На форуме Virus Bulletin специалисты «Лаборатории Касперского» рассказали о том, какие техники чаще всего используют злоумышленники, чтобы пустить аналитиков по ложному следу.

ИБ-экспертам непросто, а иногда и невозможно определить принадлежность группировок, стоящих за целевыми и APT-атаками. Этот вопрос постоянно провоцирует бурные дискуссии и представляет интерес как для исследователей, так и для жертв атак.

Опытные киберпреступники тщательно заметают следы и скрывают свою принадлежность. То есть на каждую технику, используемую исследователями в процессе определения инициаторов атаки, у злоумышленников имеется свой способ.

Например, исследователи могут определить принадлежность группировки по временным меткам, внедренным в код, — таким образом можно понять, в каком часовом поясе находятся киберпреступники. Но эти метки можно легко изменить или подделать.

Кроме того, принадлежность того или иного кода можно выявить по используемому в некоторых строках языку. Также эти строки могут содержать имена пользователей и внутренние названия операций и кампаний. Но эта техника тоже не может считаться стопроцентно точной: в попытках запутать исследователей злоумышленники могут манипулировать этой информацией в своих целях: например, в коде, использованном в атаках Clous Atlas, имелись строки на хинди и арабском языке, хотя исследователи склоняются к версии, что эти APT-атаки — дело рук восточноевропейских киберпреступников.

Наиболее действенный способ определить принадлежность кибергруппировки — добраться до командного сервера операции. Чтобы это стало возможным, нужно найти недосмотр или ошибку в действиях киберпреступников — например, недостаточно хорошо скрытые коммуникации между сервером и вредоносным ПО. Но преступники, бывает, допускают такие ошибки преднамеренно, уводя исследователей от реального сервера атаки. Например, в той же операции Cloud Atlas с целью запутать аналитиков использовались южнокорейские IP-адреса.

АРТ-группировки все чаще используют уже готовый инструментарий, но значительная доля киберпреступников пишет код и создает инструменты (бэкдоры, программы слежения, эксплойты и т.п.) своими силами. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на APT-арене. И, как следствие, преступники пытаются эксплуатировать и этот метод: например, в ходе операции Turla злоумышленники рисковали быть обнаруженными и для отвода глаз установили очень редкий зловред китайского происхождения, который переключил внимание исследователей на сервера в Пекине, не имеющие отношения к Turla. Пока аналитики шли по ложному следу, преступники незаметно удалили свои программы и стерли все следы присутствия в системе.

Очевидный способ выявить принадлежность атаки — это анализ ее жертв и целей. Прекрасно понимая это, хакеры могут прикрываться именем другой хакерской группировки, реальной или воображаемой. Например, группировка Lazarus, атаковавшая Sony Pictures Entertainment в 2014 году, пыталась выдавать себя за Guardians of Peace. А группировка Sofacy делала так, чтобы в атаках подозревали сразу нескольких хактивистов.

«Выяснение происхождения атаки — сложная задача, результаты которой всегда ненадежны и субъективны. А поскольку злоумышленники старательно манипулируют индикаторами атак и заметают следы, то о каких-либо конкретных выводах в плане атрибуции угрозы, на наш взгляд, говорить невозможно. Однако это обстоятельство вовсе не снижает ценность расследований кибератак — рядовые пользователи и специалисты по информационной безопасности должны знать, где и с какими именно угрозами они могут столкнуться и каковы будут их последствия», — сказал Брайан Бартоломью, антивирусный эксперт «Лаборатории Касперского».

Категории: Аналитика, Главное, Хакеры