Atacatorii care au o tinta predefinita incep sa foloseasca o serie de tehnici de diversiune pentru a fi mai greu de identificat, plasand indicii false privind momentul in care actioneaza, limba vorbita sau programul malware si desfasurandu-si activitatea sub acoperirea unor grupuri inexistente. Acestea sunt concluziile unei lucrari prezentate la Virus Bulletin de doi cercetatori Kaspersky Lab. “Atribuirea atacurilor cu tinta predefinita este complicata, subiectiva si nu prezinta nicio garantie, iar grupurile de atacatori incearca, din ce in ce mai mult sa manipuleze indiciile pe care se bazeaza cercetatorii, tulburand si mai mult apele", spun cei de la Kaspersky.

Identitatea grupului aflat in spatele unui atac cu tinta predefinita este intrebarea la care toata lumea isi doreste sa primeasca raspuns, in ciuda faptului ca este dificil, daca nu chiar imposibil, de stabilit cu exactitate autorii. Pentru a demonstra complexitatea tot mai mare si greutatea atribuirii atacurilor in contextul actualelor amenintari, doi experti Kaspersky Lab au publicat o lucrare in care dezvaluie cum gruparile avansate de atacatori folosesc indicii false pentru a induce in eroare victimele si cercetatorii din domeniul securitatii.

Indiciile cel mai des folosite de cercetatori pentru a sugera sursa atacurilor, impreuna cu ilustrarea modului in care anumite grupuri de atacatori le-au folosit, includ:

Indicii temporale

Fisierele malware includ o marca temporala care indica momentul in care au fost realizate. Daca sunt stranse suficiente mostre, se pot determina orele in care dezvoltatorii au lucrat la ele, ceea ce indica un anumit interval de timp in care si-au desfasurat operatiunile. Astfel de marcaje sunt insa foarte usor de modificat.

Indicii de limbaj

Fisierele malware includ, adesea, indicii despre autorii din spatele codului. Cel mai evident este acela privind limba sau limbile vorbite si nivelul de cunoastere a acestora. Alte elemente pot dezvalui, de asemenea, un nume de utilizator, precum si conventiile interne de a denumi proiecte sau campanii. In plus, documentele phishing pot contine metadate care pot salva, involuntar, informatii care sa duca la computerul real al unui autor.

Gruparile de atacatori pot manipula, insa, cu usurinta indiciile de limbaj pentru a induce in eroare cercetatorii. Dovezile inselatoare lasate in programul malware de grupul Cloud Atlas includeau elemente de limba araba in versiunea Blackberry, caractere hindi in versiunea Android si cuvintele “JohnClerk” in versiunea iOS – desi multi suspecteaza ca grupul are legatura, de fapt, cu Europa de Est. Programul malware folosit de gruparea Wild Neutron include indicii de limbaj atat in romana, cat si in rusa.

Infrastructura si conexiunile backend

Identificarea serverelor reale de comanda si control (C&C) folosite de raufacatori este similara cu gasirea adresei lor de acasa. Infrastructura C&C poate fi costisitoare si dificil de intretinut, astfel ca pana si atacatorii cu multe reurse au tendinta de a refolosi infrastructura C&C sau pe cea pentru atacuri de phishing. Conexiunile backend pot ajuta la creionarea unei imagini a atacatorilor daca nu reusesc sa anonimizeze corespunzator conexiunile la Internet, atunci cand recupereaza datele dintr-un server de extragere sau de e-mail, pregatesc un server de teste sau de phishing sau verifica un server compromis.

Uneori, astfel de “erori” sunt intentionate: Cloud Atlas a incercat sa induca in eroare cercetatorii folosind adrese IP din Coreea de Sud.

Instrumente: malware, cod, parole, exploit-uri

Desi unele grupuri de atacatori se bazeaza acum pe instrumente diponibile public, multe prefera inca sa-si contruiasca propriile backdoor-uri personalizate si exploit-uri si le pazesc atent. Aparitia unei anumite familii malware ii poate ajuta, prin urmare, pe cercetatori sa ajunga la un grup de atacatori.

Gruparea Turla a decis sa profite de aceasta presupunere cand s-a vazut incoltita in interiorul unui sistem infectat. In loc sa-si retraga programul malware, a instalat o mostra rara de malware din China, ceea ce a lasat sa se inteleaga ca infrastructura este localizata in Beijing – fara nicio legatura cu Turla. In timp ce echipa tehnica a victimei era pe urmele programului folosit pentru a-i induce in eroare, Turla si-a dezinstalat, discret, propriul malware si a sters toate urmele din sistemele victimei.

Victimele vizate

Tintele atacatorilor sunt o alta “poveste” potential interesanta, dar stabilirea unei legaturi exacte necesita o interpretare abila si o analiza atenta. In cazul Wild Neutron, de exemplu, lista de victime era atat de variata, ca nu a facut decat sa incurce procesul de atribuire.

In plus, unele grupari profita de dorinta publica de a exista o legatura clara intre un atacator si victimele lui, actionand sub acoperirea unui grup hacktivist (uneori inexistent). Asta a incercat sa faca grupul Lazarus prezentandu-se drept “gardienii pacii”, atunci cand a atacat Sony Pictures Entertainment in 2014. Multi banuiesc ca si gruparea cunoscuta sub numele Sofacy a avut o tactica similara, dandu-se drept mai multe grupuri hacktivist.

Nu in ultimul rand, uneori atacatorii incearca sa dea vina pe un alt grup. Aceasta este tehnica abordata de gruparea TigerMilk, care si-a semnat backdoor-urile cu acelasi certificat digital folosit anterior de Stuxnet.

“Atribuirea atacurilor cu tinta predefinita este complicata, subiectiva si nu prezinta nicio garantie, iar grupurile de atacatori incearca, din ce in ce mai mult sa manipuleze indiciile pe care se bazeaza cercetatorii, tulburand si mai mult apele. Noi credem ca atribuirea exacta este de multe ori aproape imposibila. In plus, informatiile despre amenintari au o valoare mult mai mare si cuantificabila decat raspunsul la intrebarea “cine este autorul?”. Exista o nevoie generalizata de a intelege principalii atacatori din zona malware si de a oferi informatii solide si practice organizatiilor care le solicita – acesta ar trebui sa fie obiectivul nostru principal”, a spus Brian Bartholomew, Senior Security Researcher at Kaspersky Lab.