" bermotivasi finansial seperti Cobalt dan Silence, yang biasanya menyerang bank untuk mencuri dan menarik uang, beralih menggunakan ransomware dan menjadi anggota program kemitraan swasta. Menurut perkiraan kami, kerusakan akibat serangan ransomware - dan ada sekitar 2.000 di antaranya - tahun lalu berjumlah setidaknya $ 1 miliar. Dan ini menurut perkiraan yang paling konservatif.
: Threat Intelligence
, . Sebagai seorang anak, saya ingin menjadi seorang polisi. Dan di kelas 10 saya mencoba masuk Akademi FSB - saya berasal dari keluarga personel militer. Sebelum Group-IB, saya bekerja selama setahun di sebuah perusahaan anti-virus, dan sudah di sana saya sering melihat berita tentang Group-IB di media: mereka merilis studi baru, melakukan investigasi, berpartisipasi dalam penangkapan. Pada saat itu, hanya ada sedikit pemain di pasar perusahaan keamanan informasi, dan bahkan Group-IB menonjol karena intoleransinya terhadap kejahatan dunia maya, sahamnya pada teknologi, dan menjadi menarik bagi saya untuk mencari tahu peluang pengembangan apa di sana. itu. Ketika saya bergabung dengan Group-IB pada tahun 2013, departemen Ancaman Intelijen kami hanya disebut departemen analitik, dan kami terlibat dalam masalah yang sangat berbeda: dari meneliti peretas hingga membantu departemen investigasi mengidentifikasi peretas dan menetapkan identitas mereka.Dalam tujuh tahun, departemen tiga orang kami telah berkembang menjadi departemen Cyber Intelligence dengan lebih dari tiga puluh karyawan.
Kecerdasan dunia maya berbeda. Saat ini, Threat Intelligence dan pasar alat TI sering kali bermuara pada pengiriman "daftar hitam" yang dangkal kepada pelanggan - daftar alamat "buruk", domain "buruk". Bagi kami, di Group-IB, Threat Intelligence & Attribution adalah pengetahuan tentang penyerang; tidak lagi cukup bagi kami untuk hanya menganalisis ancaman. Seperti yang dikatakan CTO Dima Volkov, saat Anda dihadapkan pada ancaman nyată, Anda memerlukan jawaban untuk salah satu pertanyaan penting: siapa yang menyerang Anda dan dengan bantuan apa? Selain data ini, kami memberi klien kami alat untuk bekerja dan menyediakan layanan kami sendiri, yang mengalihkan beberapa tugas aktif ke pundak spesialis kami yang sudah memiliki pengalaman dan keterampilan yang diperlukan. Banyak hal yang sekarang dilakukan untuk kami oleh kecerdasan mesin dan sistem otomatis. Tapi ini tidak meniadakan "pekerjaan manual yang rumit".
Salah satu studi besar pertama saya adalah tentang serangan terhadap Rusia oleh peretas yang mendukung ISIS. Forbes menulis tentang ini kemudian : "Peretas Islam dari Kekhalifahan Islam Global, Sistem Tim Dz, kelompok Tim FallaGa menyerang sekitar 600 situs web Rusia dari lembaga pemerintah dan perusahaan swasta". Pada saat itu, kami masih memiliki akses semi-manual ke bawah tanah: Saya pergi ke forum peretas, mendaftar, mengumpulkan berbagai informasi dan data berguna untuk intelijen dunia maya (Intelijen Ancaman), dan berdasarkan itu saya membuat laporan untuk klien kami. Pada titik tertentu, saya merasa bosan untuk terlibat di bawah tanah, saya menginginkan tugas yang lebih sulit, dan pemimpin saya, Dmitry Volkov, CTO Group-IB, menyarankan untuk melakukan penelitian tentang salah satu APT China. Sejak ini semua dimulai.
Dalam pekerjaan saya, Anda perlu cepat menggerakkan otak, tangan ... dan umumnya bergerak. Dalam satu hari, kita dapat mempelajari serangan oleh kelompok-kelompok pro-pemerintah dari China, lalu Anda melihat bagaimana pemicu aturan deteksi Nigeria masuk (baru-baru ini ada operasi gabungan dengan Interpol), dan pada malam hari ternyata bahwa seseorang memiliki klien DDOS dari nama peretas Rusia ...
Seorang gadis di infobez? Ya, memangnya kenapa? Saya benci pertanyaan seperti itu. Seperti kata pepatah, "bakat tidak memiliki jenis kelamin". Tidak peduli apa jenis kelamin Anda, Anda bisa menjadi analis, peneliti yang hebat, atau mungkin bukan Anda.
Bekerja apa adanya: sedikit pekerjaan batin
Hari-hari saya biasanya dimulai dengan secangkir kopi dan twitter. Saya memiliki basis langganan yang bagus - ada peneliti dan jurnalis, yang berlangganan saya dan yang berlangganan saya. Di jejaring sosial ini, infobez bertukar data tentang berbagai serangan, laporan vendor. Misalnya, perusahaan Korea ESRC sedang melakukan investigasi yang sangat menarik sekarang. Saya juga berlangganan beberapa saluran telegram khusus melalui APT. Di sini komunitas bekerja dengan sangat jelas: jika seorang peneliti menemukan server manajemen dari grup peretas dan memasukkan data ke saluran telegram, mereka membantunya untuk menyelidiki dan membuang informasi tentang kasus ini. Setiap topik yang dilontarkan tentang APT biasanya dengan sangat cepat dipenuhi dengan detail yang menarik, tetapi minat pada cyber-edge dan phishing tidak terlalu tinggi. Yah, mungkin dengan pengecualian ransomware yang populer.
Bekerja pada kasus apa pun dimulai dengan analitik. Biasanya, sebelum saya memulai proyek penelitian, saya sudah memiliki kumpulan informasi: baik milik kita maupun milik orang lain (dari vendor atau analis lain). Saya mulai memutar indikator yang terdeteksi: hash trojan, dokumen berbahaya, domain, tautan, dan sebagainya yang digunakan, dan saya menguji semua ini untuk kemungkinan melengkapi indikator ini dengan data kami, yang belum dilihat oleh siapa pun. , ini sering terjadi. Alat kerja saya - Pengembangan Kecerdasan & Atribusi Ancaman kami, grafik jaringan Grup-IB - gunakan mereka untuk dengan cepat menemukan indikator kompromi tambahan dan mengirimkannya sebagai peringatan kepada klien. Ini memberi pelanggan kemampuan untuk mencegah serangan dan memblokir aktivitas yang tidak diinginkan.
Dalam foto: contoh penelitian infrastruktur grup menggunakan grafik jaringan Grup-IB
Kami memiliki hubungan historis antara grup dan peretas di komunitas, data dari penjahat dunia maya selama beberapa tahun. Ini adalah data berharga - email, telepon, pengirim pesan instan, database domain dan IP, data yang terkait dengan program jahat. Misalnya, dalam database TI&A Grup-IB, terdapat semua domain yang pernah digunakan oleh penjahat dunia maya dengan riwayat perubahannya selama 17 tahun. Kita dapat berbicara tentang spesifik, "tulisan tangan" dari masing-masing kelompok kriminal. Kami tahu bahwa satu grup menggunakan server yang sama, atau mendaftarkan nama domain dengan dua penyedia favorit. Kami memuat semua data ini ke dalam Pemburuan Ancaman Eksternal dari sistem Grup-IB dan mendapatkan apa yang sekarang disebut perburuan ancaman efektif pada keluarannya.
, , .Kebetulan Anda duduk untuk waktu yang lama, memantau karakter, mencoba menemukan beberapa akun tambahan dan tidak dapat menemukan .... Dan kemudian tiba-tiba Anda melihat bahwa dia menunjukkan surat pribadinya pada tangkapan layar yang diposting di Internet atau foto lama. Kami harus menggali lebih dalam, analisis lebih dalam. Anda sudah mulai mencari akun tambahan, orang yang bisa berinteraksi dengannya, jika Anda menghitung kota tertentu, Anda sudah mendapatkan informasi lebih lanjut, terkadang Anda sudah tahu jalannya. Apa yang bisa menjadi petunjuk? Bisa berupa foto dari jejaring sosial, atau foto di Instagram pacarnya, tidak ada gadis - lihat di sumbu, dan sebagainya - dengan kata lain OSINT, kecerdasan sumber terbuka. Semua divisi teknis Grup-IB memiliki alat ini, tetapi masing-masing memiliki OSINT sendiri.
Kami juga sedang diselidiki.Apakah menurut Anda kami, Grup-IB, tidak mencoba menyerang? Kami menghadapi kejahatan dunia maya yang sebenarnya, mereka mencoba mengancam kami, mereka mengirim "salam". Tidak seperti Krebs, tentunya salam lainnya lebih sering dari malware.
Pada akhirnya, semua analitik saya diperlukan untuk mencegah kejahatan dunia maya. Kedengarannya seperti fiksi ilmiah, tetapi kami dapat memprediksi serangan bahkan sebelum peretas dan APT melakukannya. Bahkan pada tahap persiapan infrastruktur, kami mengidentifikasi serangan dan memperingatkan pelanggan. Selain itu, data Threat Intelligence & Attribution diperkaya dengan informasi dari darkweb, dari forum peretas bawah tanah, dan digunakan dalam solusi kami yang lain, memungkinkan analis untuk melihat gambaran paling lengkap tentang ancaman dan atribut aktivitas kriminal dengan akurasi tertinggi.
Dari Korea ke Karelia: lanskap APT
APT, “ ” — — .Saya "menyukai" pendekatan mereka - pendekatan mereka bijaksana dan tidak standar terhadap pekerjaan mereka. Misalnya pada tahap eksplorasi dan penetrasi, mereka melakukan wawancara super real dengan "calon", bermain dalam waktu lama, tanpa menimbulkan kecurigaan. Selain itu, mereka memiliki alat menarik yang terus mereka kembangkan. Awalnya, mereka memulai dengan spionase dunia maya klasik melawan Korea Selatan dan Amerika Serikat, seiring waktu mereka menjadi tentara universal yang mampu mencuri uang, informasi berharga, atau sabotase. Dari tahun ke tahun, kelompok Korea Utara seperti Lazarus dan Kimsuky menunjukkan perkembangan yang stabil dalam metode serangan dan peralatan mereka. Tahun lalu, sejumlah besar serangan peretas Korea Utara menargetkan kontraktor militer di seluruh dunia. Kommersant menulis tentang ini, mungkin Anda membaca pers seperti itu :)
Di Korea Utara, menurut saya, ada kelompok "akar" yang besar - Lazarus , yang memiliki tim berbeda di bawah komandonya, misalnya, Andariel, untuk menyelesaikan berbagai tugas non-inti. Ngomong-ngomong, kedua nama APT Korea Utara ini diambil oleh para peneliti dari game komputer populer "Diablo".
Di Iran, perekrutan karyawan ke dalam grup APT berlangsung langsung dari bangku siswa.Suatu kali kami menerbitkan artikel di Habré tentang peretas Iran, di mana nama dan nama belakang salah satu terdakwa tertulis di dokumen. Awalnya kami ragu - Anda tidak pernah tahu nama siapa yang tertulis. Namun, ternyata pada suatu waktu suratnya terungkap pada sumber peretas, yang cukup menarik bagi kami. Setelah mengungkap semua ini, kami menemukan banyak akun berbeda di forum yang didedikasikan untuk mempelajari cara mengeksploitasi kerentanan, yang semakin meyakinkan kami bahwa orang inilah "blacher" yang meretas. Ketika kami mempublikasikan temuan kami, dia menulis di Twitter dengan semangat berikut: "Mengapa Anda hanya menuduh orang, Anda tidak pernah tahu, seseorang bisa dijebak, atau dia tersandung?". Setelah beberapa waktu, dia sendiri menghapus pesan ini: itu mencela dia dengan cepat.
Kami tidak mendengar tentang APT Amerika, tetapi itu tidak berarti mereka tidak ada. Ada band-band Amerika, tapi hampir tidak ada tentang mereka. Mengapa Anda membutuhkan banyak grup APT kecil jika Anda memiliki satu grup yang terorganisir dengan baik yang mengerjakan tugas dan memata-matai orang lain? Sebuah pertanyaan retoris. Di AS, semuanya terkait erat dengan NSA, yaitu, mereka memiliki, menurut saya, jaringan yang agak besar dengan 0-hari ini serta kerentanan dan alat lainnya. Apa yang telah diposting WikiLeaks adalah sebagian kecil dari apa yang dimiliki NSA.
“Hacker Rusia” yang bekerja untuk negara sekarang menjadi topik yang sangat modis dan hype di Barat.Serangan peretas di pers sering kali dikaitkan dengan negara tertentu berdasarkan situasi politik yang tegang - Rusia vs AS, Israel vs Iran, Korea Utara vs Korea Selatan, dan bukan berdasarkan data teknis nyata yang secara tegas menunjukkan pengelompokan tertentu. Jangan lupa bahwa grup sering menggunakan flag palsu dan mencoba mengaburkan trek. Misalnya, inilah yang dilakukan Lazarus. Secara umum, "peretas Rusia" adalah sesuatu yang berasal dari akhir tahun 90-an. Tidak ada "orang Rusia", ada "yang berbicara bahasa Rusia" - orang-orang dari negara-negara pasca-sekuler. Dan "peretas Rusia adalah yang paling keren" tidak lagi menjadi masalah: kelompok-kelompok itu bercampur dan terdiri dari orang-orang dari berbagai negara.
Jangan berpikir bahwa semuanya sederhana.APT sering mencoba untuk mengaburkan trek, melempar bendera palsu dan "memutar panah" di atas satu sama lain. MuddyWater Iran yang sama dimulai dengan mencoba meniru Fin7. Jika, seperti dalam kasus Lazarus, Anda membuka alamat IP tertentu milik Korea Utara, maka setelah itu Anda dapat membuat pernyataan bahwa ini adalah Korea Utara. Dan inilah yang dilakukan beberapa vendor. Jika tidak, Anda hanya dapat melihat target yang diserang, melihat infrastruktur tempat asalnya, dan dalam cara beberapa komentar dalam penulisan kode, dan seterusnya. Jika terjadi serangan di Laut China Selatan, Anda dapat berasumsi bahwa negara-negara yang berkepentingan di kawasan ini terlibat. Dan kemudian Anda sudah mulai mencari tahu jenis alat apa yang digunakan: karena ini adalah Trojan PlugX, maka kemungkinan besar itu pasti China. Dan kemudian kita sampai pada infrastrukturnya, ternyatabahwa ini memang alamat IP Cina.
Rahasia Penguasaan dan Daftar Buku Leveling
Tidak ada batas dalam pengembangan diri Anda sendiri. Saya ingin bekerja di Eropa dan Asia, karena akan ada lebih banyak kesempatan untuk bertukar pengalaman dengan spesialis keamanan informasi lainnya, Anda mulai memahami mentalitas dan lebih baik membayangkan bagaimana APT dapat bekerja secara khusus di wilayah ini. Saya pikir itu akan mudah dilakukan. Tahun sebelumnya, Group-IB membuka kantor pusat globalnya di Singapura, dan tahun lalu, kantor pusatnya di Eropa di Amsterdam. Saat alat berkembang, dan grup APT tidak akan pernah hilang, saya akan selalu memiliki pekerjaan. Apalagi profesi saya akan diminati.
Kita semua melakukan multitasking super:seringkali Anda harus mengambil banyak data dari sumber yang berbeda, menganalisanya, dan ini adalah proses yang melelahkan. Karena itu, bagi seorang pemula, beberapa kualitas penting: keingintahuan, ketekunan. Kita perlu mengikuti semua berita politik, tentang semua jenis serangan, untuk memantau munculnya jenis serangan atau kerentanan baru. Dalam kebanyakan kasus, kami mengambil orang-orang dengan pendidikan khusus dalam keamanan informasi, tetapi karena kasus saya bukan salah satunya, adalah mungkin untuk mendapatkan pengalaman saat itu juga. Artinya, jika Anda adalah orang yang berminat, Anda terbiasa sampai ke dasar masalah, Anda memiliki pengetahuan di bidang IT (Anda masih harus memiliki pengetahuan di bidang IT) kemudian, pada prinsipnya, Anda bisa mendapatkan analis junior, dan sudah mengalami perkembangan di bidang ini. Yang utama adalah dedikasi dan keinginan untuk berkembang.
Untuk membenamkan diri dalam profesi atau naik level sebagai analis Threat Intelligence, saya merekomendasikan daftar referensi kecil ini:
- Buku klasik abadi dari veteran CIA Richards Heuer "Psychology of Intelligence Analysis" , yang menggambarkan kekhasan pemikiran kita, kesalahan dan keterbatasan (bias kognitif) yang dihasilkan oleh otak kita. Misalnya, mengenali fenomena yang tidak terduga membutuhkan informasi yang lebih tidak ambigu daripada yang diharapkan: "Kami cenderung memahami apa yang kami harapkan untuk dilihat."
- Prinsip dan konsep dasar Cyber Threat Intelligence dapat ditemukan di Threat Intelligence: Collecting, Analyzing, Evaluating oleh David Chismon, Martyn Ruks dari MWR InfoSecurity .
- , Cyber Threat Intelligence, APT, «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». , , .
- Kill Chain, Diamond Model MITRE ATT&CK — , Cyber Threat Intelligence, : „MITRE ATT&CK: Design and Philosophy , ATT&CK, . MITRE ATT&CK, .
- Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — Kill Chain, , .
- The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — , CTI.
- , , APTNotes. , , , , , , .
- , —
Threat Intelligence & Attribution Analyst?
Bagi mereka yang tertarik dengan profesi Analis Intelijen & Atribusi Ancaman, perusahaan kami siap menawarkan kursus praktis tentang mengumpulkan informasi tentang ancaman dunia maya dan memperkaya proses keamanan dunia maya dengan data TI untuk respons insiden yang efektif dan pemantauan ancaman.
Tujuan dari kursus Group-IB Threat Intelligence & Attribution Analyst adalah untuk mengajari Anda cara mengumpulkan informasi yang berarti dari berbagai jenis sumber - baik terbuka maupun tertutup - untuk menafsirkan informasi ini dan mengidentifikasi tanda-tanda persiapan untuk serangan. Program ini mencakup latihan langsung berdasarkan studi kasus dari Departemen Intelijen Siber Grup-IB. Pendekatan ini penting agar siswa dapat segera mengaplikasikan ilmu yang didapat dalam praktek sehari-hari.
Pekerjaan yang masuk akal!
Dan satu pengumuman penting lagi. Grup-IB memperkuat tim teknisnya: jadilah bagian dari tim dan ubah dunia bersama kami! Saat ini, 120+ lowongan terbuka, termasuk 60 untuk spesialis teknis. Detailnya di sini . Group-IB adalah generasi insinyur selanjutnya. Kami mewujudkan ide-ide berani, menciptakan teknologi inovatif untuk menyelidiki kejahatan dunia maya, mencegah serangan dunia maya, melacak penyerang, taktik, alat, dan infrastruktur mereka.
Bergabunglah dengan kami!