Tikslinių išpuolių organizatoriai vis dažniau taiko įvairias apgavystės technikas, kad suklaidintų analitikus. Sukčiai neretai palieka netikras laiko ir kalbos žymes, naudoja specifinę kenkėjišką programinę įrangą ir prisidengia netikra, kartais net neegzistuojančia programišių grupuočių vėliava. Apie tai „Kaspersky Lab“ ekspertai papasakojo forume „Virus Bulletin“, kuris vyko JAV, Denveryje, spalio 5–7 d.
Tikslinių išpuolių organizatoriai vis dažniau taiko įvairias apgavystės technikas, kad suklaidintų analitikus. Sukčiai neretai palieka netikras laiko ir kalbos žymes, naudoja specifinę kenkėjišką programinę įrangą ir prisidengia netikra, kartais net neegzistuojančia programišių grupuočių vėliava. Apie tai „Kaspersky Lab“ ekspertai papasakojo forume „Virus Bulletin“, kuris vyko JAV, Denveryje, spalio 5–7 d.
Atpažinti tikslinius ir APT išpuolius vykdančias grupuotes svarbu ir grėsmių tyrėjams, ir nuo šių išpuolių nukenčiančioms aukoms. Tačiau išsiaiškinti, kas iš tiesų yra sukčiai, gana sunku, kartais net neįmanoma. Tai priklauso ir nuo pačių puolančiųjų, kruopščiai slepiančių savo pėdsakus. Kaip jie tai daro, „Kaspersky Lab“ aiškina pasitelkdami kai kurių išpuolių pavyzdžius.
Laiko žymės
Kenkėjiška programinė įranga turi laiko žymes, rodančias, kada buvo sukurtas kodas. Šių duomenų analizė padeda apskaičiuoti sukčių darbo laiką ir nustatyti laiko juostą, kurioje jie dirba. Tačiau šio metodo negalima laikyti patikimu, nes laiko žymes lengva pakeisti ir padirbti.
Kalbos žymės
Kenkėjiškuose failuose būna tam tikra kalba ar kalbomis parašytų eilučių. Taip pat juose gali būti naudotojų vardų, operacijų ir vidinių kampanijų pavadinimų. Atrodytų, konkrečios kalbos buvimo faktas leidžia daryti tam tikras išvadas. Tačiau niekas netrukdo sukčiams manipuliuoti šiais įrodymais ir klaidinti tyrėjus. Pavyzdžiui, išpuoliuose „Cloud Atlas“ taikomoje kenkėjiškoje programinėje įrangoje buvo eilučių arabų kalba („BlackBerry“ skirtoje versijoje) ir hindi (skirtai „Android“). Analitikai linkę manyti, kad grupuotė yra Rytų Europos kilmės.
Infrastruktūra ir serveriai
Rasti sukčių komandinį kontrolės serverį – lyg sužinoti jų namų adresą. Tai galima padaryti, pavyzdžiui, jeigu puolantieji ėmėsi nepakankamų veiksmų, kad paslėptų interneto sujungimus, siųsdami duomenis į serverį arba iš jo gaudami komandas. Tačiau šias „klaidas“ sukčiai daro tyčia – analitikams suklaidinti toje pačioje operacijoje „Cloud Atlas“ buvo naudojami Pietų Korėjos IP adresai.
Instrumentai: kenkėjiška programinė įranga, kodai, slaptažodžiai, eksploitai
Nors vis daugiau APT grupuočių naudoja jau parengtą kenkėjišką programinę įrangą, nemažai sukčių linkę kurti savo instrumentus: virusus, sekimo programas, eksploitus ir t. t. Todėl atsirandančios naujos virusų šeimos leidžia tyrėjams pastebėti naujus žaidėjus tikslinių išpuolių lauke. Tačiau ir šią situaciją puolantieji gali naudoti kaip priedangą. Operacijos „Turla“ metu sukčiai įvarė save į kampą užkrėstos sistemos viduje. Ir, užuot paskubomis sunaikinę kenkėjišką programinę įrangą, įdiegė labai retą kinų kilmės virusą, kurio ryšiai vedė prie serverių Pekine, o tai neturėjo nieko bendro su „Turla“. Kol analitikai nagrinėjo šiuos netikrus pėdsakus, puolantieji nepastebimai pašalino savo programas ir ištrynė visus buvimo sistemoje pėdsakus.
Tikslai ir aukos
Kartais suprasti, kad vykdo išpuolius, padeda aukų ir tikslų analizė. Ir sukčiai puikiai tai žino. Būtent todėl jie gali dirbti po netikra vėliava, prisidengę kurios nors programišių grupuotės, nebūtinai egzistuojančios, vardu. Išpuoliuose prieš „Sony Pictures Entertainment“ 2014 m. grupė „Lazarus“ bandė prisidengti „Guardians of Peace“ vardu. O „Sofacy “ išpuolių organizatoriai darė viską, kad jų veiksmai būtų pripažinti iš karto kelių grupuočių vykdoma veikla. Galiausiai iki šiol neištirta grupuotė „TigerMilk “ pasirašydavo savo virusus tuo pačiu vogtu sertifikatu, kuriuo anksčiau naudojosi „Stuxnet“ išpuolių organizatoriai.
„Išsiaiškinti išpuolio kilmę – sudėtinga užduotis, kurios rezultatai visada nepatikimi ir subjektyvūs. Kadangi sukčiai kruopščiai manipuliuoja išpuolių indikatoriais ir užmėto pėdsakus, konkrečių išvadų apie grėsmės kilmę, mūsų nuomone, neįmanoma pateikti. Tačiau ši aplinkybė visiškai nesumažina kibernetinių išpuolių tyrimo vertės – paprasti naudotojai ir informacinio saugumo specialistai turi žinoti, kur ir su kokiomis grėsmėmis jie gali susidurti ir kokie bus padariniai. O mes savo ruožtu turime jiems pasiūlyti patikimą apsaugą. Kuo daugiau žinome apie puolančiųjų metodus ir tikslus, tuo greičiau atpažinsime ir sustabdysime grėsmes“, – pažymėjo Bryan Bartolome, „Kaspersky Lab“ antivirusų ekspertas.
Išsamiai apie tai, kokiomis apgavystės technikomis naudojasi tikslinių išpuolių organizatoriai, skaitykite analitinėje ataskaitoje.
