江湖上声名显赫亦或臭名昭著鼎级黑客团队并非算少,但有一個无声无息黑客团队,就使是 “国家队”,在它面前也但是是一個 “青铜”,
从俄罗斯奥运会网络攻击到十亿美元朝鲜恶意软件,一家开天眼科技巨头监视着世界各地黑客国家队一举一动,
据 MIT Technology Review 报道,美国国防部最近与微软签下 100 亿美元合约,将美国军方云计算系统托付给微软,重赏之下必有重托:微软能否保证美国国防部系统保障,抵御世界上如雨后春笋般涌现国家级鼎级黑客团队持续攻击?
美国战略与国际级难题研究腹地副总裁 James Lewis 称:这些系统每时每刻都在承受攻击,
微软打败云计算博弈对手亚马逊,吃下军方利润丰厚合约,而西雅图郊外树林中微软总部,一夜之间成全球最要紧情报收集设施之一,过去,这般责任重大国家保障设施从未踏出华盛顿特区半步,如今,在华盛顿州一隅,数十名工程师、情报分析师特意司职监视、阻止全球激增黑客国家队,
微软威胁情报腹地 〔MSTIC〕 团队成员专注于监控各类威胁:一组人负责代号锶 〔Strontium〕 俄罗斯黑客,另一组监视代号锌 〔Zinc〕 朝鲜黑客,还有一组跟踪代号钬 〔Holmium〕 伊朗黑客,MSTIC 跟踪黑客国家队不计其数,其中有代号就超过 70 個,
秋雨萧瑟,微软总部像任何政府设施一样恢弘,有数不清大楼、数千名员工,追踪全球最危险黑客微软团队就在这里就业,
微软 “特异功能”
John Lambert成立MSTIC,也是其管理者,
供图:Microsoft
John Lambert 从 2000 年起便在微软就业,当时一個新网络保障项目最先发进驻华盛顿特区、微软华盛顿州总部,
当时,作为PC 软件垄断巨头微软,才刚刚意识到互联网要紧性,伴随 Windows XP 席卷全球却又因极为脆弱保障性而百病缠身,微软团队见证一系列让人无地自容保障大溃败,比方说红色代码 〔Code Red〕 、尼姆达 〔Nimda〕 等自复制蠕虫,这些保障大事影响微软诸多政府及私营企业客户,令其重心业务陷入危险之中,直到 2002 年,比尔·盖茨 〔Bill Gates〕 发表他著名备忘,敦促看重 “可信计算”,微软才最后开始真正看重网络保障,
从这时开始,Lambert 迷上网络攻击技术,
攻守兼备才完美,想要防得住,就要会进攻,必需具备攻击性思维;倘若你缺乏攻击者创造力,就无法能构筑坚实防御,
看到政府持助黑客攻击数量上升,Lambert 以其攻击性思维推动微软完成网络保障策略从被动到主动大转变,意向就是从睁眼瞎——防御团队辛苦监视却仍只能任由高端黑客用无敌 “零日” 漏洞肆虐网络,到 “开天眼”——微软能看到一切,
Lambert 问道:微软超本事是什么呢?
答案就是无处不在 Windows 操作系统、各类微软应用,这给微软感知浩大互联网动态工具,也引发至今仍无法百分之百搞定现实秘密难题,但就保障来说,这是個巨大优点,
微软产品已经内置 Windows 错误报告系统,可以经由远程数据,或该公司任意硬件或软件上收集数据,来尝试理解普通漏洞、故障〔这话听上去是不是有点耳熟?〕,但 Lambert 、他保障团队才是真正将此远程系统转变为无敌保障工具人,百分之百改变这项过去缓慢而艰巨任务,此前,保障团队经常满世界跑,找到被黑机器,复制其硬盘,再启动缓慢大事分析过程,如今,这些机器自动回连微软,接近每一次崩溃、异常行为都会上报,由微软梳理海量数据,先于其他人找出恶意软件,
2017 年,一個名为 Bad Rabbit恶意软件伪装成 Adobe Flash 更新,擦除受害者硬盘,对此恶意软件搞定过程清晰展示微软是如何将过去弱点转变为优点,该勒索软件现身 14 分钟之内,机器学习算法便梳理数据,很快开始解析该威胁,Windows Defender 自动锁定威胁,在任何人意识到难题发生之前,
2017 年,Bad Rabbit 高发于俄罗斯、乌克兰,
图为受害者收到勒索信〔图源:卡巴斯基实验室〕
美国国家保障局 〔NSA〕 前雇员 Jake Williams 称:
可视性、数据就是微软强项,这是他人都没有东西,这些他人没有数据来自操作系统、应用层程序崩溃,就便是第三方程序崩溃,微软也会远程获取相关数据,当你开始着手利用意向漏洞时候,微软早已成竹在胸,以静制动,
这种远程数据采集机制让每台 Windows 机器、每個微软产品都转变数据、日志反馈源,全球分布,就时反馈,不放过任何异常,
成立网络保障公司 Rendition Infosec Williams 说道:
微软能看到其他人都看不到东西,比方说,咱们常能发现些东西,像是微软标记 Office 365 恶意 IP 地标;但咱们在其他地方好几個月都看不到,
聚沙成塔
网络威胁情报是跟踪对手、追寻线索一门学科,获取能够协助己方保障团队,给对手制造麻烦情报,为达成意向,成立五年 MSTIC 团队招募曾在米德堡等地就业过前间谍、政府情报人员,将其在美国国家保障局、美国网络司令部就业经验直接转化进他们在微软就业角色中,
MSTIC 点名过数十個威胁,但地缘政治错综复杂:中国、美国,网络空间两大玩家、全球最大两個经济体,接近从未像伊朗、俄罗斯、朝鲜那样被频繁点名,
MSTIC 战略项目与协作伙伴关系总监 Jeremy Dallman 表达:
咱们团队运用数据、连点成线、总揽全局,跟踪黑客及其行为,团队追捕黑客,摸清他们意向、计划,抢在他们前头,
Tanmay Ganacharya 主持 Microsoft Defender 团队高级威胁防护研究,对海量入站信号应用数据科学,精心构筑新防御层,
因咱们在接近任何领域都有产品,咱们传感器能为咱们带来正确信号,难题是,咱们如何搞定所有这些数据?
与谷歌、 Facebook 等其他科技巨头一样,微软也常通告被黑客国家队盯上人,给这些意向防御自身机遇,去年,MSTIC 通知约 1 万名微软客户,
找到风暴背后蝴蝶
8 月开始,MSTIC 发现所谓密码喷射攻击,黑客针对与美国总统大选、政府官员、记者、不在伊朗境内居住伊朗著名人士相关账户实行 2,700 次有根据密码猜测,有四個账户在这次攻击中被破解,
MSTIC 分析师能够发现该攻击,一部分归功于追踪微软认定属于伊朗黑客组织 Phosphorus 控制基石设施,
一旦咱们解他们基石设施——咱们锁定他们用于恶意攻击一個 IP 地址,而后咱们调查与这個 IP 地址有关 DNS 记录、创建域、平台流量,当他们开始在攻击中运用该基石设施时,由于咱们已经将该设施与特定黑客团队关联标记,咱们立刻就能发现攻击者,
前期大量侦察就业之后,Phosphorus 尝试经由意向真实电话号码、账户恢复流程实施攻击,MSTIC 发现,Phosphorus 、涵盖俄罗斯奇幻熊 〔Fancy Bear〕 在内其他黑客国家队,反复运用此战术尝试钓取高价值意向双因子身份验证 〔2FA〕 验证码,
微软对 Phosphorus 多次攻击发出警报,展示高人一等实力, 因就使 Phosphorus 在针对非政府组织 〔NGO〕 、制裁机构过程中多次改变其准则操作流程,却依然没能逃出微软掌心,
这并非世所罕见,但其不同样之处于于,Phosphorus 攻击范围比以往大得多,他们经常针对特定人群,但这次规模、巨大侦察就业量非比寻常,他们锁定個人意向中包含参与总统大选人,
据路透社报道,微软侦查最后指向伊朗黑客,称他们攻击任务涵盖特朗普 2020 连任竞选在内总统选举活动,
微软在雷蒙德园区很大,超过 800 万平方英尺,容纳 5 万名员工〔图源:Microsoft〕
2020,八仙过海
Lambert 在微软 20 年间,网络空间工具、武器扩散向数十個国家、涌现几百個实力强劲网络犯罪团伙,并催生私营公司面向全球竞价出售漏洞利用程序暴利行业,
Lambert 表达,武器扩散意味着受害者范围扩大,须要追踪更多黑客,
这一点在政治黑客大事中得到体现,2016 美国总统大选结果之一,就是攻击政党、竞选、智库黑客组织数量增长,更别提攻击政府自身,大选相关黑客行动往往是 “三巨头” 领域——俄罗斯、伊朗、朝鲜,虽说微软并未透露具体国名,但此类黑客活动确实蔓延到其他国家,
MSTIC 最先席项目经理 Jason Norton 则表达,当前不太一样就是此前没参与国家也下场开战,比方说俄罗斯应该早在 2016 大选之前便在从事此类黑客活动,但现在有更多国家在干这事儿——刺探软肋以获取正确情报,图谋在后世施加影响,
Dallman 对此表达同意,
这個领域越来越热闹,黑客团伙都相互借鉴,从老牌黑客组织学到战术,转手就用上,
就将到来 2020 大选不同样,大家对此类攻击已是见怪不怪,2016 年时,俄罗斯网络黑客们面对是一帮傻白甜,这次不会,
Dallman 解释称:重点就在于自己晓得会发生什么,
那個时候更多是未知,咱们不确定战术会如何发展,现在咱们晓得;咱们已经见识过那些模式,2016 年就见识过他们身手,他们在德国、法国大选所作所为也看到过——全都是一個模式,2018 中期选举也类似,但是规模小些,但咱们依然看到相同模式,同一批黑客,同一個时机,同一套技术,现在咱们晓得,踏入 2020 年,咱们要找就是这些模式,但是这次,咱们发现其他一些国家一开始进场,就各自身怀绝技,
新常态就是,威胁情报厂商在此类公共保障活动中领路,政府跟进,
2016 年,CrowdStrike 先说调查并指出是俄罗斯要干扰美国大选,美国司法与情报界随后证实该公司发现,并最后在穆勒调查之后起诉俄罗斯黑客,祥明描述俄罗斯黑客活动,
相比 CrowdStrike 这样网络保障厂商,万亿美元身家微软明显要大一個数量级,堪称网络保障瓷器店里猛犸级玩家,况且,该科技巨头还有另一個巨大优点:遍布世界各地软件都是它眼睛、耳朵,用 Lambert 话说,这就是微软超本事。