Bu dikkat çekici röportajda, 19 yılı aşkın tecrübeye sahip deneyimli bir tehdit analizi uzmanı olan Sherrod DeGrippo, siber casusluk alanını derinlemesine inceliyor. Kendilerini Çin kaynaklı siber tehditlerin karmaşık ağını çözmeye adamış iki dişli uzman olan Judy Ng ve Sarah Jones'un da katılımıyla, modern tehdit ortamındaki gizli faaliyetlere odaklanıyorlar. Birlikte, her parçası birbirine bağlı dünyamızı koruyanların karşılaştığı zorlukları tartışıyorlar. Çin'in siber savaş alanının gizli dünyasında gezinirken bu dijital dedektiflerin anlatılmamış hikayelerine ve olağanüstü uzmanlıklarına kendinizi kaptırmaya hazır olun.
Microsoft Dijital Savunma Raporu 2024 içgörülerini tanıtan isteğe bağlı web seminerini izlemek için şimdi kaydolun .
Ön saflarda: Çinli tehdit aktörlerinin taktik ve tekniklerini deşifre etmek
Sarah Jones
Kıdemli bir tehdit analisti olarak Çin'den gelen ve Çin hükumeti adına çalışan GST (gelişmiş sürekli tehdit) gruplarını araştırıyorum. Zaman içinde kötü amaçlı yazılımlarda kaydettikleri gelişmeleri takip ediyor ve altyapı oluşturma ve kurban ağlarını tehlikeye atma yöntemleri üzerinde çalışıyorum. Microsoft Tehdit Analizi’ne katılmadan önce temel olarak Çin’e odaklanmış olsa da İran ve Rusya’daki gruplar üzerinde de çalışmıştım.
Kariyerimin çoğunda, özellikle de ilk yıllarında Güvenlik İşlemleri Merkezlerinde çalıştım ve kamu ağları ve kurumsal ağların iç güvenliğine odaklandım.
Çin tehdit aktörü grupları üzerinde çalışmanın güzel yanlarından biri de onları çok uzun süreler boyunca izleyebiliyor olmamız. 10 yıl öncesinden hatırladığım grupları araştırabiliyor olmak ve zaman içinde geçirdikleri evrimi izlemek çok ilgi çekici.
Judy Ng
Sarah gibi ben de tehdit analizinin yanı sıra jeopolitik analizlerden faydalanan kıdemli bir tehdit analistiyim. Kariyerimin son 15 yılında, Çin’de yerleşik olan aktörleri; Birleşik Devletler hükumetini destekleyen roller, startup pozisyonları, Amerika’daki çeşitli kurumsal şirketler ve tabii ki 2020 yılından bu yana parçası olduğum Microsoft da dahil olmak üzere pek çok farklı açıdan izledim.
Özellikle Çin’e odaklandım çünkü bu uzun zamandır ilgi duyduğum bir ülkeydi. Kariyerimin başlangıcında bu ilgi, Çin dili veya kültüründeki nüanslardan bazılarını anlayamamış olabilecek iş arkadaşlarımın fark edemediği bağlamları benim sunmama yardımcı oldu.
Sanırım ilk sorularımdan biri şuydu: “Judy, ‘et tavuk’ nedir? Çincede ‘et tavuk’ ne demek?”
Cevap “botnet” idi. “Et tavuk,” tehdit aktörlerinin çevrimiçi forumlarda zombi botnetler için kullandığı Çince bir argoydu
Judy Ng
Bu işte her gününüz aynı şeyi yapmakla geçmiyor. Çok heyecanlı. Microsoft’un aldığı tüm güçlü sinyalleri kullanabilir ve o verilerin sizi yönlendirmesine izin verebilirsiniz.
Buradaki veri kümesinden sıkılmanıza imkan yok. Asla “Avlayacak hiçbir şey yok,” diyemezsiniz. İlginizi çekecek bir şeyler hep olur. Çin ekibindeki birçok arkadaşımızın oldukça meraklı olmasının katkısı da yadsınamaz.
İster kendi başınıza avlanalım ister bir konuyu grup olarak inceleyelim, hepimizin meraklı olması ve farklı yollardan ilerleyebilmek harika bir şey.
Sarah Jones
Ben de Judy’ye katılıyorum. Her gün karşımıza yeni ve farklı sorunlar çıkıyor. Her gün, bir aktörün kötü amaçla yararlanmaya çalıştığı yeni bir teknoloji veya yazılım öğreniyorum. Sonra, bu daha önce hiç duymadığım bir teknoloji veya yazılım programıysa geri dönüp belgelerini okumam gerekiyor. Bazen bir protokolün RFC’sini (yorum talebi) okumam gerekebiliyor çünkü tehdit aktörleri bazı yönlerini manipüle edebilir veya kötüye kullanabilir ve öyle bir durumda orijinal belgeye dönüp onu okumanız gerekir.
Bunlar bana gerçekten çok ilginç geliyor ve her gün bunlarla çalışma şansına sahibim. Her gün, internetin daha önce hiç duymadığım bir yönünü öğreniyor ve onlar kötüye kullanma fırsatı bulamadan o konuda uzmanlaşabilmek için tehdit aktörleriyle yarışıyorum.
Sarah Jones
COVID’le birlikte pek çok değişikliğe şahit olduk. Müşterilerimizin dünyası değişti. Bir gecede herkes evine gidip çalışmalarını oradan yürütmek zorunda kaldı. Birçok şirketin, ağlarını tamamen yeniden yapılandırmak zorunda kaldığını; çalışanlarınsa çalışma şeklini değiştirdiğini gördük. Elbette tehdit aktörlerinin bunlara yanıt verdiğini de.
Örneğin evden çalışma politikaları ilk defa uygulanmaya başlandığında birçok kurum, normalde kurumsal ofisler dışına çıkmayan oldukça hassas sistem ve kaynaklardan bazılarına, çok sayıda farklı konumdan erişim sunmak zorunda kaldı. Daha sonra tehdit aktörlerinin, uzaktan çalışan kişiler gibi davranıp kalabalığa karışarak bu kaynaklara erişmeye çalıştıklarını gördük.
COVID ilk ortaya çıktığında kurumsal ortamlar için hızlıca bir erişim politikası oluşturulması gerektiğinden bazı durumlarda bu, en iyi deneyimleri araştırma veya gözden geçirme fırsatı olmadan yapıldı. Çok sayıda kurum da bu politikaları uygulamaya koyduktan sonra tekrar gözden geçirmediği için bugün tehdit aktörlerinin, yanlış yapılandırmaları ve güvenlik açıklarını tespit edip bunlardan istifade etmeye çalıştığını görüyoruz.
Masaüstü cihazlara kötü amaçlı yazılım yerleştirmenin artık bir kıymeti yok. Bugünlerde mesele, uzaktan çalışanların yaptığı şekilde hassas sistemlere erişim sunan parola ve belirteçleri ele geçirmek.
Judy Ng
Tehdit aktörleri evden çalışmaya geçebildi mi, bilmiyorum ama elimizde, COVID sırasında yaşanan kapanmaların, yaşadıkları şehirlerdeki faaliyetlerini etkilediğine işaret eden veriler var. İşlerini nereden yürütüyor olurlarsa olsunlar, herkes gibi onların da hayatı bundan etkilendi.
Bazen, bilgisayarlarında hiç etkinlik olmamasından, şehir kapsamında yapılan kapanmaların etkisini görebiliyorduk. Tüm o bölgesel kapanmaların etkisini, verilerimizde görebilmek çok ilginçti.
Judy Ng
Buna harika bir örneğim var. İzlediğimiz tehdit aktörlerinden biri, Nylon Typhoon. Microsoft, 2021 yılının Aralık ayında bu gruba karşı harekete geçerek Avrupa, Latin Amerika ve Orta Amerika’yı hedef almakta kullanılan altyapılarına zarar verdi.
Yaptığımız değerlendirmelere göre bazı kurban etkinlikleri, Çin hükumetinin dünya çapında yürüttüğü altyapı projelerine içgörü sağlamak üzere Çin’in Kuşak ve Yol Girişimi’ne (BRI) katılan ortakları hakkında yapılan istihbarat toplama operasyonlarını içermiş olabilir. Çin devletince desteklenen tehdit aktörlerinin, hem geleneksel hem de ekonomik casusluk yaptığını biliyoruz ve değerlendirmemiz, bu etkinlikte ikisinin de kullanıldığı yönünde.
Elimizde kanıt olmadığından %100 emin olamıyoruz tabii. Bu işin içinde geçirdiğim 15 yılın ardından, öyle bir delil bulmanın çok zor olduğunu söyleyebilirim. Ancak bilgileri analiz edip bir bağlama oturtabilir ve “Şu olasılık düzeyinde, şu sebeple bunu olası görüyoruz,” diyebiliriz.
Sarah Jones
En büyük trendlerden biri, odağı kullanıcı uç noktalarından ve özel kötü amaçlı yazılımlardan, gerçekten uçta yaşayan aktörlere kaydırmak ve kaynakları uç cihazların istismarına yoğunlaştırıp kalıcılığı sürdürmek. Bu cihazlar çok ilginç çünkü biri, bunlara erişim sağladığı takdirde orada çok uzun bir süre kalabiliyor.
Bazı gruplar, bu cihazları derinlemesine inceledi. Üretici yazılımlarının nasıl çalıştığını biliyorlar. Her cihazın sahip olduğu güvenlik açıklarını ve birçok cihazın antivirüs ya da granüler günlük yapısını desteklemediğini de biliyorlar.
Elbette aktörler, krallığın anahtarının artık VPN gibi cihazlar olduğunun farkında. Kurumlar; güvenlik belirteci, çok faktörlü kimlik doğrulaması (MFA) ve erişim politikaları gibi güvenlik katmanları ekledikçe aktörler de bu savunmaları atlatmanın veya aşmanın yollarını buluyor.
Bence birçok aktör, VPN gibi cihazlarla uzun vadede kalıcı olmayı başarabilirlerse herhangi bir yere kötü amaçlı yazılım dağıtmaları gerekmediğini fark etti. Kendilerine, herhangi bir kullanıcı gibi oturum açma imkanı sağlayan bir erişim izni verebilirler.
Aslında bu uç cihazları ele geçirdiklerinde, kendilerine ağda bir tür “tanrı modu” açmış oluyorlar.
Ayrıca aktörlerin Shodan, Fofa ya da interneti tarayan, cihazları kataloglayan ve farklı yama seviyelerini tespit eden herhangi başka bir veritabanını kullanma yönünde bir eğilimlerinin de olduğunu görüyoruz.
Buna ek olarak istismar edebilecekleri bir şeyler bulmak için internetin büyük bir kısmını, bazen de mevcut hedef listelerini, bizzat taradıklarını da görebiliyoruz. Ve bir şey bulduklarında cihazdan gerçekten kötü amaçla yararlanabilmek için bir tarama daha yapıyor, sonra ağa erişmek için tekrar geri geliyorlar.
Sarah Jones
Her ikisi de. Aktörlere bağlı olarak değişiyor. Bazı aktörler sadece bir ülkeden sorumlu. Hedef kümeleri orası olduğundan sadece o ülkedeki cihazlarla ilgileniyorlar. Ama bazı aktörlerin işlevsel hedef kümeleri var. Bu yüzden de finans, enerji ya da üretim gibi belirli sektörlere odaklanıyorlar. Bu aktörlerin, ilgilendikleri şirketleri içeren, yıllar içinde oluşturulmuş listeleri olur ve hedeflerinin tam olarak hangi cihaz ve yazılımları kullandıklarını bilirler. Dolayısıyla bazı aktörlerin, hedeflerinin belirli bir güvenlik açığına karşı yama yapıp yapmadıklarını görmek için önceden tanımladıkları hedef listelerini taradığını da görebiliyoruz.
Judy Ng
Aktörler çok hedefli, düzenli ve hassas olabilir ama bazen de sadece şansları yaver gider. Onların da insan olduğunu unutmamalıyız. Ticari bir ürünle tarama yaptıklarında veya veri çektiklerinde bazen şansları yaver gider ve doğru bilgilere en başta ulaşarak operasyonlarını başlatabilirler.
Sarah Jones
Kesinlikle. Ama iyi bir savunma için yama yapmak yetmez. En etkili çözüm, kulağa basit gelse de uygulaması zor olan bir şeydir. Kurumların, internete açık olan cihazlarını tespit edebilmesi ve bunların envanterini çıkarması gerekir. Ağ çevrelerinin neye benzediğini bilmeleri gerekir ve biliyoruz ki hem bulut hem de şirket içi cihazların bulunduğu hibrit ortamlarda bunu yapmak daha da zor.
Cihaz yönetimi kolay bir iş değil, öyleymiş gibi göstermek de istemiyorum ama yapabileceğiniz ilk şey ağınızdaki cihazları ve her birinin yama seviyesini bilmek.
Elinizde ne olduğunu bilirseniz bu cihazların günlüğe kaydetme ve telemetri kapasitesini artırabilirsiniz. Günlüklerde ayrıntılara dikkat edin. Bu cihazları savunmak oldukça zordur. Dolayısıyla bu cihazları savunmak için yapılabilecek en iyi şey, günlüğe kaydetmek ve anormallikleri tespit etmeye çalışmaktır
Judy Ng
Keşke bana Çin hükumetinin planlarını gösterecek bir kristal kürem olsaydı. Ne yazık ki yok. Ama görebildiğimiz kadarıyla bilgiye erişmek istiyorlar.
Her ülke bunu ister.
Biz de bilgilerimizi seviyoruz. Verilerimizi seviyoruz.
Sarah Jones
Kuşak ve Yol Girişimi (BRI) uzmanımız ve jeopolitik uzmanımız Judy. Eğilimleri incelerken, özellikle de hedefleme söz konusuysa onun içgörülerine güveniyoruz. Bazen yeni bir hedefin ortaya çıktığını görüyoruz ve o anda bu pek mantıklı gelmiyor. Daha önce yaptıklarıyla uyumlu görünmüyor. Bu yüzden Judy’ye soruyoruz, o da “Bu ülkede önemli bir ekonomi toplantısı yapılıyor ya da şu konumda yeni bir fabrika inşaatıyla ilgili görüşmeler var.” diyor.
Judy bize, tehdit aktörlerinin neyi neden yaptığı konusunda değerli, temel bağlamlar sunuyor. Hepimiz Bing Çeviri’yi kullanmayı ya da haberleri takip etmeyi biliyoruz ama bazen bazı şeyler anlamsız geldiğinde Judy “O çeviri aslında şu anlama geliyor.” diyor ve o fark, her şeyi açıklayabiliyor.
Çinli tehdit aktörlerini izlemek için hükumet yapıları ve şirket ve kurumlarının nasıl çalıştığı gibi kültürel bilgilere sahip olmak gerekiyor. Judy’nin yaptığı çalışmalar da bu kurumların yapısını çözmemize ve nasıl işlediklerini, nasıl para kazandıklarını ve hükumetle nasıl iletişim kurduklarını anlamamıza yardımcı oluyor.
Judy Ng
Sarah’nın da dediği gibi tüm mesele iletişim. Daima Teams Sohbet’teyiz. Telemetriden elde ettiğimiz ve olası bir sonuca ulaşmamıza yardımcı olan içgörüleri her zaman paylaşıyoruz.
Judy Ng
Sırrım mı ne? İnternette takılmaya ve okumaya çok fazla vakit ayırmak. Gerçekten, bence en önemli şeylerden biri farklı arama motorlarını nasıl kullanacağını bilmek.
Bing’i rahatça kullanabiliyorum. Aynı şekilde Baidu ve Yandex’i de.
Çünkü farklı arama motorları, farklı sonuçlar gösteriyor. Özel bir şey yaptığım yok. Sadece oralardaki verileri de araştırabilmek için farklı kaynaklardan farklı sonuçlara bakmam gerektiğini biliyorum.
Ekipteki herkes çok bilgili. Herkesin süper güçleri var. Tek yapmanız gereken neyi kime soracağınızı bilmek. Ve herkesin birbirine rahatça soru sorabildiği bir ekipte çalışıyor olmamız da harika, değil mi? Hep söyleriz, aptalca soru diye bir şey yoktur.
Sarah Jones
Burası aptalca sorularla ayakta kalıyor.
Sarah Jones
Şimdi BT güvenliğine başlamak için harika bir zaman. Ben başladığımda çok fazla ders, kaynak ya da araştırma yapabileceğiniz bir yol yoktu. Şimdi lisans ve yüksek lisans programları var! Artık bu mesleğe başlamanın pek çok yolu var. Evet, bazıları çok pahalı ama bunun uygun fiyatlı ya da ücretsiz yolları da var.
Microsoft Tehdit Analizi’nden iş arkadaşlarımız olan Simeon Kakpovi ve Greg Schloemer de böyle ücretsiz bir güvenlik eğitim kaynağı oluşturdu. KC7 adını verdikleri bu araç; BT güvenliğine girmeyi, ağ ve ana bilgisayar olaylarını anlamayı ve aktörleri avlamayı herkes için erişilebilir hale getiriyor.
Artık her türlü farklı başlığa da kolayca erişebiliyorsunuz. Benim başladığım dönemde bu tür araçlara erişebilmek için milyon dolarlık bütçesi olan şirketlerde çalışmanız gerekiyordu. Bu da birçok insanın sektöre girmesine engeldi. Ama şimdi herkes kötü amaçlı yazılım örneklerini analiz edebilir. Eskiden kötü amaçlı yazılım örneği ve paket yakalama bulmak zordu. Ama artık bu bariyerler kalkıyor. Artık kendi başınıza, kendi hızınızda öğrenebileceğiniz çok sayıda ücretsiz ve çevrimiçi araç ve kaynak mevcut.
Benim tavsiyem, en çok ilginizi çeken alanın hangisi olduğunu bulmanız. Kötü amaçlı yazılım araştırması mı yapmak istiyorsunuz? Dijital adli bilişim mi? Tehdit analizi mi? En sevdiğiniz başlıklara odaklanın ve kamuya açık kaynaklardan yararlanarak bunlar hakkında ne öğrenebiliyorsanız öğrenin.
Judy Ng
En önemli şey meraklı olmak, değil mi? Buna ek olarak bir de diğerleriyle iyi çalışmanız gerekiyor. Unutmayın, bu bir ekip işi. Kimse tek başına siber güvenlik sağlayamaz.
Bir ekiple çalışabiliyor olmanız çok önemli. Meraklı ve öğrenmeye açık olmanız çok önemli. Soru sormaktan çekinmemeli ve ekip arkadaşlarınızla çalışmanın yollarını bulabiliyor olmalısınız.
Sarah Jones
Bu kesinlikle çok doğru. Microsoft Tehdit Analizi’nin, Microsoft’ta birçok başka ekiple çalıştığının altını çizmek istiyorum. Aktörlerin ne yaptığını, neden yaptığını anlamak için iş arkadaşlarımızın uzmanlığından çok destek alıyoruz. Onlar olmadan işimizi yapamazdık.
Microsoft Güvenlik'i takip edin