На прошлой неделе в Денвере прошел форум Virus Bulletin, где специалисты «Лаборатории Касперского» рассказали, что идентификация хакерских группировок, которые стоят за целевыми и АРТ-атаками, совсем нелегкая задача. Пытаясь запутать следы и сбить аналитиков с толку, злоумышленники нередко оставляют в коде ложные временные и языковые метки, используют специфическое вредоносное ПО и прикрываются «фальшивым флагом» других группировок, зачастую вообще несуществующих. Эксперты перечислили некоторые техники, которыми пользуются хакеры.
- Временные метки
Вредоносное ПО содержит временные метки, которые указывают на то, когда был создан код. Анализ этих данных помогает вычислить рабочее время злоумышленников и определить часовой пояс, в котором они работают. Однако этот метод нельзя назвать хоть сколько-нибудь надежным, поскольку временные метки легко заменить и подделать.
- Языковые метки
Во вредоносных файлах имеются строчки, написанные на определенном языке или языках. Также они могут содержать имена пользователей и внутренние названия операций и кампаний. Казалось бы, сам факт наличия конкретного языка позволяет сделать определенные выводы. Однако ничто не мешает злоумышленникам манипулировать этими уликами и вводить исследователей в заблуждение. Например, малварь, использовавшаяся в ходе атак Cloud Atlas, содержала строки на арабском языке (в версии для BlackBerry) и на хинди (для Android). При этом аналитики склонны предполагать, что сама группировка имеет восточноевропейское происхождение.
- Инфраструктура и серверы
Найти управляющий сервер злоумышленников – все равно что узнать их домашний адрес. Это возможно, например, в том случае, если атакующие предприняли недостаточно мер для сокрытия интернет-соединений при отправке данных на сервер или при получении от него команд. Но порой злоумышленники совершают такие «просчеты» намеренно. Так, в той же операции Cloud Atlas с целью запутать аналитиков использовались южнокорейские IP-адреса.
- Инструментарий: вредоносное ПО, коды, пароли, эксплоиты
Несмотря на то, что все больше АРТ-группировок полагаются на уже готовое вредоносное ПО, значительная доля злоумышленников предпочитает создавать свои собственные инструменты: бэкдоры, программы слежения, эксплоиты и т.п. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на поле целевых атак. Однако и эту ситуацию атакующие могут использовать для прикрытия. Так, в ходе операции Turla злоумышленники столкнулись с тем, что загнали себя в угол внутри зараженной системы. И вместо того, чтобы в спешке начать сворачивать свое вредоносное ПО, они установили очень редкий зловред китайского происхождения, следы которого вели к серверам в Пекине, что не имело никакого отношения к Turla. Пока аналитики распутывали этот ложный след, атакующие незаметно удалили свои программы и стерли все следы присутствия в системе.
- Цели и жертвы
Иногда чтобы понять, кто стоит за атакой, помогает анализ ее жертв и целей. И злоумышленники прекрасно об этом знают. Именно поэтому они могут работать под ложным флагом, прикрываясь именем какой-либо хакерской группировки, необязательно даже существующей. Так, в атаках на Sony Pictures Entertainment в 2014 году группа Lazarus пыталась выдать себя за Guardians of Peace. А организаторы атак Sofacy делали все, чтобы их деятельность приписывали сразу нескольким хактивистам. Наконец, до сих пор еще не до конца изученная группировка TigerMilk подписывала свои бэкдоры тем же украденным сертификатом, которым ранее пользовались организаторы атак Stuxnet.
«Выяснение происхождения атаки – сложная задача, результаты которой всегда ненадежны и субъективны. А поскольку злоумышленники старательно манипулируют индикаторами атак и заметают следы, то о каких-либо конкретных выводах в плане атрибуции угрозы, на наш взгляд, говорить невозможно. Однако это обстоятельство вовсе не снижает ценность расследований кибератак – рядовые пользователи и специалисты по информационной безопасности должны знать, где и с какими именно угрозами они могут столкнуться и каковы будут их последствия. А мы, в свою очередь, должны предложить им надежную защиту. И в данном случае, чем больше мы знаем о методах и целях атакующих, тем лучше мы будем распознавать и предотвращать угрозы», – отметил Брайан Бартоломью, антивирусный эксперт «Лаборатории Касперского».
С полным отчетом аналитиков «Лаборатории Касперского» можно ознакомиться здесь (PDF).
Фото: Depositphotos
