Все вести об APT-атаках неизменно порождают вопрос: кто автор? Репортер «Рейтер», к примеру, доложивший на этой неделе о серии вымогательских эскапад против американских компаний, заподозрил, что их инициаторами являются группы хакеров, спонсируемые правительством Китая. Однако в большинстве случаев такие сообщения не содержат весомых свидетельств принадлежности — разве что отпечатки, полученные техническими средствами, но их с легкостью можно подделать.

В минувшую среду, выступая на конференции CanSecWest 2016 в Ванкувере, эксперты «Лаборатории Касперского» Брайан Бартоломью (Brian Bartholomew) и Хуан Герреро-Сааде (Juan Andres Guerrero-Saade) обратили внимание аудитории на учащение случаев фальсификации таких отпечатков APT-группами, стремящихся ввести в заблуждение исследователей и вирусных аналитиков.

«Индикаторов принадлежности великое множество: временные метки, например, или языковые строки, — отметил Герреро-Сааде. — Мы лишь хотим предупредить, что всем этим можно манипулировать, искажая итог. И это одна из основных причин, по которой нельзя слепо доверять результатам атрибуции, так как продвинутые злоумышленники начали умышленно их подменять».

Во многих APT-кампаниях исследователи склонны усматривать интересы Китая, России, Северной Кореи, США или стран Ближнего Востока. Их мишени разнообразны, равно как и тактика, а также используемое вредоносное ПО. Принадлежность соответствующей APT-группы в большинстве случаев определялась по подсказкам, оставленным в коде: такие признаки, как, к примеру, время компиляции, помогают определить регион, в котором работает вирусописатель. Однако ничто не мешает атакующему задать часам неправильное значение или включить в код зловреда множество языковых строк, чтобы запутать аналитиков.

Так, например, инициаторы APT-кампании CloudAtlas, которую «Лаборатория Касперского» обнаружила в 2014 году, задействовали ту же приманку, которая годом ранее использовалась в шпионской операции Red October. Более того, CloudAtlas полагалась на те же эксплойты и атаковала те же мишени.

«Многое из того, что они делали, весьма озадачило исследователей», — признал Бартоломью, приведя несколько примеров: отправку испаноязычных документов российским мишеням, использование арабского языка в коде зловреда, атакующего смартфоны BlackBerry, и хинди — в коде вредоносного ПО для Android. «Их командная инфраструктура использовала роутеры, размещенные в Южной Корее, а в какой-то момент они пустили в ход вредоносное ПО китайского производства», — продолжает перечислять эксперт.

Другие APT-группы, к примеру Lazarus, которой приписывают атаку на Sony и аналогичные вторжения, тоже пытались выдать себя за других хакеров, чтобы направить исследователей по ложному следу. Бартоломью назвал в этой связи еще одно имя — APT-группу Sofacy, предположительно ответственную за атаки против союзников НАТО, а также Украины и других восточноевропейских стран. Все атаки Sofacy различались сигнатурами и признаками принадлежности. «Мотивом в данном случае является правдоподобное отрицание, — пояснил эксперт. — Все это помогает этим группам выиграть время, чтобы замести свои следы».

Атрибуция — очень лакомая тема для прессы, но по-настоящему ее ценят представители власти и военные, хотя у бизнесменов тоже появляется интерес, когда им приходится изгонять хакеров из своих сетей и восстанавливать утраченные данные или интеллектуальную собственность.

«Правительству нужна предельная степень верности, когда речь идет о принадлежности, — заявил Герреро-Сааде. — Если власти вводят санкции или выдвигают обвинение, основания должны быть как можно более весомыми. В частном секторе это пытаются делать многие, однако на самом деле им не важен уровень достоверности. Поразмышлять над этим приятно, но действительность такова, что их интересы не опускаются ниже уровня стран, в которых они ведут бизнес. Все, что им нужно, — это конкретная страна и мотивы».

Правительство также обладает лучшим обзором и ресурсами для противодействия атакам, чем частный сектор, но оно обычно неохотно делится информацией. По этой причине, сетует Бартоломью, значительное количество отчетов об APT-атаках исходит от вендоров, академиков и исследовательских организаций, которые при определении принадлежности слишком часто полагаются на такие индикаторы, как временные метки, инфраструктура, семейства зловредов и пароли, хотя все это можно сфальсифицировать или подправить.

«Если вас пустили по ложному следу, вы неделями будете исследовать пустышку, — заключает эксперт. — Только время потратите, гоняясь за призраком по бесконечному лабиринту».

Категории: Аналитика, Кибероборона, Хакеры