У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы даем прямой речью и, что называется, без купюр.
Профайл:
Имя: Анастасия Тихонова.
Должность: Руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB.
Профессия: Threat Intelligence & Attribution Analyst.
Возраст: 29 лет.
Специализация: Киберразведка.
Чем известна: Более 9 лет работает в сфере информационной безопасности, последние четыре года исследует прогосударственные хакерские группы (APT).
С чем я имею дело: APT, киберармии, шпионаж и диверсии
Прямо сейчас мы все являемся свидетелями глобальной гонки кибервооружений — разработки нового цифрового оружия, использования уязвимостей нулевого дня (0-day), тестирований новых средств доставки и распространения вредоносных программ. Свои киберармии есть у Китая, Северной Кореи, у США, у Ирана, и в эту гонку включились Турция, Индия, Казахстан, страны Южной Америки. Я уже более трех лет, с 2017 года, изучаю APT (Advanced Persistent Threat) — сложные целевые угрозы, атаки спецслужб или, как их еще называют, прогосударственные хакерские группы и вижу, как каждый год появляется 4-5 новых групп. Сейчас в мире действуют более 70 групп, не считая тех, кто временно “залег на дно” или тех, кто пока еще действует скрыто. Цель большинства APT — кибершпионаж, в меньшей степени саботаж и диверсии. Хотя есть и исключения в лице северокорейской группы Lazarus и многочисленных китайских APT, которые, атакуют криптовалютные биржи, банки и разработчиков компьютерных игр, чтобы заработать.
Прогосударственные группы — это не обязательно “хакеры в погонах”, которые работают из условного бункера с 9.00 до 18.00. Это могут быть специалисты, которых используют «втемную», или даже киберпатриоты, которые идут на преступление из-за любви к родине (есть и такие!), или профессиональные наемники — хакеры на «зарплате». У нас нет расписок или ведомостей, сколько им платят (и платят ли вообще), но думаю, что выше, чем по рынку. Потому что у них довольно специфическая работа. И риски соответствующие.
Любая кибератака, независимо от мотива, который преследуют хакеры — это преступление и нарушение законодательства. Недавняя атака в Майами (Флорида) на АСУ ТП водоочистной системы — это история с удаленным входом на компьютер. На машину был установлен TeamViewer для того, чтобы сотрудники могли что-то удаленно контролировать. Аккаунт был запаролен, но злоумышленник смог подобрать пароль. Он логинился два раза и во второй раз изменил количественное соотношение гидрооксида натрия в настройках интерфейса на такое, которое могло бы потенциально нанести существенный ущерб здоровью людей. Сотрудник компании, увидев это, тут же изменил настройки обратно на безопасные. И это не сюжет из киберпанк-сериала. В позапрошлом году северокорейским хакерам удалось добиться остановки энергоблоков на АЭС «Куданкулам» в Индии, предположительно скомпрометировав рабочую станцию довольно высокоуровневого сотрудника. ?В 2020 году в Израиле атакующим также удалось получить доступ к системам очистки воды и они даже удаленно пытались изменить уровень содержания хлора, что вызвало бы волну отравлений. Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам.
Крупные APT-группировки являются трендсеттерами — тактики и процедуры, которые они используют в своих атаках, берет на вооружение и обычный киберкриминал. Например, после использования в 2017 году шифровальщиков WannaCry, BadRabbit и NotPetya прогосударственными группами мир захлестнула настоящая эпидемия криминальных атак ransomware — с их помощью можно заработать не меньше, чем в случае успешнои? атаки на банк, при том, что техническое исполнение и стоимость атаки значительно проще. Даже такие “классические” финансово мотивированные преступные группы как Cobalt и Silence, раньше атаковавшие банки для хищения и вывода денег, переключились на использование шифровальщиков и стали участниками приватных партнерских программ. По нашим оценкам, ущерб от атак шифровальщиков — а их было около 2000 — за прошлый год составил как минимум $1 млрд. И это по самым скромным подсчетам.
Немного личного: как я пришла в профессию и о тонкостях Threat Intelligence
Мне кажется, что в инфобез я попала не случайно. В детстве я хотела стать полицейским. А в 10 классе пыталась поступить в Академию ФСБ — я из семьи военнослужащих. До Group-IB я год проработала в антивирусной компании, и уже там часто замечала в прессе новости про Group-IB: выпустили новое исследование, провели расследование, участвовали в задержании. В то время на рынке ИБ-компаний было совсем немного игроков, и уже тогда Group-IB выделялась своей нетерпимостью к киберпреступности, ставкой на технологии, и мне стало интересно узнать, какие возможности для развития здесь есть. Когда я пришла в 2013 году в Group-IB, наш департамент Threat Intelligence назывался просто отделом аналитики, и мы занимались абсолютно разными вопросами: от исследований хактивистов до помощи отделу расследований с идентификацией хакеров и установлением их личностей. За семь лет наш отдел из трех человек вырос до департамента Киберразведки с более чем тридцатью сотрудниками.
Киберразведка бывает разная. Сейчас очень часто Threat Intelligence и рынок TI-инструментов сводится к отправке клиентам банальных «черных списков» – списка «плохих» адресов, «плохих» доменов. Для нас, в Group-IB, Threat Intelligence & Attribution – это знание об атакующих, нам уже недостаточно просто анализировать угрозы. Как говорит наш CTO Дима Волков, когда вы сталкиваетесь с реальнои? угрозой?, вам нужен ответ на один из важных вопросов: кто вас атакует и с помощью чего? Кроме этих данных мы даем клиентам инструменты для работы и предоставляем наш собственныи? сервис, которыи? перекладывает часть активных задач на плечи наших специалистов, которые уже обладают необходимым опытом и навыками. Многое теперь делает за нас машинный интеллект и автоматизированные системы. Но это не отменяет «тонкую ручную работу».
Одно из моих первых больших исследований было на тему атак на Россию хакеров, которые поддерживают ИГИЛ. Об этом тогда Forbes писал: “Хакеры-исламисты из группировок Global Islamic Caliphate, Team System Dz, FallaGa Team атаковали около 600 российских сайтов госведомств и частных компаний”. Мы тогда ещё в полуручном режиме получали доступ к андеграунду: я заходила на хакерские форумы, регистрировалась, собирала различную полезную информацию и данные для киберразведки (Threat Intelligence), и на их основе делала отчеты для наших клиентов. В какой-то момент мне стало просто скучно уже заниматься андеграундом, захотелось задачек посложнее, и мой руководитель, Дмитрий Волков, CTO Group-IB, предложил сделать исследование про одну из китайских APT. С этого все и началось.
В моей работе нужно быстро шевелить мозгами, руками… да вообще шевелиться. За один день у нас может быть исследование атак прогосударственных группировок из Китая, потом ты видишь, как прилетела сработка на правило детекта по нигерийцам (недавно была совместная операция с Interpol), а к вечеру вообще окажется, что кто-то DDOS-ит клиента от имени российских хакеров…
Девушка в инфобезе? Ну да, и что? Терпеть не могу такие вопросы. Как говорится, «talent has no gender». Не важно какого ты пола, ты можешь быть отличным аналитиком, рессерчером, а можешь и не быть им.
Работа как она есть: немножко внутрянки
Мой обычный день начинается с чашки кофе и твиттера. У меня неплохая база подписок — там и исследователи, и журналисты, на кого я подписана, и кто подписан на меня. В этой соцсети инфобез обменивается данными о различных атаках, отчётами вендоров. Например, очень интересные расследования делает сейчас корейская компания ESRC. Еще я подписана на парочку профильных телеграм-каналов по APT. Здесь комьюнити работает очень четко: если один исследователь нашел управляющий сервер хакерской группы и сбросил данные в телеграм-канал, ему помогают доисследовать и скидывают информацию по этому кейсу. Любая вброшенная тема про APT обычно очень быстро обрастает интересными подробностями, а вот к киберкрайму и фишингу интерес не такой повышенный. Ну может быть за исключением популярного ransomware.
Работа над любым кейсом начинается с аналитики. Как правило, перед тем, как я начну ресерч, у меня уже есть пул информации: как нашей, так и чужой (от других вендоров или аналитиков). Я начинаю раскручивать обнаруженные идикаторы: хеши троянов, вредоносных документов, домены, ссылки и так далее, которые использовались, и тестирую все это на возможность дополнения этих индикаторов нашими данными, которые ещё никто не видел, такое часто бывает. Мои рабочие инструменты — наши разработки Threat Intelligence & Attribution, сетевой граф Group-IB — с их помощью я довольно быстро нахожу дополнительные индикаторы компрометации и отправляю их в виде оповещения для клиента. Благодаря этому у клиентов есть возможность предотвратить атаку и заблокировать нежелательную активность.
На фото: пример исследования инфраструктуры группы с использованием сетевого графа Group-IB
У нас есть исторические связи групп и хакеров в комьюнити, данные киберпреступников за несколько лет. Это ценные данные — почта, телефоны, мессенджеры, база доменов и IP, данные, связанные с рассылками вредоносных программ. Например, в базе Group-IB TI&A, все домены, когда-либо используемые злоумышленниками с историей их изменений за 17 лет. Мы можем говорить о специфике, “почерке” каждой отдельной преступной группы. Мы знаем, что одна группа использует одни и те же серверы, или регистрирует доменные имена у двух любимых провайдеров. Все эти данные мы загружаем в External Threat Hunting системы Group-IB и получаем на выходе то, что сейчас можно называть эффективный threat hunting.
Все, даже очень умные киберпреступники, совершают ошибки. Бывает так, что ты долго сидишь, мониторишь персонажа, пытаешься найти какие-то дополнительные аккаунты и не можешь найти…. А потом вдруг видишь, что он на выложенном в интернет скриншоте или старом фотоснимке указал свою личную почту. Приходится копать глубже, deeper analysis. Ты уже начинаешь искать дополнительные аккаунты, людей, которые могли с ним взаимодействовать, если вычисляешь конкретный город, получаешь уже больше информации, иногда бывает, что ты уже знаешь улицу. Что может быть подсказкой? Это может быть фотография из соцсетей, или фотография в инсте его девушки, нет девушки — ищи в тиндере и так далее — проще говоря OSINT, разведка на основе открытых источников. Этим инструментом обладают все технические подразделения Group-IB, но у каждого свой OSINT.
Нас исследуют тоже. Вы думаете нас, Group-IB, не пытались атаковать? Мы противостоим самой настоящей киберпреступности, нам пытаются угрожать, «приветы» присылали. Не как Кребсу, конечно, другие приветы, чаще с ВПО.
В конечном итоге вся моя аналитика нужна для того, чтобы предотвращать киберпреступления. Это кажется научной фантастикой, но мы можем предсказывать атаки еще до того, как хакеры и APT совершают их. Еще на этапе подготовки инфраструктуры мы выявляем атаки и предупреждаем клиентов. Кроме того, данные Threat Intelligence & Attribution обогащаются информацией из darkweb, с подпольных хакерских форумов и используются в других наших решениях, позволяя аналитикам увидеть наиболее полную картину угроз и атрибутировать преступную деятельность с предельной точностью.
От Кореи до Карелии: ландшафт APT
Если сравнивать разные APT, то “инженерный оргазм” по меткому выражению нашего босса — Ильи Сачкова — я испытываю от северокорейских групп. Мне “нравится” их подход — они вдумчиво и нестандартно подходят к своей работе. Например, на этапе разведки и пробива проводят супер-реальные собеседования с «кандидатами», играют вдолгую, не вызывая подозрений. Плюс у них, действительно есть интересные инструменты, которые они постоянно развивают. Изначально они начинали с классического кибершпионажа против Южной Кореи и США, со временем стали универсальными солдатами, способными похитить деньги, ценную информацию или устроить диверсию. Из года в год такие северокорейские группировки как Lazarus и Kimsuky показывают стабильное развитие методов атак и своих инструментов. В прошлом году большое количество атак северокорейских хакеров были направлены на военных подрядчиков по всему миру. Об этом писал «Коммерсант», может вы читаете такую прессу:)
В Северной Корее, по моему мнению, есть крупная “корневая” группировка — Lazarus, у которой, в подчинении есть разные команды, например, Андариэль, для решения различных непрофильных задач. Кстати, оба названия этих северокорейских APT взяты исследователями из популярной компьютерной игры «Diablo».
В Иране вербовка сотрудников в APT-группы происходит прямо со студенческой скамьи. Как-то раз мы опубликовали на Хабре статью про иранских хакеров, где в документах оказалась написаны имя и фамилия одного из фигурантов. Мы сначала сомневались — мало ли, чье имя вписано. Однако, оказалось, что когда-то давно была засвечена его почта на хакерских ресурсах, что нас довольно сильно заинтересовало. Распутав всё это мы нашли очень много различных аккаунтов на форумах, которые посвящены обучению использования уязвимостей, что еще больше нас убедило в том, что именно этот человек «блэчер», занимается хакингом. Когда мы опубликовали свои находки, он отписался в твиттере в таком духе «Почему вы так просто обвиняете людей, мало ли, человека могли подставить, либо он оступился?». Через какое-то время он сам удалил это сообщение: оно обличало его с головой.
Мы не слышим про американские APT, но это не значит, что их нет. Американские группы есть, просто о них почти ничего нет. Зачем тебе много мелких APT-групп, если у тебя есть одна хорошо организованная, которая работает по задачам и шпионит за другими? Риторический вопрос. В США всё тесно связано с АНБ, то есть вот у них, я бы сказала, довольно большая сеть с вот этими 0-day и прочими уязвимостями, инструментами. То, что выложил WikiLeaks — это малая часть того, что есть у АНБ.
«Русские хакеры», которые работают на государство, это сейчас очень модная и хайповая на западе тема. Хакерские атаки в прессе часто привязывают к той или иной стране, исходя из напряженной политической ситуации — Россия vs США, Израиль vs Иран, Северная Корея vs Южная Корея, а не на основе реальных технических данных, однозначно указывающие на ту или иную группировку. Не будем забывать о том, что группы часто используют «ложные флаги», и пытаются запутать следы. Например, так делал Lazarus. Вообще «русский хакер» это что-то уже из конца 90-х. Нет никаких «русских», есть «русскоязычные» — выходцы из стран постсветского пространства. Да и «русские хакеры — самые крутые» — тоже уже не так: группы перемешаны и состоят из людей разных национальностей.
Не надо думать, что все просто. APT часто пытаются запутать следы, выбрасывают ложные флаги и “переводят стрелки” друг на друга. Те же иранские MuddyWater начинали с того, что пытались подделаться под Fin7. Если, как в случае с Lazarus, выйти на конкретные айпишники, которые принадлежат Северной Корее, то после этого можно делать заявление о том, что это Северная Корея. И так делают некоторые вендоры. А так ты можешь смотреть только на цели, которые атаковались, смотреть на инфраструктуру, откуда она была взята, и на манеру каких-нибудь комментариев в написании кода, и так далее. Если была атака в Южно-Китайском море, ты можешь предположить, что замешаны страны, интересы которых связаны с этим регионом. И дальше уже начинаешь разбираться, что за инструменты использовались: раз это троян PlugX, то скорее всего, это точно Китай. И дальше мы доходим до инфраструктуры, оказывается, что это, действительно, китайские айпишники.
Секреты мастерства и список книг для прокачки
В собственном саморазвитии потолка нет. Я бы хотела поработать в Европе и Азии, потому что там было бы больше шансов обмена опытом с другими специалистами инфобеза, начинаешь понимать менталитет и лучше представлять как бы APT могли работать конкретно в этом регионе. Думаю, что это будет несложно сделать. В позапрошлом году Group-IB открыла глобальную штаб-квартиру в Сингапуре, а в прошлом — европейскую штаб-квартру в Амстердаме. Поскольку инструменты развиваются, а APT-группы не исчезнут никогда — работа у меня будет всегда. Тем более будет востребована моя профессия.
Мы все супер-многозадачны: часто приходится брать очень много данных из разных источников, анализировать, и это кропотливый процесс. Поэтому для новичка важно несколько качеств: любопытство, усидчивость. Нам необходимо быть в курсе всех политических новостей, в курсе всех типов атак, отслеживать появление новых типов атак или уязвимостей. В большинстве случаев мы берём людей с профильным образованием в информационной безопасности, но так как мой случай не из этих, то возможен вариант с получением опыта на месте. То есть если ты интересующийся человек, привык докапываться до сути, у тебя есть знания в IT (всё равно придётся иметь знания в IT) тогда в принципе на младшего аналитика ты можешь попасть, и уже опытом добиться развития в этой сфере. Главное — целеустремленность и желание развиваться.
Для того, чтобы погрузиться в профессию или прокачаться как Threat Intelligence аналитик, рекомендую этот небольшой список литературы:
- Нестареющая классика от ветерана ЦРУ Ричардса Хойера ( Richards Heuer) «Psychology of Intelligence Analysis», которая описывает особенности нашего мышления, ошибки и ограничения (когнитивные предубеждения), которые генерирует наш мозг. Например, для распознавания неожиданного явления требуется больше однозначной информации, чем для ожидаемого: «We tend to perceive what we expect to perceive».
- О базовых принципах и концепциях Cyber Threat Intelligence можно узнать из издания «Threat Intelligence: Collecting, Analysing, Evaluating by David Chismon, Martyn Ruks from MWR InfoSecurity».
- Для тех, кто хочет не только в Cyber Threat Intelligence, но и более конкретно разбираться в теме с APT, есть хорошая книга «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». В ней изложен предметный анализ того, как действуют хакеры, какие ошибки они совершают и какие следы оставляют.
- Kill Chain, Diamond Model и MITRE ATT&CK — три кита, на которых должны базироваться знания любого аналитика Cyber Threat Intelligence, в связи этим рекомендую три книги: „MITRE ATT&CK: Design and Philosophy с подробным объяснением того, для чего вообще создавался и служит ATT&CK, как происходит его обновление и как его использует сообщество. Обязательно загляните и на сайт MITRE ATT&CK, где уже можно ознакомиться с описанием некоторых групп и их возможностей.
- Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — кроме описания самой модели Kill Chain, тут можно встретить примеры, которые также будут полезны для начинающих аналитиков.
- The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — довольно простая, но полезная книга для понимания основ CTI.
- Большой репозиторий с разными исследованиями, которые выпускались вендорами ИБ, можно найти в APTNotes. Обновляется, к сожалению, нечасто, но там можно обнаружить большие интересные кейсы с описанием, как проводился анализ того, как делали атрибуцию, как действуют злоумышленники.
- Ну и конечно загляните к нам в блог, и почитайте исследования наших специалистов — на русском языке и на английском
Как стать Threat Intelligence & Attribution Analyst?
Для тех, кто заинтересовался профессией Threat Intelligence & Attribution Analyst наша компания готова предложить практический курс по сбору информации о киберугрозах и обогащению процессов кибербезопасности данными TI для эффективного реагирования на инциденты и мониторинга угроз.
Цель курса Group-IB Threat Intelligence & Attribution Analyst — научить вас собирать значимую информацию из разных типов источников — как открытых, так и закрытых, — толковать эту информацию и выявлять признаки подготовки к атаке. Занятия по программе включают в себя практические упражнения на основе примеров из рабочей практики Департамента киберразведки Group-IB. Такой подход важен для того, чтобы слушатели могли сразу применять полученные знания в своей ежедневной практике.
Работа, которая имеет смысл!
И еще одно важное объявление. Group-IB усиливает команду технических специалистов: стань частью команды и меняй мир вместе с нами! Сейчас открыто 120+ вакансий, в том числе 60 – для технических специалистов. Подробности тут. Group-IB — это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой.
Присоединяйся!
dyam
Одна APT рассказывает какие плохие другие APT.
Stecenko
Не заметил в статье оценочного суждения «плохие».
Скорее — «а вот в мире у нас есть вот такие коллеги, и мы внимательно изучаем, чем они занимаются».
brownfox
White hats vs black hats, ничего принципиально нового :)
Но точка зрения интересная.