Anatomia usuwania cyberzagrożeń –lekcje od czołowego specjalisty ds. cyberbezpieczeństwa

W ciągu ostatnich trzydziestu lat dynamika krajobrazu cyberbezpieczeństwa znacząco ewoluowała. Obecnie widzimy, jak grupy hakerów i syndykaty oprogramowania ransomware tworzą strategiczne sojusze między sobą, a nawet z państwami i innymi oficjalnymi podmiotami. Współpraca ta umożliwia im wymianę informacji oraz zasobów w celu skuteczniejszego atakowania szerokiego spektrum podmiotów, w tym firm, przedsiębiorstw użyteczności publicznej, agencji rządowych, organizacji opieki zdrowotnej i okręgów szkolnych. W ramach wspólnych wysiłków mających na celu przeciwdziałanie tym rosnącym zagrożeniom dostawcy rozwiązań cyberbezpieczeństwa w coraz większym stopniu współpracują z organami ścigania. Obejmuje to godne uwagi partnerstwa z Europolem w Europie, a także FBI i Agencją Bezpieczeństwa Narodowego (NSA) w USA. Sojusze te mają kluczowe znaczenie w identyfikowaniu szkodliwych podmiotów, likwidowaniu ich rosnących sieci zagrożeń i osłabianiu ich zdolności do inicjowania ataków.

Wywiad o tematyce usuwania cyberzagrożeń

Podczas niedawno odbytego wywiadu rzecznika prasowego Bitdefender z Catalinem Cosoi, głównym specjalistą ds. strategii bezpieczeństwa w Bitdefender zostały poruszone tematy związane z obecnymi przyszłymi zagadnieniami związanymi z cyberbezpieczeństwem. Rozmowa skupiała się także na wyspecjalizowanym zespole dochodzeniowym i kryminalistycznym firmy Bitdefender. Kolektyw ten odgrywa kluczową rolę we wspieraniu organów ścigania na całym świecie. Ich misja koncentruje się na śledzeniu, konfrontowaniu i eliminowaniu działań różnych złośliwych cyberprzestępców, co znacząco przyczynia się do szerszej walki z cyberprzestępczością. Dlatego poniżej przedstawimy przebieg tej rozmowy.

Bitdefender (BD): Jesteśmy pewni, że wymaga to wielu kluczowych kroków, ale jakie są najważniejsze w procesie identyfikowania i śledzenia głównej grupy zagrożeń cybernetycznych?

Catalin Cosoi (CC): Wybór odpowiednich kroków jest naprawdę ważny, więc to tak naprawdę kluczowy moment. Musimy zdecydować, którymi grupami warto się zająć i gdzie możemy wywrzeć największy wpływ — czy będzie to całkowita eliminacja, czy tylko tymczasowe zakłócenie możliwości przeprowadzania cyberataków przez hakerów. Następnie musimy zmapować infrastrukturę zagrożeń grupy, próbując ustalić, kto stoi za tymi atakami. Później spotykamy się z innymi dostawcami i organami ścigania, aby podjąć pewne decyzje. Następnie rozważamy, czy mamy wystarczająco dużo przydatnych informacji, aby wykonać ruch? Jakie są konsekwencje? Kolejnym krokiem jest opracowanie skoordynowanego planu zakończenia lub zakłócenia ich działalności. Wszyscy muszą działać razem, jako jedna całość, aby grupy przestały działać i nie odrodziły się ponownie, gdy wszystko ucichnie. Musimy mieć pewność, że wyłączymy serwery w czasie, gdy organy ścigania dokonują aresztowań. Celem jest zniszczenie zaufania pomiędzy różnymi członkami cyberprzestępczego światka. Jeśli ktoś obawia się, że ktoś będzie „krzyczeć”, jest mniej prawdopodobne, że ponownie będzie z kimś takim współpracował.

BD: A co z niektórymi większymi wyzwaniami, przed którymi stoisz, szczególnie związanymi z planowaniem i przeprowadzaniem operacji usunięcia podmiotu zagrażającego?

CC: Grupy cyberprzestępcze stały się dość wyrafinowane, jeśli chodzi o bezpieczeństwo operacyjne. Często wiedzą, czy są celem i potrafią ocenić ryzyko, czy kontynuować atak, czy też na chwilę się przyczaić. Jeśli zrobi się dla nich za gorąco, mogą zmienić infrastrukturę, na przykład wyłączyć niektóre serwery i przenieść zasoby do innej jurysdykcji. Mogą nawet zastawiać pułapki na nas i organy ścigania, aby je ostrzec.

BD: Co według Ciebie decyduje o powodzeniu operacji?

CC: Chodzi o zebranie niepodważalnych dowodów. Jeśli popełnimy błąd, ktoś pozostanie bezkarny. Musimy mieć pewność, że wszystko odbywa się zgodnie z literą prawa. Dysponujemy zestawem instrukcji krok po kroku, których przestrzegamy, aby mieć pewność, że działamy tak czysto i bezpiecznie, jak to tylko możliwe. Nierzadko zdarza się, że w jednej sprawie uczestniczy aż 40 funkcjonariuszy policji, kilkunastu prokuratorów oraz grupa dostawców, usługodawców i konsultantów zajmujących się cyberbezpieczeństwem. Każdy musi zachować szczególną tajemnicę. Żadnych rozmów ze współpracownikami i dziennikarzami. Pojedynczy wyciek może zagrozić całemu śledztwu.

BD: Jak więc wygląda współpraca z organami ścigania lub organami rządowymi, jeśli chodzi o usuwanie zagrożeń cybernetycznych?

CC: Sukces w 99% opiera się na zaufaniu. Jeśli między stronami nie ma zaufania, nie zostaną udostępnione wystarczające informacje, aby wyeliminować zagrożenie.

BD: Czy istnieje różnica pomiędzy współpracą z Departamentem Sprawiedliwości w Stanach Zjednoczonych i Europolem w Europie?

CC: Tak, absolutnie. Motywacje i procesy są takie same, ale role są zupełnie inne. Celem Europolu jest wymiana informacji i współpraca między krajami członkowskimi. Sama organizacja nie ma uprawnień do aresztowania kogokolwiek. Może poprosić lokalne organy ścigania o dokonanie aresztowania, ale tak naprawdę chodzi o nawiązywanie kontaktów i wymianę informacji. W USA jest trochę inaczej. Współpracujemy bezpośrednio z wieloma organami ścigania posiadającymi uprawnienia do dokonywania aresztowań, ale koordynacja może być bardziej chaotyczna. Podczas dochodzenia czasami musimy „wyłożyć kawę na ławę”. Na szczęście sytuacja się poprawia i obserwujemy znacznie większą współpracę między agencjami w USA, a nawet między agencjami amerykańskimi a Europolem.

BD: Czy możesz omówić wszelkie względy etyczne, które wpływają na decyzję o zakłóceniu lub wyeliminowaniu grupy cyberprzestępczej? Jak zrównoważyć ryzyko i korzyści?

CC: Musimy zdecydować, czy cała ciężka praca oraz czas, jaki wkładamy w tę współpracę, rzeczywiście doprowadzą do aresztowań i zakłóceń w infrastrukturze zagrożeń. Być może dysponujemy bardzo dobrymi informacjami wywiadowczymi na temat grupy, która wyrządza wiele szkód osobom i organizacjom na całym świecie, ale aktualnie nie możemy się tym zająć, ponieważ mają one bardzo dobre bezpieczeństwo operacyjne lub mają siedziby w krajach, w których organy ścigania nie są zainteresowane ściganiem takich przestępców. Jednak nadal zamierzamy zbadać te grupy cyberprzestępcze, ponieważ jest to moralne i słuszne, a być może zebrane przez nas informacje będą przydatne w kolejnym dochodzeniu – nawet po latach. Być może hakerzy wyjadą na wakacje do kraju współpracującego z nami i będą mogli zostać ujęci.

BD: Jakie środki podejmuje się po udanym usunięciu grupy cyberprzestępczej, aby zagrożenie nie pojawiło się ponownie pod inną nazwą?

CC: Jeśli wykonamy swoją pracę, główni przestępcy ugrupowania hakerzy trafią do więzienia, a ich infrastruktura zostanie zdemontowana. Niestety grupy są tak zdecentralizowane i rozproszone, że prawie niemożliwe jest zakończenie całej operacji za jednym zamachem. Partnerzy ransomware mogą się rozproszyć i nawiązać nowe połączenia. Administratorzy mogą pojawić się ponownie pod innym przywództwem i inną nazwą. Ciemne rynki można dość szybko uruchomić na innym serwerze w innym kraju. Może to być frustrujące, ale tak naprawdę nakłada na nasz zespół obowiązek dopilnowania, aby dochodzenie doprowadziło do aresztowań. A to często sprowadza się do wyczucia czasu. Czy działamy teraz i ryzykujemy, że ludzie pojawią się gdzie indziej, czy też poczekamy i zbierzemy więcej dowodów, aby mieć pewność, że ludzi zamkniemy?

BD: Jak bardzo, Twoim zdaniem, zmienił się krajobraz podmiotów zagrażających na przestrzeni lat? Czy są jakieś trendy, o których powinniśmy pamiętać?

CC: Największą zmianą, jaką zaobserwowałem w ciągu ostatnich kilku lat, był sposób, w jaki ugrupowania cyberprzestępcze dokonują początkowego włamania do organizacji. Są takie, które skupiają się wyłącznie na próbie uzyskania dostępu do organizacji. Kiedy już to zrobią, sprzedają dostęp oferentowi, który zaoferuje najwyższą cenę, gdy nadejdzie odpowiedni czas. Nie ma znaczenia, jaka jest motywacja — okup, eksfiltracja danych, zawstydzenie czy cokolwiek innego — wszystko zaczyna się od początkowego wtargnięcia. Jeśli organizacjom uda się to powstrzymać, mogą znacząco zmienić swój stan bezpieczeństwa.

BD: Patrząc w przyszłość, jak myślisz, jakie postępy w technologii lub strategii zmienią reguły gry w walce z tymi atakami?

CC: Sztuczna inteligencja (AI) i uczenie maszynowe (ML) zmieniają zasady gry. Nie mówię o naszej stronie. Od dawna używamy sztucznej inteligencji/ML do identyfikowania i powstrzymywania cyberzagrożeń. To zdolność osoby atakującej do wykorzystania generatywnych narzędzi sztucznej inteligencji do opracowania lepszych zagrożeń lub bardziej wiarygodnych wiadomości e-mail typu phishing, a następnie skalowania ich do niewiarygodnego poziomu. Eliminuje to rozbieżność między zaawansowanym ugrupowaniem zagrażającym a mniej doświadczonym ugrupowaniem zagrażającym. Kompletny nowicjusz może wykorzystać te narzędzia do bardzo szybkiego przeprowadzenia bardzo wyrafinowanych ataków. Kiedyś w wiadomościach phishingowych łatwo było wykryć niechlujny kod lub błędy ortograficzne. Zagrożenia obecnie stale ewoluują, przez co coraz trudniej jest nam za nimi nadążać.