211service.com
Dentro del equipo de Microsoft rastreando a los piratas informáticos más peligrosos del mundo
Conceptual Ms Tech / fuente de imágenes: Unsplash, Wikimedia commons
Cuando el Pentágono otorgó recientemente a Microsoft un contrato de 10.000 millones de dólares para transformar y alojar los sistemas informáticos en la nube de las fuerzas armadas estadounidenses, la montaña de dinero vino con un desafío implícito: ¿puede Microsoft mantener los sistemas del Pentágono seguros contra algunos de los sistemas con mejores recursos, persistentes y ¿hackers sofisticados en la tierra?
Están bajo asalto cada hora del día, dice James Lewis, vicepresidente del Centro de Estudios Estratégicos e Internacionales.
La última victoria de Microsoft sobre su rival en la nube, Amazon, por el contrato militar ultralucrativo significa que un aparato de recopilación de inteligencia entre los más importantes del mundo tiene su sede en los bosques de las afueras de Seattle. Este tipo de responsabilidades de seguridad nacional alguna vez recayó casi exclusivamente en Washington, DC. Ahora, en este rincón del estado de Washington, decenas de ingenieros y analistas de inteligencia se dedican a vigilar y detener a los piratas informáticos patrocinados por el gobierno que proliferan en todo el mundo.
Los miembros del equipo denominado MSTIC (Microsoft Threat Intelligence Center) se centran en las amenazas: un grupo es responsable de los piratas informáticos rusos cuyo nombre en código es Strontium, otro vigila a los piratas informáticos norcoreanos cuyo nombre en código es Zinc y otro rastrea a los piratas informáticos iraníes cuyo nombre en código es holmio. MSTIC rastrea más de 70 grupos de amenazas patrocinados por el gobierno con nombre en código y muchos más que no tienen nombre.
La lluvia comenzó justo antes de que yo llegara en un típico día de otoño en Redmond, Washington. Siguió bajando durante toda mi visita. La sede de Microsoft es tan amplia y laberíntica como cualquier instalación gubernamental, con cientos de edificios y miles de empleados. Vine a conocer al equipo de Microsoft que rastrea a los piratas informáticos más peligrosos del mundo.
Ofensa y defensa
John Lambert fundó y administra MSTIC. microsoft
John Lambert ha estado en Microsoft desde 2000, cuando una nueva realidad de ciberseguridad se estableció por primera vez tanto en Washington, DC como en la sede central de Microsoft en el estado de Washington.
Microsoft, entonces una empresa singularmente poderosa que monopolizaba el software para PC, se había dado cuenta de la importancia de Internet hace relativamente poco tiempo. Con Windows XP conquistando el mundo sin dejar de ser sorprendentemente inseguro, el equipo fue testigo de una serie de fallas de seguridad enormes y vergonzosas, incluidos gusanos autorreplicantes como Code Red y Nimda. Las fallas afectaron a muchos de los grandes números de clientes gubernamentales y del sector privado de Microsoft, poniendo en peligro su negocio principal. No fue sino hasta 2002, cuando Bill Gates envió su famoso memorando instando a enfatizar la computación confiable, que Redmond finalmente comenzó a lidiar con la importancia de la ciberseguridad.
Fue entonces cuando Lambert quedó fascinado con el lado ofensivo de la cibernética.
Se requiere una perfección en los límites de ataque y defensa, me dijo Lambert. Para defender bien, hay que saber atacar. Tienes que tener la mentalidad ofensiva también; no puedes pensar solo en la defensa si no sabes cómo ser creativo en la ofensiva.
Después de ver aumentar la cantidad de campañas de piratería patrocinadas por el gobierno, Lambert utilizó esta mentalidad ofensiva para ayudar a impulsar cambios fundamentales en la forma en que Microsoft abordaba el problema. El objetivo era pasar de un mundo sombrío desconocido, donde los equipos de defensa observan, frustrados, cómo los piratas informáticos sofisticados penetran en las redes con potentes vulnerabilidades de día cero, a un dominio donde Microsoft puede ver casi cualquier cosa.
¿Cuáles son los superpoderes de Microsoft? Lambert recuerda haber preguntado.
La respuesta es que su sistema operativo Windows y otro software están en casi todas partes, lo que le brinda a Microsoft las herramientas para detectar lo que sucede en franjas colosales de Internet. Eso plantea preguntas de privacidad reales y continuas que aún no hemos abordado por completo. Por seguridad, sin embargo, es una enorme ventaja.
Los productos de Microsoft ya tenían incorporados los sistemas de informe de errores de Windows para tratar de comprender los errores y fallas generales por medio de la telemetría o la recopilación de datos de cualquier hardware o software de la empresa en uso. Pero fueron Lambert y los equipos de seguridad quienes convirtieron los sistemas de telemetría en poderosas herramientas de seguridad, transformando lo que alguna vez fue una tarea lenta y ardua. Anteriormente, los equipos de seguridad a menudo tenían que recorrer físicamente el mundo, encontrar máquinas específicas, copiar sus discos duros y sumergirse en los incidentes lentamente. Ahora esas máquinas simplemente se comunican con Microsoft. Prácticamente todos los bloqueos y comportamientos inesperados se informan a la empresa, que clasifica la gran cantidad de datos y, a menudo, encuentra el malware antes que nadie.
El malware conocido como Conejo malo , que en 2017 fingió ser una actualización de Adobe Flash y luego borró el disco duro de la víctima, cristaliza cómo Microsoft convirtió la debilidad en fortaleza. A los 14 minutos de la introducción del ransomware, los algoritmos de aprendizaje automático analizaron los datos y rápidamente comenzaron a comprender la amenaza. Windows Defender comenzó a bloquearlo automáticamente, mucho antes de que cualquier humano supiera lo que estaba sucediendo.
Bad Rabbit fue visto predominantemente en Rusia y Ucrania en 2017. Esta es la nota de rescate que recibieron las víctimas. Fuente de la imagen: Kaspersky Labs
Eso es lo que nadie más tiene: visibilidad y datos. Los datos que nadie más tiene están relacionados con esos bloqueos de aplicaciones en el sistema operativo y la capa de software, dice Jake Williams, ex miembro de la Agencia de Seguridad Nacional. Incluso para accidentes de terceros, tienen telemetría alrededor de ellos. A medida que comienza a buscar objetivos de explotación, Microsoft tiene la capacidad a través de su telemetría. Esa telemetría ha convertido a cada máquina y producto de Windows en una fuente que alimenta datos y registros de Microsoft, al instante y en todo el mundo, sobre cualquier cosa inusual.
Microsoft ve cosas que nadie más ve, dice Williams, quien fundó la firma de seguridad cibernética Rendition Infosec. Rutinariamente encontramos cosas, por ejemplo, como indicadores de direcciones IP maliciosas en Office 365 que Microsoft marca, pero no lo vemos en ningún otro lugar durante meses.
Conecta los puntos
La inteligencia de amenazas cibernéticas es la disciplina de rastrear adversarios, seguir migas de pan y producir inteligencia que puede usar para ayudar a su equipo y hacerle la vida más difícil a la otra parte. Para lograrlo, el equipo MSTIC de cinco años incluye ex espías y operadores de inteligencia del gobierno cuya experiencia en lugares como Fort Meade, sede de la Agencia de Seguridad Nacional y el Comando Cibernético de EE. UU., se traduce inmediatamente en sus roles en Microsoft.
MSTIC nombra docenas de amenazas, pero la geopolítica es complicada: China y Estados Unidos, dos de los jugadores más importantes en el ciberespacio y las dos economías más grandes del mundo, prácticamente nunca son llamados de la forma en que países como Irán, Rusia y Corea del Norte. frecuentemente lo son.
Nuestro equipo usa los datos, conecta los puntos, cuenta la historia, rastrea al actor y sus comportamientos, dice Jeremy Dallman, director de programas estratégicos y asociaciones de MSTIC. Están a la caza de los actores (dónde se mueven, qué planean a continuación, a quién se dirigen) y se adelantan a eso.
Tanmay Ganacharya lidera la investigación avanzada de protección contra amenazas en el equipo de Microsoft Defender, que está aplicando la ciencia de datos a la gran cantidad de señales entrantes en un esfuerzo por crear nuevas capas de defensa. Debido a que tenemos productos en cualquier campo que pueda imaginar, tenemos sensores que nos brindan el tipo correcto de señales, dice. El problema era, ¿cómo tratamos realmente con todos estos datos?
Microsoft, al igual que otros gigantes tecnológicos, incluidos Google y Facebook, notifica regularmente a las personas atacadas por piratas informáticos del gobierno, lo que les da a los objetivos la oportunidad de defenderse. En el último año, MSTIC ha notificado a unos 10.000 clientes de Microsoft que están siendo atacados por piratas informáticos del gobierno.
Nuevos objetivos
A partir de agosto, MSTIC detectó lo que se conoce como una campaña de rociado de contraseñas. Los piratas informáticos realizaron alrededor de 2.700 intentos de adivinar las contraseñas de las cuentas asociadas con una campaña presidencial estadounidense, funcionarios gubernamentales, periodistas e iraníes de alto perfil que viven fuera de Irán. Cuatro cuentas fueron comprometidas en este ataque.
Los analistas de MSTIC identificaron los compromisos en parte al rastrear la infraestructura que Microsoft dice que sabe que está controlada exclusivamente por el grupo de piratería iraní Phosphorus.
Una vez que comprendamos su infraestructura (tenemos una dirección IP que sabemos que es suya y que utilizan con fines maliciosos), podemos comenzar a buscar registros de DNS, dominios creados, tráfico de la plataforma, dice Dallman. Cuando dan la vuelta y comienzan a usar esa infraestructura en este tipo de ataque, lo vemos porque ya estamos rastreando eso como un indicador conocido del comportamiento de ese actor.
Después de realizar un trabajo de reconocimiento considerable, Phosphorus intentó explotar el proceso de recuperación de la cuenta utilizando los números de teléfono reales de los objetivos. MSTIC ha detectado que Phosphorus y otros piratas informáticos patrocinados por el gobierno, incluido Fancy Bear de Rusia, utilizan repetidamente esa táctica para tratar de robar códigos de autenticación de dos factores para objetivos de alto valor.
Lo que despertó la alarma de Microsoft por encima de lo normal en esta ocasión fue que Phosphorus varió su procedimiento operativo estándar de perseguir a las ONG y las organizaciones de sanciones. La mira cambió, las tácticas cambiaron y el alcance creció.
Esto no es raro, pero la diferencia aquí fue que esto fue en una escala significativamente mayor de lo que habíamos visto antes, dice Dallman. Se dirigen a este tipo de personas con frecuencia, pero fue la escala y la enorme cantidad de trabajo de reconocimiento que habían realizado para esta campaña [lo que fue diferente]. Y luego, en última instancia, todo se redujo a las personas a las que apuntaban, incluida la persona en la campaña presidencial.
La investigación de Microsoft finalmente señaló con el dedo a los piratas informáticos iraníes por apuntar a las campañas presidenciales, incluido Reuters reportado , la operación de reelección 2020 de Donald Trump.
El campus de Microsoft en Redmond es enorme. Con más de 8 millones de pies cuadrados, es el hogar de más de 50,000 empleados. fuente: microsoft
Hemos visto los patrones.
En las dos décadas de Lambert en Microsoft, las herramientas y armas del dominio cibernético han proliferado en docenas de países más, cientos de grupos de delitos cibernéticos capaces y, cada vez más, una industria de empresas del sector privado que venden exploits internacionalmente a compradores dispuestos a pagar mucho dinero.
La proliferación significa una gama mucho más amplia de víctimas, dice Lambert. Más actores a los que seguir.
Eso está apareciendo en hacks políticos. Una consecuencia de las elecciones estadounidenses de 2016 es un aumento en la cantidad de jugadores que luchan para piratear partidos políticos, campañas y grupos de expertos, sin mencionar el propio gobierno. La piratería relacionada con las elecciones ha sido típicamente la provincia de los cuatro grandes: Rusia, China, Irán y Corea del Norte. Pero se está extendiendo a otros países, aunque los investigadores de Microsoft se negaron a especificar lo que han visto.
Lo que es diferente es que se están uniendo a la refriega países adicionales que no estaban necesariamente allí antes, dice Jason Norton, gerente principal de proyectos en MSTIC. Los dos grandes [Rusia y China], ahora, podemos decir que históricamente han estado persiguiendo esto desde mucho antes de las elecciones de 2016. Pero ahora está viendo a más países hacer eso: hurgar y empujar la parte vulnerable para conocer las piezas correctas para tener una influencia o un impacto en el futuro.
El campo se está llenando, admite Dallman. Los actores están aprendiendo unos de otros. A medida que aprenden tácticas de los nombres más destacados, le dan la vuelta y las usan.
Las próximas elecciones también son diferentes, ya que nadie se sorprende al ver esta actividad maliciosa. Antes de 2016, la actividad cibernética rusa fue recibida con una ingenuidad estupefacta colectiva, lo que contribuyó a la parálisis y una respuesta insegura. No esta vez.
La diferencia realmente se reduce a lo que sabemos que va a pasar, explica Dallman.
Entonces, era más una incógnita y no estábamos seguros de cómo se desarrollarían las tácticas. Ahora sabemos; hemos visto los patrones. Los viste en 2016, viste lo que hicieron en Alemania, los viste en las elecciones francesas, todos siguiendo el mismo modus operandi. Los exámenes parciales de 2018 también, en menor grado, pero aún vimos algunos de los mismos modus operandi, los mismos actores, el mismo momento, las mismas técnicas. Ahora sabemos, entrando en 2020, que este es el MO que estamos buscando. Y ahora hemos comenzado a ver que otros países salen y comienzan a usar otras tácticas.
La nueva normalidad es que los talleres de ciberinteligencia de la industria tienden a liderar este tipo de actividad de seguridad pública, mientras que el gobierno los sigue.
En 2016, fue CrowdStrike el primero que investigó y señaló con el dedo a la actividad rusa con el objetivo de interferir con las elecciones estadounidenses. La comunidad de inteligencia y aplicación de la ley de EE. UU. Más tarde confirmó los hallazgos de la compañía y, finalmente, después de la investigación de Robert Mueller, acusó a los piratas informáticos rusos y detalló la campaña de Moscú.
Con un tamaño total de más de $ 1 billón, Microsoft es un orden de magnitud más grande y aporta enormes recursos al desafío de la seguridad. Y el gigante tecnológico tiene otra gran ventaja: tiene ojos, oídos y software en todas partes. Ese, como diría Lambert, es su superpoder.