„Microsoft“ taiko apgaulingą taktiką prieš sukčiavimo aktorius, sukurdama tikroviškai atrodančius medaus puodo nuomininkus, turinčius prieigą prie „Azure“, ir priviliodama kibernetinius nusikaltėlius rinkti apie juos žvalgybos duomenis.
Turėdama surinktus duomenis, „Microsoft“ gali susieti kenkėjišką infrastruktūrą, geriau suprasti sudėtingas sukčiavimo operacijas, sutrikdyti kampanijas dideliu mastu, nustatyti kibernetinius nusikaltėlius ir žymiai sulėtinti jų veiklą.
Šią taktiką ir jos žalingą poveikį sukčiavimo veiklai BSides Exeter konferencijoje aprašė Ross Bevington, pagrindinis Microsoft saugos programinės įrangos inžinierius, vadinantis save Microsoft apgaulės vadovu.
Bevingtonas sukūrė „hibridinį aukštos sąveikos medaus puodą“ šiuo metu išėjusiame į pensiją code.microsoft.com rinkti grėsmių žvalgybos informaciją apie veikėjus – nuo mažiau kvalifikuotų kibernetinių nusikaltėlių iki nacionalinių valstybių grupių, nusitaikančių į „Microsoft“ infrastruktūrą.
Sukčiavimo sėkmės iliuzija
Šiuo metu Bevingtonas ir jo komanda kovoja su sukčiavimu, pasitelkdami apgaulės būdus, naudodami ištisas Microsoft nuomininkų aplinkas, kaip tinkintus domenų pavadinimus, tūkstančius vartotojų paskyrų ir veiklą, pvz., vidinius ryšius ir failų dalijimąsi.
Įmonės ar tyrėjai paprastai sukuria medaus puodą ir laukia, kol grėsmės veikėjai jį atras ir imsis veiksmų. „Howedpot“ ne tik nukreipia užpuolikus nuo realios aplinkos, bet ir leidžia rinkti žvalgybos informaciją apie metodus, naudojamus sistemoms pažeisti, o vėliau juos galima pritaikyti teisėtame tinkle.
Nors Bevingtono koncepcija iš esmės yra ta pati, ji skiriasi tuo, kad žaidimas perkeliamas į užpuolikus, o ne laukia, kol grėsmės veikėjai suras kelią.
Savo „BSides Exeter“ pristatyme tyrėjas teigia, kad aktyvus požiūris apima apsilankymą aktyviose sukčiavimo svetainėse, kurias nustatė „Defender“, ir įvedant „Housepot“ nuomininkų kredencialus.
Kadangi kredencialai nėra apsaugoti dviejų veiksnių autentifikavimu, o nuomininkai yra užpildyti tikroviškai atrodančia informacija, užpuolikai turi lengvą kelią ir pradeda gaišti laiką ieškodami spąstų požymių.
„Microsoft“ teigia, kad kiekvieną dieną stebi maždaug 25 000 sukčiavimo svetainių, apie 20 % iš jų pateikdama „Honeypot“ kredencialus; likusius blokuoja CAPTCHA ar kiti anti-bot mechanizmai.
Užpuolikams prisijungus prie netikrų nuomininkų, o tai nutinka 5 % atvejų, įjungiamas išsamus registravimas, kad būtų galima sekti kiekvieną jų atliekamą veiksmą ir taip išmokti grėsmės veikėjų taktikos, technikos ir procedūrų.
Surinkta informacija apima IP adresus, naršykles, vietą, elgesio modelius, ar jie naudoja VPN, ar VPS, ir kokiais sukčiavimo rinkiniais jie remiasi.
Be to, kai užpuolikai bando bendrauti su netikromis paskyromis aplinkoje, „Microsoft“ kiek įmanoma sulėtina atsakymus.
Šiuo metu apgaulės technologija užpuolikas švaistomas 30 dienų, kol jis suvokia, kad buvo pažeista netikra aplinka. Visą laiką „Microsoft“ renka tinkamus duomenis, kuriuos gali naudoti kitos saugos komandos, kurdamos sudėtingesnius profilius ir geresnę apsaugą.
Bevingtonas mini, kad mažiau nei 10% IP adresų, kuriuos jie renka tokiu būdu, gali būti koreliuojami su duomenimis kitose žinomose grėsmių duomenų bazėse.
Šis metodas padeda surinkti pakankamai žvalgybos duomenų, kad atakas būtų galima priskirti finansiškai motyvuotoms grupėms ar net valstybės remiamiems veikėjams, pavyzdžiui, Rusijos vidurnakčio pūgos (Nobeliumo) grėsmės grupei.
Nors apgaulės principas siekiant apginti turtą nėra naujas ir daugelis kompanijų naudojasi medaus puodais ir kanarėlių objektais, kad aptiktų įsibrovimus ir net sektų įsilaužėlius, „Microsoft“ rado būdą, kaip panaudoti savo išteklius grėsmių veikėjų ir jų metodų medžioklei.