Taktyka fałszywej bandery - nowy rodzaj cyberataków

Tożsamość grupy odpowiedzialnej za przeprowadzenie cyberataku ukierunkowanego to pytanie, na które każdy chce znać odpowiedź – mimo że ustalenie, kim są sprawcy, jest najczęściej trudne, o ile w ogóle możliwe. Aby zaprezentować coraz większą złożoność i niepewność atrybucji w dzisiejszym krajobrazie zagrożeń, dwóch ekspertów opublikowało artykuł ukazujący, w jaki sposób bardziej zaawansowani cyberprzestępcy wykonują działania pod fałszywą banderą, aby wywieść w pole ofiary i badaczy ds. cyberbezpieczeństwa.

Poniżej przedstawiono najczęściej wykorzystywane przez badaczy wskazówki sugerujące, skąd mogą pochodzić ataki, wraz z przykładami ich manipulacji przez kilka znanych ugrupowań cyberprzestępczych:

Pliki szkodliwego oprogramowania zawierają sygnaturę czasową, która wskazuje, kiedy zostały skompilowane. Po zebraniu wystarczająco dużej liczby powiązanych próbek można określić czas pracy ich twórców, a to może wskazać ogólną strefę czasową ich operacji. Jednakże takie sygnatury czasowe można niezwykle łatwo zmienić.

Pliki szkodliwego oprogramowania często zawierają teksty, które mogą dawać pewne wyobrażenie na temat autorów kodu. Najbardziej oczywistą wskazówką jest wykorzystany język lub języki oraz poziom biegłości językowej. Omawiane wskazówki mogą również ujawnić nazwę użytkownika oraz wewnętrzne nazewnictwo dla projektów lub kampanii. Ponadto dokumenty phishingowe (podszywanie się pod stronę lub internautę) mogą zawierać mnóstwo metadanych, które ujawniają informacje wskazujące na rzeczywisty komputer autora.

Jednak cyberprzestępcy mogą z łatwością manipulować wskaźnikami językowymi w celu zmylenia badaczy. Zwodnicze wskazówki pozostawione w szkodliwym oprogramowaniu przez ugrupowanie cyberprzestępcze Cloud Atlas obejmowały tekst w języku arabskim w wersji dla urządzeń BlackBerry, znaki w języku Hindi w wersji dla Androida oraz ciąg „JohnClerk” w ścieżce projektu wersji dla iOS – chociaż wielu podejrzewa, że ugrupowanie to posiada w rzeczywistości związki z Europą Wschodnią. Szkodliwe oprogramowanie wykorzystywane przez ugrupowanie cyberprzestępcze Wild Neutron zawierało teksty zarówno w języku rumuńskim, jak i rosyjskim.

Znalezienie rzeczywistych serwerów kontroli wykorzystywanych przez cyberprzestępców można porównać ze znalezieniem ich adresu zamieszkania. Utrzymanie takiej infrastruktury może być kosztowne i trudne, dlatego nawet cyberprzestępcy posiadający duże możliwości mają skłonność do ponownego wykorzystywania serwerów lub zasobów phishingowych. Nawiązywanie połączeń z infrastrukturą może zdradzić cyberprzestępców, jeśli nie anonimizują oni odpowiednio połączeń internetowych, gdy pobierają dane z serwerów e-mail, przygotowują zasoby phishingowe lub meldują się w zhakowanym systemie. Czasami jednak taka „wpadka” jest celowa: ugrupowanie Cloud Atlas próbowało zmylić badaczy poprzez wykorzystywanie adresów IP pochodzących z Korei Południowej.

Chociaż niektórzy cyberprzestępcy wykorzystują obecnie publicznie dostępne narzędzia, wielu nadal preferuje tworzenie własnych narzędzi, których zazdrośnie strzeże. Dlatego pojawienie się określonej rodziny szkodliwego oprogramowania może pomóc badaczom wskazać cyberprzestępcę.

Ugrupowanie Turla postanowiło wykorzystać to założenie, gdy zostało zidentyfikowane w zainfekowanym systemie. Zamiast wycofać swoje szkodliwe oprogramowanie, atakujący zainstalowali rzadką próbkę chińskiego szkodnika, który komunikował się z infrastrukturą zlokalizowaną w Pekinie – zupełnie niezwiązaną z ugrupowaniem Turla. Podczas gdy zespół reagowania na incydenty zaatakowanej firmy ścigał szkodnika-zmyłkę, grupa Turla ukradkowo odinstalowała swoje szkodliwe oprogramowanie i zatarła wszystkie ślady z systemów ofiary.

Cele ugrupowań cyberprzestępczych to kolejna potencjalna wskazówka, jednak ustalenie dokładnego związku wymaga umiejętnej interpretacji i analizy. W przypadku ugrupowania Wild Neutron, lista ofiar była tak zróżnicowana, że wprowadziła jedynie zamieszanie.

Ponadto niektóre ugrupowania cyberprzestępcze żerują na tym, że wszyscy spodziewają się istnienia wyraźnego związku między atakującym a jego celami, i działają pod przykrywką (często nieistniejącej) grupy haktywistów. Właśnie w ten sposób próbowało zagrać ugrupowanie Lazarus, podszywając się pod „Guardians of Peace” podczas ataków na Sony Pictures Entertainment w 2014. Wielu uważa, że ugrupowanie cyberprzestępcze o nazwie Sofacy zastosowało podobną taktykę, podszywając się pod różne ugrupowania haktywistyczne.

Na koniec warto również wspomnieć, że niekiedy cyberprzestępcy próbują zepchnąć winę na inne ugrupowanie. Jest to podejście stosowane przez ugrupowanie TigerMilk , które podpisywało swoje szkodliwe programy przy użyciu skradzionego certyfikatu, wykorzystywanego wcześniej przez Stuxneta.

„Przypisanie autorstwa atakom ukierunkowanym jest skomplikowane, mało wiarygodne i subiektywne – a ugrupowania cyberprzestępcze coraz bardziej próbują manipulować wskazówkami, na których opierają się badacze, dodatkowo zaciemniając obraz. Uważamy, że precyzyjne przypisanie autorstwa jest w wielu przypadkach niemal niemożliwe. Co więcej, analiza zagrożeń posiada głęboką i mierzalną wartość, która daleko wykracza poza pytanie ‘kto to zrobił?’. Istnieje globalna potrzeba zrozumienia najważniejszych ugrupowań w ekosystemie szkodliwego oprogramowania i dostarczenia pewnym organizacjom solidnych danych analitycznych, na podstawie których można podjąć działania – właśnie na tym powinniśmy się skoncentrować” – powiedział Brian Bartholomew, starszy badacz ds. cyberbezpieczeństwa, Kaspersky Lab.