Connect with us

Франсис Гиберно, старший инженер-исследователь противников в AttackIQ – Серия интервью

Интервью

Франсис Гиберно, старший инженер-исследователь противников в AttackIQ – Серия интервью

mm
Published
Updated

Франсис Гиберно является старшим инженером-исследователем противников и членом команды исследований противников (ART) в AttackIQ. Франсис проводит углубленные исследования угроз и анализ для разработки и создания высокосложных и реалистичных имитаций противников. Он также координирует проект Кибербезопасной угрозой разведки (CTI), который фокусируется на исследовании, анализе, отслеживании и документировании противников, семей вредоносного ПО и инцидентов кибербезопасности. Франсис имеет обширный опыт в области разведки противников, охватывающий как угрозы государственных структур, так и электронных преступлений, а также в оценке и управлении уязвимостями, ранее работая в Deloitte и BNP Paribas.

AttackIQ – это компания по кибербезопасности, которая позволяет организациям выйти за рамки простых предположений о своей защите и перейти к непрерывной, основанной на данных проверке. Используя имитацию тактики противников с помощью модели MITRE ATT&CK и предлагая автоматизированное, безопасное для производства тестирование в облаке, гибридной и локальной среде, компания помогает выявить пробелы в безопасности, контролях, процессах и людях – что позволяет лидерам уделять приоритетное внимание устранению, оправданию инвестиций и переходу от реактивного реагирования на киберугрозы к проактивной устойчивости.

Как вы стали частью области кибербезопасности, и почему вы выбрали специализацию в области Кибербезопасной угрозой разведки? Как CTI сформировала ваше понимание того, как угрозы эволюционируют в обоих государственных и преступных экосистемах?

Мой путь в кибербезопасность не был запланирован; он произошел благодаря возможности, а не по дизайну. Все началось, когда я присоединился к зрелой организации кибербезопасности, где я работал над двумя ключевыми направлениями: оценкой и управлением уязвимостями, а также Кибербезопасной угрозой разведкой (CTI). Благодаря управлению уязвимостями я получил взгляд защитника – обеспечение того, чтобы системы были правильно обслуживаемы, исправлены и устойчивы к атакам. В CTI я принял взгляд атакующего, анализируя его мотивы, цели и возможности. Это было то место, где я глубоко ознакомился с фреймворком MITRE ATT&CK, который я использовал для документирования тактики, техник и процедур (TTP) противников и определения их оперативных книг.

Этот двойной опыт дал мне всестороннее понимание того, как защитники и атакующие взаимодействуют внутри постоянно эволюционирующей экосистемы. CTI быстро стала моей личной страстью. Ее стратегическая цель – понимание того, как противники действуют, эволюционируют и влияют друг на друга – казалась почти предназначенной. Я благодарен за то, что продолжаю работать в этой области, наблюдая и анализируя растущую сложность глобальной угрозой ландшафта, где государственные и электронные преступные противники, несмотря на их разные мотивы, все чаще пересекаются и формируют операции друг друга.

Оглядываясь назад, какой конкретный проект или опыт стал поворотным моментом в вашей карьере и сформировал ваш взгляд на кибербезопасность?

Поворотный момент наступил, когда я начал исследовать и документировать TTP, которые противники и вредоносное ПО используют для обнаружения и избегания контролируемых сред. Это усилие стало основой для “Осведомленности об окружении“, исследовательского проекта, который я проводил с моим коллегой и другом Айелен Торелло, с которым я теперь имею возможность работать вместе в AttackIQ. Наше исследование было сосредоточено на каталогизации различных методов, которые противники используют для признания и избегания песочниц или виртуализированных сред, что позволяет им оставаться необнаруженными во время автоматического анализа. Результатом стала белая книга, которая позже была принята в качестве основы для техники “T1497 – Избегание виртуализации/песочницы” в фреймворке MITRE ATT&CK.

Во время этого расследования я стал свидетелем постоянной эволюции противников, с их полезными нагрузками, становящимися все более сложными и их способностью избегать автоматических систем обнаружения, улучшая их шансы на успешное компрометирование реальных целей. Этот опыт фундаментально сформировал мое понимание адаптивности противников и постоянного цикла инноваций, который определяет современные угрозы.

С тех пор, как вы присоединились к AttackIQ в 2021 году в качестве инженера-исследователя противников и возглавили создание инициативы Кибербезопасной угрозой разведки, как ваши обязанности эволюционировали, и как вы балансируете координацию проекта CTI, стратегические исследования угроз и разработку имитаций противников?

Создание программы Кибербезопасной угрозой разведки (CTI) в AttackIQ было сложной задачей. Нам нужно было быстро получить видимость широкого спектра угроз. Как поставщик услуг, наш фокус не мог быть ограничен одной отраслью, регионом или страной. Вместо этого нам потребовался знаний, охватывающий как противников, так и вредоносное ПО, от государственных до электронных преступных групп и от коммерческого до индивидуально разработанного вредоносного ПО. Как только основа была установлена, мы начали фокусироваться на том, что я называю “тяжеловесами”: высокоактивными и влиятельными сущностями, которые влияют на несколько секторов, регионов и стран. Этот подход позволяет нам уделять приоритетное внимание угрозам, наиболее актуальным для нашей базы клиентов.

Учитывая быстроменяющийся ландшафт угроз, балансирование сбора информации, анализа угроз и имитации противников является внутренне сложным. Каждый тип имитации представляет собой разные проблемы. С одной стороны, имитации государственных противников обычно высоко сложны, адаптированы к конкретным целям, характеризуются длительными временами нахождения и обусловлены политическими мотивами. Повторение их поведения требует глубокого анализа, терпения и точности, что делает их интеллектуально сложными и полезными для имитации. С другой стороны, имитации электронных преступлений быстрые и оппортунистические. Эти противники вводят новые техники, действуют с более короткими временами нахождения и часто влияют на несколько секторов и регионов. Их использование общих, готовых инструментов и коммерческого вредоносного ПО, с перекрывающимися TTP между группами, делает их книги игр динамичными и интересными для воспроизведения.

Найти правильный баланс – это стратегический процесс. Мы выравниваем приоритеты исследований и имитации с требованиями клиентов и глобальными событиями, включая геополитические напряжения, недавно раскрытые критические уязвимости и рекомендации международных организаций, таких как Агентство кибербезопасности и инфраструктуры (CISA) и Национальный центр кибербезопасности (NCSC). В конечном итоге, эта работа является командным усилием. Команда исследований противников (ART) состоит из невероятно талантливых людей, чьи вклады делают реалистичные и безопасные имитации возможными. CTI – это только часть процесса; превращение информации в аутентичные, контролируемые имитации – это сложная задача, которая требует сотрудничества, точности и общей приверженности.

В команде исследований противников AttackIQ, как структурировано и расставляются приоритеты исследований, и какие были наиболее значительными проблемами в переводе информации об угрозах в действенные имитации противников?

Несколько факторов влияют на то, как мы расставляем приоритеты исследований в команде исследований противников AttackIQ. Наш основной фокус – на имитации противников, которые представляют наибольший риск для самой большой части наших клиентов, обеспечивая, чтобы ресурсы были оптимизированы и сосредоточены на широковлияющих угрозах до решения высокоспецифических.

Этот объем включает как противников, так и семьи вредоносного ПО, наблюдаемые в дикой природе. Мы постоянно отслеживаем широкий спектр сущностей, с приоритезацией, обусловленной оперативной необходимостью, а не директивными указаниями. Новые угрозы часто вызывают быструю реприоритезацию. Эскалирующие геополитические напряжения, увеличение отчетности о конкретной и критической уязвимости или концентрированные рекомендации CERT быстро повышают темы до вершины очереди.

Одна из наших основных проблем – поддержание последовательной приоритезации и балансирование ресурсов для доставки реалистичных и сложных имитаций, обеспечивая эффективность и масштабируемость на протяжении циклов разработки. Мы уделяем сильный акцент на разработке широких, многоразовых поведений. Определяя общие черты между противниками и семьями вредоносного ПО, мы фокусируемся на воспроизведении техник и процедур, которые последовательно появляются в нескольких книгах игр. Эти могут быть затем адаптированы и интегрированы в другие имитации, позволяя большую гибкость и масштабируемость. Этот подход позволяет нам уделять приоритетное внимание поведениям с высокой повторяемостью и оперативной актуальностью, а не инвестировать значительные ресурсы в узкие, одноразовые реализации. Постоянная производственная каденция, доставляющая гибкие, целевые и осмысленные имитации.

В вашем недавнем исследовании RomCom, какие были ключевые моменты, которые повлияли на его трансформацию из базового бэкдора в универсальную платформу, поддерживающую как шпионаж, так и финансовое вымогательство, и при каких обстоятельствах вредоносное ПО переходит из отдельной полезной нагрузки в полностью развитую платформу?

Случай RomCom особенно интересен, потому что он первоначально появился в мае 2022 года как относительно простой бэкдор, предназначенный в основном для удаленного доступа и базовой эксфильтрации данных. Первый значительный момент произошел всего через месяц с выпуском RomCom 2.0, который ввел значительные улучшения, отражающие более зрелый, ориентированный на скрытность инструментарий, оптимизированный для операций шпионажа и долгосрочной персистенции. Эти обновления существенно улучшили возможности сбора и эксфильтрации данных, сигнализируя о четком сдвиге в сторону более стратегического использования.

Следующий момент произошел с введением RomCom 3.0 в феврале 2023 года, который принял модульную архитектуру, структурированную в три основных компонента. Он представлял собой существенный скачок в гибкости и функциональности, поддерживающей 42 различных команд, многие из которых были тонкими вариациями друг друга, подчеркивая фокус оператора на адаптивности и оперативной тонкости.

Последующие версии продолжали фокусироваться на совершенствовании возможностей и повышении оперативной устойчивости. Со временем RomCom эволюционировал из бэкдора, созданного для конкретной цели, в коммерческое вредоносное ПО, используемое электронными преступными группами, которые интегрировали его в свои книги игр для облегчения и содействия различным преступным операциям. Эта эволюция была продемонстрирована интеграцией RomCom с операциями по вымогательству программного обеспечения Cuba, Industrial Spy и Underground, четко указывая на то, что оно стало частью более широкой враждебной экосистемы в качестве общей инфраструктуры. Это широкое внедрение неизбежно привлекло внимание государственно-выравнированных противников, особенно тех, которые связаны с российскими интересами, которые начали использовать RomCom в качестве полифункциональной платформы, поддерживающей шпионаж и стратегическое влияние.

Эта конвергенция подтвердила нашу оценку того, что границы между электронными преступлениями и государственными противниками становятся все более размытыми. Переход из отдельной полезной нагрузки в полностью развитую платформу происходит именно на этом пересечении, когда она начинает использоваться для сложных, стратегических и неосязаемых целей, выходящих за рамки оппортунизма или финансовой выгоды. На этой стадии она перестает служить единственной тактической цели и вместо этого позволяет множественным, иногда противоречивым, оперативным целям. Это предполагает, что операторы рассматривают полезную нагрузку как многоразовую инфраструктуру, а не как созданное для конкретной цели оружие.

Вы наблюдали все более размытые границы между государственной деятельностью и электронными преступными противниками. С вашей точки зрения, какие основные факторы стоят за этой конвергенцией, и как защитники должны думать по-другому при оценке атрибуции и мотивации в этих случаях?

Конвергенция между государственными и электронными преступными операциями в первую очередь обусловлена прагматическими факторами с обеих сторон. Для государственно-выравнированных противников цель – быстро приобрести возможности, уже проверенные и доказанные на поле боя. Использование существующего инструментария или инфраструктуры позволяет им приобрести оперативную гибкость без значительных ресурсов, посвященных разработке индивидуальных инструментов с нуля. Если полезная нагрузка устойчива, эффективна и доступна, почему ее нужно пересоздавать? С другой стороны, для операторов электронных преступлений доступ к ресурсам и инфраструктуре государственного уровня, включая разведку, данные о целях и защищенные каналы распространения, позволяет быстро масштабировать возможности, получая гарантированное финансовое обеспечение с минимальным риском.

RomCom является примером этой конвергенции. Первоначально это было относительно простое вредоносное ПО, предназначенное для удаленного доступа и базовой эксфильтрации данных. Позже оно было принято в деятельности, выравненных с российскими стратегическими интересами, нацеливаясь на украинские государственные учреждения, учреждения, связанные с NATO, и гуманитарные организации. Наша оценка показывает, что RomCom перешел от чисто финансово-ориентированного инструмента к инструменту, используемому в государственных операциях, поддерживающему шпионаж и операции по дестабилизации, сохраняя при этом свою универсальность для электронных преступлений.

Эта эволюция подчеркивает ключевой принцип: независимо от того, является ли противник финансово или политически мотивированным, влияние на жертву остается одинаковым. В этом контексте угрозо-информированная защита становится необходимой. Организации должны уделять приоритетное внимание проверке своих защит и устойчивости к реалистичным, наблюдаемым поведениям, а не сосредотачиваться исключительно на атрибуции или предполагаемой мотивации.

Что RomCom раскрывает о конвергенции финансовых и геополитических мотиваций среди противников? В частности, как вы интерпретируете растущую тенденцию государственно-выравнированных групп, использующих инфраструктуру электронных преступлений в качестве инструментов влияния или правдоподобного отрицания?

RomCom демонстрирует эволюцию киберпреступной группы, которая сохранила долгосрочную оперативную последовательность, расширяя сеть связей. На протяжении своей деятельности она установила четкие связи с несколькими семьями вымогательского программного обеспечения, в частности Cuba, Industrial Spy и Underground, отражая глубокую интеграцию в экосистему электронных преступлений. Со временем она эволюционировала из бэкдора, облегчающего дестабилизирующие, вымогательские операции, в полифункциональную платформу, способную поддерживать геополитическое влияние. Ее устойчивый фокус на украинских государственных учреждениях, военном персонале, гуманитарных организациях, помогающих беженцам, и странах, связанных с NATO, демонстрирует оперативное выравнивание с российскими стратегическими интересами, связанными с войной на Украине. Это не оппортунистическое преступление; это представляет собой преднамеренную разведку и долгосрочный доступ к операциям. Та же самая вредоносное ПО, механизмы доставки и оперативные традиции теперь поддерживают как шпионаж, так и операции по вымогательству.

RomCom также подчеркивает более широкий шаблон государственно-выравнированных противников, принимающих или переделывающих инструментарий электронных преступлений. Эти инструменты проверены, эффективны и служат удобными инструментами для более широких стратегических целей. Россия остается примером: обширная отчетность описывает российские киберпреступные группы, действующие как де-факто расширения государственных операций или напрямую используемые для их поддержки. Это позволяет государствам передавать денiable операции, особенно те, которые имеют дестабилизирующий или разрушительный характер, киберпреступным акторам или поглощать их инструментарий и инфраструктуру. В конечном итоге, эта динамика раскрывает взаимовыгодные отношения: операторы RomCom и их аффилированные лица получают влияние и финансовые выгоды, в то время как государства получают доступ к способным, deniable активам. В ландшафте электронных преступлений лояльность является транзакционной, основанной на влиянии и прибыли.

Эта модель предлагает четкие стратегические преимущества, что является причиной ее растущей популярности. Партнерства с преступными группами предоставляют государствам доступ и возможности без прямой атрибуции, а полученная оперативная неоднозначность осложняет дипломатические и юридические ответы. Семьи вредоносного ПО фактически стали инструментами государственного управления, дополняя, а не заменяя традиционный шпионаж через преступную инфраструктуру, которая является deniable, масштабируемой и самодостаточной.

Современное вредоносное ПО часто не ограничивается одной отраслью или регионом. Что это говорит о приоритетах атакующих или ограничениях, и есть ли сектора или географии, которые вы считаете “следующими” для междоменной экспансии?

Хотя некоторые противники могут сами ограничивать себя, многие рассматривают срочность и кризисы как дополнительные векторы заражения, ускоряя проникновения и эксплуатируя отвлеченные или напряженные защиты. Мотивация влияет на нацеливание, но редко ограничивает его. Финансово мотивированные группы отдают приоритет целям с высоким потенциальным доходом или оперативными зависимостями, такими как финансы, обработка платежей и крупные предприятия с жесткими требованиями к времени безотказной работы. Напротив, государственно-выравнированные группы концентрируются на секторах, которые продвигают геополитические цели, включая правительство, оборону и критическую инфраструктуру. Однако перекрытие между этими мотивациями становится все более распространенным.

Тактики “spray-and-pray” и коммодитизация продолжатся. Модели программного обеспечения для вымогательства в качестве услуги (RaaS), коммерческий инструментарий и автоматизированное сканирование позволяют финансово мотивированным противникам агрессивно расширять круг целей. Любая открытая, слабо защищенная служба потенциально находится в области применения. Географическое расширение следует за возможностями и зрелостью. Регионы, претерпевающие быструю цифровую трансформацию, но имеющие ограниченную кибербезопасность или способность реагировать на инциденты, привлекательны для первоначального компрометирования и масштабирования операций. С другой стороны, высокоценные цели в хорошо защищенных регионах часто поражаются через компрометирование цепочки поставок или аутсорсинговый доступ. Глядя вперед, расширение, вероятно, будет происходить в регионах, соседних с активными геополитическими конфликтами, где сбор информации поддерживает стратегические интересы и защитная зрелость все еще отстает от сложности противников.

При создании реалистичных имитаций противников, какие технические проблемы вы считаете наиболее сложными? Как вы проверяете, что эти имитации достаточно представительны для реальных угроз, и есть ли поведения, которые остаются особенно трудными для надежной симуляции?

Одной из самых сложных технических проблем является достижение поведенческой точности без введения оперативного риска. Имитации должны воспроизводить реальные поведения достаточно точно, чтобы проверить обнаружение и предотвращение контроля, оставаясь при этом безопасными для запуска в производственных средах. Этот компромисс является постоянным. Слишком агрессивные реализации рискуют дестабилизировать системы или производить опасные ложные положительные/отрицательные результаты, в то время как слишком осторожные теряют точность и полезность. Мы отдаем приоритет имитации “узких мест” противников, критических поведений, которые определяют, успешно ли проникновение или нет, и где видимость защиты и реакции имеют наибольшее значение. Сосредоточив точность на этих решающих поведениях, имитации доставляют наибольшую ценность как для покрытия обнаружения, так и для проверки устойчивости.

Некоторые техники намеренно ограничены или опущены, поскольку они представляют неприемлемый риск или не могут быть верно имитированы без ущерба для окружения. Небольшая ошибка в реализации может привести к тому, что вы будете тестировать что-то, что противник никогда не делает, или дестабилизировать систему, которую вы пытаетесь защитить. Другие проблемы возникают из поведений, которые зависят от контекста окружения или требуют аутентифицированного доступа. Сетевые поведения также ограничены: например, мы воспроизводим шаблоны протоколов и поведения C2 без подключения к вредоносной инфраструктуре.

Создание реалистичных имитаций, таким образом, является итеративным инженерным процессом: выявление, документирование, реализация, тестирование, проверка и совершенствование. Каждая итерация балансирует точность, безопасность и оперативную актуальность, чтобы обеспечить, что имитации являются как реалистичными, так и развертываемыми.

Глядя вперед на три-пять лет, какие тенденции в сложности вредоносного ПО, методологии атакующих или угрозой экосистемах вы считаете наиболее тревожными или интересными, и какие основные шаги бы вы рекомендовали организациям, начинающим свое путешествие в угрозо-информированную защиту и имитацию противников?

Одной из наиболее интересных и тревожных тенденций является растущая сложность киберпреступных экосистем. За последнее десятилетие электронные преступные акторы расширили свое влияние значительно.

В ранние годы количество участников было ограничено, и их влияние было сравнительно незначительным. Сегодня сотни взаимосвязанных сущностей сосуществуют и сотрудничают, каждая из которых выполняет специализированные роли. Эта взаимозависимость формирует сложную, бизнес-ориентированную экосистему, которая зеркально отражает легитимные рынки по структуре и эффективности. Экосистема программного обеспечения для вымогательства является идеальным примером: десятки активных семей сосуществуют, эволюционируют и сменяют друг друга. Этот постоянный переворот раскрывает запутанную сеть отношений, которая становится все более трудной для распутывания.

Другой определяющей тенденцией является конвергенция между государственными и преступными операциями. Не только на оперативном уровне, но и в разработке общей инфраструктуры и платформ вредоносного ПО. RomCom является примером этой эволюции. Он перешел от чисто финансово-ориентированного коммерческого вредоносного ПО к универсальному инструменту, используемому в государственных операциях, поддерживающему шпионаж и дестабилизирующие операции, сохраняя при этом свою универсальность для электронных преступлений.

Для организаций, новых в угрозо-информированной защите, основным шагом является принятие фреймворка MITRE ATT&CK в качестве общего языка для понимания и обсуждения поведения противников. ATT&CK предоставляет поведенческую таксономию, которая позволяет защитникам сопоставить обнаружение и контроль напрямую с тактикой противников, а не статическими индикаторами. Отдавайте приоритет поведенческому обнаружению над подходами, основанными на сигнатурах. Индикаторы компрометирования меняются постоянно, но техники противников остаются относительно стабильными, принцип, отраженный в фреймворке “Пирамиды боли”.

Благодарим за подробные ответы, читатели, которые хотят узнать больше, должны посетить AttackIQ.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.