Nous avons un nouveau projet: à partir de cet article, nous vous familiariserons avec les métiers et les principaux spécialistes du Groupe-IB, vous parlerons de leur travail, de leurs recherches et de leurs cas, comment et où vous pouvez obtenir une formation et, bien sûr, vous fournirons un lien vers les postes vacants actuels. La première invitée est Anastasia Tikhonova , nous lui donnons des interviews dans un discours direct et, comme on dit, sans coupures.
:
: .
: Threat Intelligence Group-IB.
: Threat Intelligence & Attribution Analyst.
: 29 .
: .
: 9 , (APT).
: APT, ,
- développement de nouvelles armes numériques, exploitation des vulnérabilités zero-day, test de nouveaux moyens de livraison et distribution de programmes malveillants. La Chine, la Corée du Nord, les États-Unis, l'Iran ont leurs propres cyberarmées, et la Turquie, l'Inde, le Kazakhstan et les pays d'Amérique du Sud se sont joints à cette course. Depuis plus de trois ans, depuis 2017, j'étudie APT (Advanced Persistent Threat) - menaces ciblées complexes, attaques par des services spéciaux ou, comme on les appelle aussi, groupes de hackers pro-gouvernementaux, et je vois 4-5 nouveaux groupes apparaissent chaque année. Il y a maintenant plus de 70 groupes opérant dans le monde, sans compter ceux qui sont temporairement «discrets» ou ceux qui opèrent encore en secret. La plupart des APT ciblent le cyberespionnage, moins de sabotage et de sabotage. Bien qu'il y ait des exceptions face au groupe nord-coréen Lazarus et à de nombreux APT chinois qui attaquent les échanges de crypto-monnaie,les banques et les développeurs de jeux pour gagner de l'argent.
Les groupes pro-gouvernementaux ne sont pas nécessairement des «hackers en uniforme» qui travaillent à partir d'un bunker conventionnel de 9h00 à 18h00. Il peut s'agir de spécialistes qui sont utilisés «dans le noir», ou encore de cyber-patriotes qui commettent des crimes par amour pour leur patrie (il y en a!), Ou de mercenaires professionnels - des hackers sur un «salaire». Nous n'avons pas de reçus ou de déclarations sur le montant qu'ils sont payés (et s'ils sont payés du tout), mais je pense que c'est plus élevé que sur le marché. Parce qu'ils ont un travail assez spécifique. Et les risques sont appropriés.
Toute cyberattaque, quel que soit le motif poursuivi par les pirates, est un crime et une violation de la loi.L'attaque récente à Miami (Floride) sur le système de contrôle d'un système de traitement d'eau est une histoire avec un accès à distance à un ordinateur. TeamViewer a été installé sur la machine afin que les employés puissent contrôler quelque chose à distance. Le compte était protégé par mot de passe, mais l'attaquant a pu deviner le mot de passe. Il s'est connecté deux fois et la deuxième fois a changé le rapport quantitatif d'hydroxyde de sodium dans les paramètres d'interface à un qui pourrait potentiellement causer des dommages importants à la santé humaine. Un employé de l'entreprise, voyant cela, a immédiatement modifié les paramètres pour les sécuriser. Et ce n'est pas un complot d'une série télévisée cyberpunk. L'année dernière, des pirates informatiques nord-coréens ont réussi à arrêter les unités de puissance de la centrale nucléaire de Kudankulam en Inde, compromettant vraisemblablement le poste de travail d'un employé d'assez haut niveau.En 2020, les attaquants israéliens ont également réussi à accéder à des systèmes de purification de l'eau et ont même tenté à distance de modifier le niveau de chlore, ce qui aurait déclenché une vague d'empoisonnement. Nous sommes très chanceux que les attaques de l’APT n’aient pas encore entraîné de pertes en vies humaines massives.
APT- - les tactiques et procédures qu'ils utilisent dans leurs attaques sont également adoptées par les cybercriminels ordinaires. Par exemple, après l'utilisation des ransomwares WannaCry, BadRabbit et NotPetya par des groupes pro-étatiques en 2017, une véritable épidémie d'attaques criminelles de ransomwares a balayé le monde - avec leur aide, vous ne pouvez pas gagner moins que dans le cas d'une attaque réussie contre une banque, malgré le fait que l'exécution technique et le coût de l'attaque sont beaucoup plus simples ... Même des groupes criminels «classiques» à motivation financière comme Cobalt et Silence, qui attaquaient les banques pour voler et retirer de l'argent, se sont tournés vers les ransomwares et sont devenus membres de programmes de partenariat privé. Selon nos estimations, les dommages causés par les attaques de ransomwares - et il y en avait environ 2 000 - s'élevaient l'an dernier à au moins 1 milliard de dollars, selon les estimations les plus prudentes.
: Threat Intelligence
, . Enfant, je voulais devenir policier. Et en 10e, j'ai essayé d'entrer à l'Académie du FSB - je viens d'une famille de militaires. Avant Group-IB, j'ai travaillé pendant un an dans une société d'anti-virus, et déjà là -bas j'ai souvent remarqué des nouvelles du Group-IB dans la presse: ils ont publié une nouvelle étude, mené une enquête, participé à l'arrestation. A cette époque, il y avait très peu d'acteurs sur le marché des sociétés de sécurité de l'information, et même alors Group-IB se démarquait par son intolérance à la cybercriminalité, son enjeu technologique, et il est devenu intéressant pour moi de découvrir les opportunités de développement là -bas. étaient. Lorsque j'ai rejoint Group-IB en 2013, notre département Threat Intelligence s'appelait simplement le département d'analyse, et nous étions engagés dans des problèmes complètement différents: de la recherche de hacktivistes à l'aide au service des enquêtes pour identifier les hackers et établir leur identité.En sept ans, notre département de trois personnes est devenu un département de Cyber ​​Intelligence avec plus de trente employés.
La cyber-intelligence est différente. De nos jours, Threat Intelligence et le marché des outils TI se résument souvent à l'envoi de «listes noires» banales aux clients - une liste de «mauvaises» adresses, de «mauvais» domaines. Pour nous, chez Group-IB, Threat Intelligence & Attribution est une connaissance des attaquants; il ne nous suffit plus d'analyser simplement les menaces. Comme le dit notre directeur technique Dima Volkov, lorsque vous êtes confronté à une menace réellĕ, vous avez besoin d'une réponse à l'une des questions importantes: qui vous attaque et avec quelle aide? En plus de ces données, nous donnons à nos clients les outils pour travailler et fournir notre propre service, ce qui transfère certaines des tâches actives sur les épaules de nos spécialistes qui ont déjà l'expérience et les compétences nécessaires. L'intelligence artificielle et les systèmes automatisés font maintenant beaucoup pour nous. Mais cela n'annule pas le «travail manuel délicat».
L'une de mes premières grandes études portait sur les attaques contre la Russie par des pirates informatiques qui soutiennent l'Etat islamique. Forbes a écrit à ce sujet alors : «Les pirates islamistes du califat islamique mondial, Team System Dz, les groupes FallaGa Team ont attaqué environ 600 sites Web russes d'agences gouvernementales et d'entreprises privées». À cette époque, nous avions encore un accès semi-manuel au métro: je suis allé sur des forums de hackers, je me suis inscrit, j'ai collecté diverses informations et données utiles pour la cyber-intelligence (Threat Intelligence), et sur cette base j'ai fait des rapports pour nos clients. À un moment donné, cela devenait ennuyeux pour moi d'être engagé dans l'underground, je voulais des tâches plus difficiles, et mon chef, Dmitry Volkov, CTO Group-IB, a suggéré de faire une recherche sur l'un des APT chinois. Depuis que tout a commencé.
Dans mon travail, vous avez besoin de bouger rapidement votre cerveau, vos mains ... et généralement de bouger. En un jour, nous pouvons avoir une étude des attaques de groupes pro-gouvernementaux de Chine, puis vous voyez comment un élément déclencheur de la règle de détection nigériane est arrivé (il y a eu récemment une opération conjointe avec Interpol), et le soir il s'avère que quelqu'un a un client DDOS du nom de hackers russes ...
Une fille dans infobez? Eh bien, oui, et alors? Je déteste ces questions. Comme le dit l'adage, "le talent n'a pas de sexe". Peu importe votre sexe, vous pouvez être un excellent analyste, chercheur ou peut-être pas.
Travaillez tel quel: un peu de travail intérieur
Ma journée typique commence par une tasse de café et Twitter. J'ai une bonne base d'abonnement - il y a des chercheurs et des journalistes auxquels je suis abonné et qui m'ont souscrit. Dans ce réseau social, infobez échange des données sur diverses attaques, rapports de fournisseurs. Par exemple, la société coréenne ESRC mène actuellement des enquêtes très intéressantes. Je suis également abonné à quelques chaînes de télégrammes spécialisées via APT. Ici, la communauté fonctionne très clairement: si un chercheur a trouvé le serveur de gestion d'un groupe de hackers et a déposé les données dans le canal de télégramme, ils l'aident à enquêter et à jeter des informations sur cette affaire. Tout sujet ajouté sur APT devient généralement très rapidement envahi par des détails intéressants, mais l'intérêt pour le cyber-edge et le phishing n'est pas si élevé. Eh bien, peut-être à l'exception du populaire ransomware.
Le travail sur tous les cas commence par l'analyse. En règle générale, avant de commencer un projet de recherche, j'ai déjà un pool d'informations: les nôtres et celles de quelqu'un d'autre (d'autres fournisseurs ou analystes). Je commence à faire tourner les indicateurs détectés: hachages de chevaux de Troie, documents malveillants, domaines, liens, etc. qui ont été utilisés, et je teste tout cela pour la possibilité de compléter ces indicateurs avec nos données, ce que personne n'a encore vu , cela arrive souvent. Mes outils de travail - nos développements Threat Intelligence & Attribution, graphe de réseau Group-IB - les utilisent pour trouver rapidement des indicateurs supplémentaires de compromission et les envoyer en alerte au client. Cela donne aux clients la possibilité d'empêcher une attaque et de bloquer les activités indésirables.
Sur la photo: un exemple de recherche sur l'infrastructure d'un groupe à l'aide du graphe du réseau Group-IB
Nous avons des connexions historiques entre les groupes et les hackers de la communauté, des données de cybercriminels sur plusieurs années. Il s'agit de données précieuses - courrier, téléphones, messageries instantanées, base de données de domaines et d'adresses IP, données relatives aux programmes malveillants. Par exemple, dans la base de données TI&A Group-IB, il y a tous les domaines déjà utilisés par les cybercriminels avec un historique de leurs changements sur 17 ans. Nous pouvons parler des spécificités, de «l'écriture manuscrite» de chaque groupe criminel individuel. Nous savons qu'un groupe utilise les mêmes serveurs ou enregistre des noms de domaine auprès de deux fournisseurs favoris. Nous chargeons toutes ces données dans la chasse aux menaces externes du système Group-IB et obtenons ce que l'on peut maintenant appeler la chasse aux menaces efficace en sortie.
, , .Il se trouve que vous restez assis longtemps, que vous surveillez un personnage, que vous essayez de trouver des comptes supplémentaires et que vous ne trouvez pas ... Et puis du coup vous voyez qu'il a indiqué son courrier personnel sur une capture d'écran postée sur Internet ou sur une vieille photo. Nous devons creuser une analyse plus approfondie et plus approfondie. Vous commencez déjà à chercher des comptes supplémentaires, des personnes qui pourraient interagir avec lui, si vous calculez une ville spécifique, vous obtenez déjà plus d'informations, il arrive parfois que vous connaissiez déjà la rue. Quel pourrait être un indice? Cela peut être une photo des réseaux sociaux, ou une photo sur Instagram de sa copine, il n'y a pas de fille - regarde dans l'amadou, etc. - en d'autres termes OSINT, intelligence open source. Toutes les divisions techniques du Groupe-IB possèdent cet outil, mais chacune a son propre OSINT.
Nous faisons également l’objet d’une enquête.Pensez-vous que nous, Groupe-IB, n'avons pas essayé d'attaquer? Nous sommes confrontés à la vraie cybercriminalité, ils essaient de nous menacer, ils ont envoyé des «salutations». Pas comme Krebs, bien sûr, d'autres salutations, plus souvent de logiciels malveillants.
En fin de compte, toutes mes analyses sont nécessaires pour prévenir la cybercriminalité. Cela ressemble à de la science-fiction, mais nous pouvons prédire les attaques avant même que les pirates et les APT ne les fassent. Même au stade de la préparation de l'infrastructure, nous identifions les attaques et alertons les clients. En outre, les données Threat Intelligence & Attribution sont enrichies d'informations provenant de darkweb, de forums de pirates souterrains et sont utilisées dans nos autres solutions, permettant aux analystes de voir l'image la plus complète des menaces et d'attribuer les activités criminelles avec la plus grande précision.
De la Corée à la Carélie: le paysage de l'APT
APT, “ ” — — .«J'aime» leur approche - ils sont une approche réfléchie et non standard de leur travail. Par exemple, au stade de l'exploration et de la pénétration, ils mènent des entretiens super-réels avec des «candidats», jouent pendant longtemps, sans éveiller les soupçons. De plus, ils ont des outils intéressants qu'ils développent constamment. Au départ, ils ont commencé avec le cyberespionnage classique contre la Corée du Sud et les États-Unis, au fil du temps, ils sont devenus des soldats universels capables de voler de l'argent, des informations précieuses ou du sabotage. D'année en année, des groupes nord-coréens tels que Lazarus et Kimsuky affichent un développement régulier de leurs méthodes d'attaque et de leurs outils. L'année dernière, un grand nombre d'attaques de pirates informatiques nord-coréens ont visé des entrepreneurs militaires du monde entier. Kommersant a écrit à ce sujet, peut-être avez-vous lu une telle presse :)
En Corée du Nord, à mon avis, il existe un grand groupe «racine» - Lazarus , qui a différentes équipes sous son commandement, par exemple Andariel, pour résoudre diverses tâches non essentielles. À propos, les deux noms de ces APT nord-coréens sont repris par des chercheurs du célèbre jeu informatique "Diablo".
En Iran, le recrutement des employés dans les groupes APT se fait directement depuis le banc des étudiants.Une fois, nous avons publié un article sur Habré sur les pirates iraniens, où le nom et le prénom de l'un des accusés étaient inscrits dans les documents. Au début, nous avons douté - on ne sait jamais à qui le nom est inscrit. Cependant, il s'est avéré qu'une fois son courrier était exposé sur des ressources de hackers, ce qui nous intéressait beaucoup. Après avoir démêlé tout cela, nous avons trouvé beaucoup de comptes différents sur des forums dédiés à apprendre à exploiter les vulnérabilités, ce qui nous a convaincus encore plus que c'était cette même personne "blacher" qui piratait. Lorsque nous avons publié nos résultats, il a écrit sur Twitter dans l'esprit suivant: «Pourquoi accusez-vous simplement des gens, on ne sait jamais, une personne pourrait être mise en place, ou il a trébuché?». Au bout d'un certain temps, il a lui-même effacé ce message: il l'a dénoncé tête baissée.
Nous n'entendons pas parler des APT américains, mais cela ne veut pas dire qu'ils n'existent pas. Il y a des groupes américains, mais il n'y a presque rien à leur sujet. Pourquoi avez-vous besoin de beaucoup de petits groupes APT si vous en avez un bien organisé qui travaille sur des tâches et en espionne les autres? Une question rhétorique. Aux États-Unis, tout est étroitement lié à la NSA, c'est-à -dire qu'elle a, je dirais, un réseau assez vaste avec ces vulnérabilités et outils 0-day et autres. Ce que WikiLeaks a publié est une petite partie de ce que la NSA a.
Les «hackers russes» qui travaillent pour l'État sont désormais un sujet très à la mode et à la mode en Occident.Les attaques de pirates dans la presse sont souvent liées à un pays particulier en raison de la situation politique tendue - Russie contre États-Unis, Israël contre Iran, Corée du Nord contre Corée du Sud, et non sur la base de données techniques réelles qui indiquent sans équivoque un groupement particulier. N'oublions pas que les groupes utilisent souvent de faux drapeaux et tentent de masquer les pistes. Par exemple, c'est ce qu'a fait Lazarus. En général, un "hacker russe" est quelque chose de la fin des années 90. Il n'y a pas de «Russes», il y a des «russophones» - des gens des pays post-laïques. Et «les hackers russes sont les plus cool» n'est plus le cas: les groupes sont mixtes et composés de personnes de nationalités différentes.
Ne pensez pas que tout est simple.Les APT essaient souvent de masquer les pistes, de lancer de faux drapeaux et de "tourner les flèches" les unes sur les autres. Le même MuddyWater iranien a commencé par essayer d'imiter Fin7. Si, comme dans le cas de Lazarus, vous accédez à des adresses IP spécifiques appartenant à la Corée du Nord, vous pouvez ensuite déclarer qu'il s'agit de la Corée du Nord. Et c'est ce que font certains vendeurs. Sinon, vous ne pouvez regarder que les cibles qui ont été attaquées, regarder l'infrastructure d'où elle a été prise, et à la manière de quelques commentaires lors de l'écriture du code, etc. S'il y a eu une attaque en mer de Chine méridionale, vous pouvez supposer que des pays ayant des intérêts dans cette région sont impliqués. Et puis vous commencez déjà à comprendre quel type d'outils ont été utilisés: puisqu'il s'agit d'un cheval de Troie PlugX, il s'agit probablement de la Chine. Et puis nous arrivons à l'infrastructure, il s'avèrequ'il s'agit bien d'adresses IP chinoises.
Secrets de maîtrise et liste des livres de nivellement
Il n'y a pas de plafond dans votre propre développement personnel. J'aimerais travailler en Europe et en Asie, car il y aurait plus de chances d'échanger des expériences avec d'autres spécialistes de la sécurité de l'information, vous commencez à comprendre la mentalité et à mieux imaginer comment l'APT pourrait travailler spécifiquement dans cette région. Je pense que ce sera facile à faire. L'année dernière, Group-IB a ouvert son siège social mondial à Singapour, et l'année dernière, son siège européen à Amsterdam. Au fur et à mesure que les outils évoluent et que les groupes APT ne disparaîtront jamais, j'aurai toujours du travail. De plus, ma profession sera en demande.
Nous sommes tous super multitâches:souvent, vous devez prendre beaucoup de données provenant de différentes sources, les analyser, et c'est un processus laborieux. Par conséquent, pour un débutant, plusieurs qualités sont importantes: la curiosité, la persévérance. Nous devons nous tenir au courant de toute l'actualité politique, sur tous les types d'attaques, pour surveiller l'émergence de nouveaux types d'attaques ou de vulnérabilités. Dans la plupart des cas, nous accueillons des personnes ayant une formation spécialisée en sécurité de l'information, mais comme mon cas n'en fait pas partie, il est possible d'acquérir de l'expérience sur place. Autrement dit, si vous êtes une personne intéressée, vous avez l'habitude d'aller au fond des choses, vous avez des connaissances en informatique (vous devez toujours avoir des connaissances en informatique) puis, en principe, vous pouvez trouver un analyste junior, et déjà expérimenté le développement dans ce domaine. L'essentiel est le dévouement et le désir de se développer.
Afin de vous immerger dans le métier ou de monter de niveau en tant qu'analyste Threat Intelligence, je vous recommande cette petite liste de références:
- Classique intemporel du vétéran de la CIA Richards Heuer "Psychologie de l'analyse de l'intelligence" , qui décrit les particularités de notre pensée, les erreurs et les limites (biais cognitifs) générées par notre cerveau. Par exemple, reconnaître un phénomène inattendu nécessite des informations plus claires que ce à quoi on s'attend: «Nous avons tendance à percevoir ce que nous nous attendons à percevoir».
- Les principes et concepts de base de Cyber ​​Threat Intelligence se trouvent dans Threat Intelligence: Collecting, Analyzing, Evaluating par David Chismon, Martyn Ruks de MWR InfoSecurity .
- , Cyber Threat Intelligence, APT, «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». , , .
- Kill Chain, Diamond Model MITRE ATT&CK — , Cyber Threat Intelligence, : „MITRE ATT&CK: Design and Philosophy , ATT&CK, . MITRE ATT&CK, .
- Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — Kill Chain, , .
- The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — , CTI.
- , , APTNotes. , , , , , , .
- , —
Threat Intelligence & Attribution Analyst?
Pour ceux qui s'intéressent au métier d'analyste Threat Intelligence & Attribution, notre société est prête à proposer un cours pratique sur la collecte d'informations sur les cybermenaces et l'enrichissement des processus de cybersécurité avec des données TI pour une réponse efficace aux incidents et une surveillance des menaces.
L'objectif du cours Group-IB Threat Intelligence & Attribution Analyst est de vous apprendre à collecter des informations significatives à partir de différents types de sources - ouvertes et fermées - pour interpréter ces informations et identifier les signes de préparation à une attaque. Le programme comprend des exercices pratiques basés sur des études de cas du département Cyber ​​Intelligence du Groupe IB. Cette approche est importante pour que les étudiants puissent appliquer immédiatement les connaissances acquises dans leur pratique quotidienne.
Un travail qui a du sens!
Et une autre annonce importante. Group-IB renforce son équipe technique: faites partie de l'équipe et changez le monde avec nous! Actuellement, plus de 120 postes sont ouverts, dont 60 pour des spécialistes techniques. Détails ici . Group-IB est la prochaine génération d'ingénieurs. Nous incarnons des idées audacieuses, créant des technologies innovantes pour enquêter sur la cybercriminalité, prévenir les cyberattaques, suivre les attaquants, leurs tactiques, leurs outils et leur infrastructure.
Rejoignez-nous!