Prisidengę netikra vėliava: kaip kibernetiniai nusikaltėliai bando apgauti analitikus

Tikslinių išpuolių organizatoriai vis dažniau taiko įvairias apgavystės technikas, kad suklaidintų analitikus. Sukčiai neretai palieka netikras laiko ir kalbos žymes, naudoja specifinę kenkėjišką programinę įrangą ir prisidengia netikra, kartais net neegzistuojančia programišių grupuočių vėliava. Apie tai „Kaspersky Lab“ ekspertai papasakojo forume „Virus Bulletin“, kuris vyko JAV, Denveryje, spalio 5–7 d.

Atpažinti tikslinius ir APT išpuolius vykdančias grupuotes svarbu ir grėsmių tyrėjams, ir nuo šių išpuolių nukenčiančioms aukoms. Tačiau išsiaiškinti, kas iš tiesų yra sukčiai, gana sunku, kartais net neįmanoma. Tai priklauso ir nuo pačių puolančiųjų, kruopščiai slepiančių savo pėdsakus. Kaip jie tai daro, „Kaspersky Lab“ aiškina pasitelkdami kai kurių išpuolių pavyzdžius.

  • Laiko žymės

Kenkėjiška programinė įranga turi laiko žymes, rodančias, kada buvo sukurtas kodas. Šių duomenų analizė padeda apskaičiuoti sukčių darbo laiką ir nustatyti laiko juostą, kurioje jie dirba. Tačiau šio metodo negalima laikyti patikimu, nes laiko žymes lengva pakeisti ir padirbti.

  • Kalbos žymės

Kenkėjiškuose failuose būna tam tikra kalba ar kalbomis parašytų eilučių. Taip pat juose gali būti naudotojų vardų, operacijų ir vidinių kampanijų pavadinimų. Atrodytų, konkrečios kalbos buvimo faktas leidžia daryti tam tikras išvadas. Tačiau niekas netrukdo sukčiams manipuliuoti šiais įrodymais ir klaidinti tyrėjus. Pavyzdžiui, išpuoliuose „Cloud Atlas“ taikomoje kenkėjiškoje programinėje įrangoje buvo eilučių arabų kalba („BlackBerry“ skirtoje versijoje) ir hindi (skirtai „Android“). Analitikai linkę manyti, kad grupuotė yra Rytų Europos kilmės.

  • Infrastruktūra ir serveriai

Rasti sukčių komandinį kontrolės serverį – lyg sužinoti jų namų adresą. Tai galima padaryti, pavyzdžiui, jeigu puolantieji ėmėsi nepakankamų veiksmų, kad paslėptų interneto sujungimus, siųsdami duomenis į serverį arba iš jo gaudami komandas. Tačiau šias „klaidas“ sukčiai daro tyčia – analitikams suklaidinti toje pačioje operacijoje „Cloud Atlas“ buvo naudojami Pietų Korėjos IP adresai.

  • Instrumentai: kenkėjiška programinė įranga, kodai, slaptažodžiai, eksploitai

Nors vis daugiau APT grupuočių naudoja jau parengtą kenkėjišką programinę įrangą, nemažai sukčių linkę kurti savo instrumentus: virusus, sekimo programas, eksploitus ir t. t. Todėl atsirandančios naujos virusų šeimos leidžia tyrėjams pastebėti naujus žaidėjus tikslinių išpuolių lauke. Tačiau ir šią situaciją puolantieji gali naudoti kaip priedangą. Operacijos „Turla“ metu sukčiai įvarė save į kampą užkrėstos sistemos viduje. Ir, užuot paskubomis sunaikinę kenkėjišką programinę įrangą, įdiegė labai retą kinų kilmės virusą, kurio ryšiai vedė prie serverių Pekine, o tai neturėjo nieko bendro su „Turla“. Kol analitikai nagrinėjo šiuos netikrus pėdsakus, puolantieji nepastebimai pašalino savo programas ir ištrynė visus buvimo sistemoje pėdsakus.

  • Tikslai ir aukos

Kartais suprasti, kad vykdo išpuolius, padeda aukų ir tikslų analizė. Ir sukčiai puikiai tai žino. Būtent todėl jie gali dirbti po netikra vėliava, prisidengę kurios nors programišių grupuotės, nebūtinai egzistuojančios, vardu. Išpuoliuose prieš „Sony Pictures Entertainment“ 2014 m. grupė „Lazarus“ bandė prisidengti „Guardians of Peace“ vardu. O „Sofacy “ išpuolių organizatoriai darė viską, kad jų veiksmai būtų pripažinti iš karto kelių grupuočių vykdoma veikla. Galiausiai iki šiol neištirta grupuotė „TigerMilk “ pasirašydavo savo virusus tuo pačiu vogtu sertifikatu, kuriuo anksčiau naudojosi „Stuxnet“ išpuolių organizatoriai.

„Išsiaiškinti išpuolio kilmę – sudėtinga užduotis, kurios rezultatai visada nepatikimi ir subjektyvūs. Kadangi sukčiai kruopščiai manipuliuoja išpuolių indikatoriais ir užmėto pėdsakus, konkrečių išvadų apie grėsmės kilmę, mūsų nuomone, neįmanoma pateikti. Tačiau ši aplinkybė visiškai nesumažina kibernetinių išpuolių tyrimo vertės – paprasti naudotojai ir informacinio saugumo specialistai turi žinoti, kur ir su kokiomis grėsmėmis jie gali susidurti ir kokie bus padariniai. O mes savo ruožtu turime jiems pasiūlyti patikimą apsaugą. Kuo daugiau žinome apie puolančiųjų metodus ir tikslus, tuo greičiau atpažinsime ir sustabdysime grėsmes“, – pažymėjo Bryan Bartolome, „Kaspersky Lab“ antivirusų ekspertas.

Išsamiai apie tai, kokiomis apgavystės technikomis naudojasi tikslinių išpuolių organizatoriai, skaitykite analitinėje ataskaitoje:

https://securelist.com/analysis/publications/76273/wave-your-false-flags.

Apie „Kaspersky Lab“

„Kaspersky Lab“ – pasaulinė kibernetinio saugumo bendrovė, įkurta 1997 m. Bendrovės sukauptos žinios apie grėsmes ir saugumą nuolat paverčiamos saugumo sprendimais ir paslaugomis, siekiant apsaugoti viso pasaulio ypatingos svarbos verslo infrastruktūras, vyriausybes ir naudotojus. Didelį bendrovės saugumo portfelį sudaro pirmaujanti „Endpoint Security“ klasės apsaugos sistema ir daugybė specializuotų apsaugos sprendimų bei paslaugų, skirtų kovoti su sudėtingomis skaitmeninėmis grėsmėmis. Daugiau nei 400 mln. naudotojų ir 270 tūkst. verslo klientų apsaugomi „Kaspersky Lab“ technologijų.


Spalio 18, 2016