Sajber kriminalci koriste lažne napade kako bi zavarali žrtve i bezbednosne istraživače



Saopštenje za medije

Kriminalci koji sprovode ciljane napade koriste veliki broj različitih taktika obmanjivanja kako bi izbegli detekciju, pri čemu postavljaju lažne („false flag“) vremenske oznake, jezičke zamke, malver, a takođe radi i pod okriljem drugih, nepostojećih, grupa. Ovi rezultati prezentovani su na događaju Virus Bulletin, a do njih su došli istraživači kompanije Kaspersky Lab, Brajan Bartolomju (Brian Bartholomew) i Huan Andres Gerero Sade (Juan-Andres Guerrero-Sade).

Identitet grupe koja je iza ciljanog sajber napada je pitanje na koje svako želi da dobije odgovor i uprkos tome što je do tog podatka teško doći, nije nemoguće ustanoviti ko su počinioci. Kako bi demonstrirali sve veću složenost sajber napada, kao i činjenicu da je jako teško otkriti ko stoji iza njih, dva bezbednosna stručnjaka iz kompanije Kaspersky Lab objavila su dokument koji pokazuje koliko sajber napadača koristi takozvane ,,false flag” napade kako bi zavarali žrtve i bezbednosne istraživače.

Neki od indikatora koje istraživači najčešće koriste kako bi ustanovili odakle dolaze napadi su:

Vremenske oznake

Dokumenti koji su zaraženi malverom nose vremensku oznaku koja ukazuje na to kada su kompromitovani. Ukoliko istraživači sakupe dovoljan broj primera, oni mogu odrediti vreme kada programeri rade, što može ukazati na vremensku zonu kada oni uglavnom sprovode napade. Međutim, ove vremenske oznake je veoma lako menjati.

Jezički markeri

Malver dokumenti često sadrže određene tragove koji mogu otkriti autora malvera. Najočigledniji tragovi su jezik, tj. jezici koji su korišćeni na malver virusu, kao i nivo jezičkog znanja. Ovi jezički tragovi mogu da otkriju ime korisnika kao i interne nazive projekata i kampanja. Takođe, "fišing" dokumenti mogu sadržati meta podatke koji mogu nenamerno sačuvati bitne informacije koje odaju informacije o autorovom računaru.

Međutim, sajber napadači mogu lako da manipulisati jezičkim markerima kako bi zbunili istraživače. Tragovi jezičke obmane koji su detektovani u malveru koji je koristila grupa Cloud Atlas sadržali su arapske karaktere u verziji za Blackberry uređaje, hindi karaktere u verziji za Android uređaje, i reči ,,JohnClerk” u verziji za iOS uređaje, iako mnogi sumnjaju da je grupa povezana sa istočnoevropskom mrežom. Malveri koje je koristila grupa Wild Neutron uključivali su jezičke markere na rumunskom i ruskom jeziku.

Infrakstruktura i pozadinske veze

Pronalaženje komandnih i kontrolnih (C&C) servera koje koriste kriminalci je slično nalaženju njihove kućne adrese. C&C infrastruktura može biti skupa i komplikovana za održavanje, tako da čak i dobro opremljeni napadači imaju tendenciju da ponovo koriste C&C ili ,,fišing” infrastrukturu. Pozadinske veze mogu odati tragove o napadačima ukoliko oni neadekvatno sakriju internet veze kada vraćaju podatke sa mejl servera, pripremaju ,,fišing” server ili se prijavljuju na hakovan server.

Ponekad, takav „neuspeh“ može biti i nameran, pa je tako grupa Cloud Atlas pokušala da zbuni istraživače koristeći IP adrese koje su imale poreklo iz Južne Koreje.

Alati: malver, kod, lozinke, exploit softver

Iako se neki sajber kriminalci oslanjaju na javno dostupne alate, mnogi od njih preferiraju da kreiraju ručno pravljene alate i exploit softvere, i ne žele da ih dele sa drugima. Prisustvo specifične porodice malvera može pomoći istraživačima da pronađu sajber napadače.

Članovi kriminalne grupa Turla odlučili su da iskoriste ovu pretpostavku kada je njihov malver bio opkoljen unutar zaraženog sistema. Umesto da povuku svoj malver, kriminalci su instalirali redak primerak kineskog malvera koji je komunicirao sa infrastrukturom lociranom u Pekingu, koja nema nikakve veze sa grupom Turla. Dok je bezbednosni tim žrtve jurio lažni malver, članovi grupe Turla su neprimetno uklonili sopstveni malver i izbrisali sve tragove iz sistema žrtve.

Označene žrtve

Mete napadača su još jedan način za njihovo otkrivanje, ali uspostavljanje precizne veze zahteva veštu interpretaciju i analizu podataka. U slučaju napada kriminalne grupe Wild Neutron, lista žrtava je bila toliko raznovrsna da je to istraživače dovelo u zabunu.

Neki sajber napadači koriste činjenicu da javnost ima potrebu da stvori povezanost između napadača i njihovih meta, tako što rade pod okriljem drugih (često nepostojećih) hakerskih grupa. Ovo je pokušala grupa Lazarus tako što je prilikom napada na Sony Pictures Entertainment 2014. godine radila pod okriljem hakerske grupe „Guardians of Peace”. Smatra se da je hakerska grupa Sofacy takođe koristila istu taktiku.

Ne treba izostaviti i činjenicu da neki napadači čak pokušavaju da okrive druge sajber kriminalce. Ovo je tkatika koji je koristila grupa TigerMilk, tako što je potpisala svoj backdoor program istim ukradenim sertifikatom koji je prethodno koristila grupa Stuxnet.

„Pripisivanje sajber napada određenim grupama ili pojednicima je komplikovano, nepouzdano i subjektivno, a sajber napadači se trude da manipulišu indikatorima na koje se oslanjaju istraživači, što situaciju čini dodatno zbunjujućom. Mi verujemo da je črsto nemoguće pripisati sajber napad određenoj grupi ili pojedincu. Pored toga, sakupljanje informacija o sajber pretnjama i napadačima ima veliku vrednost i prevazilazi pitanja kao što su „Ko je odgovoran za napad?“. Neophodno je da na globalnom nivou postoji razumevanje i shvatanje informacija koja ukazuju na to koje su glavne pretnje i napadaču u malver ekosistemu, kao i da se obezbede stabilne i aktuelne informacije o sajber pretnjama kompanijama koje žele da poseduju te podatke. Upravo to bi trebalo da bude naš fokus”, izjavio je Brajan Bartolomju (Brian Bartholomew), viši bezbednosni istraživač u kompaniji Kaspersky Lab.




Izvor: benchmark.rs