De ce atribuirea atacurilor cibernetice este un puzzle căruia uneori îi lipseşte mai mult de o piesă

01 iul. Companii
COSTIN RAIU, Directorul Echipei Globale de Cercetare şi Analiză Kaspersky
De ce atribuirea atacurilor cibernetice este un puzzle căruia uneori îi lipseşte mai mult de o piesă

Meseria de cercetător în securitate cibernetică este atât de palpitantă pentru că are câte puţin din toate: programator, matematician, criminalist, istoric, arheolog şi, uneori, psiholog. Cea mai frumoasă parte - şi cea care ridică cele mai multe provocări este investigarea atacurilor APT - cele mai complexe, mai persistente şi mai ascunse atacuri.

Când ne confruntăm cu un astfel de atac - şi noi facem asta de peste 20 de ani, aşa că avem o experienţă bogată şi diversă - sunt trei întrebări principale pe care ni le punem: "ce s-a întâmplat?", "putem găsi o rezolvare?" şi cea mai intrigantă întrebare dintre toate: "cine este autorul?". Răspunsul la ultima întrebare reprezintă ceea ce numim "atribuire", iar uneori este ca şi cum ai căuta acul în carul cu fân - şi nu într-unul obişnuit, ci un car plin cu capcane puse de atacatori pentru a-i deturna pe cercetători de la drumul cel bun.

Să începem, însă, cu începutul. În GReAT (Global Research and Analysis Team) - ca şi în alte echipe de cercetare din industria de securitate IT - ne bazăm pe indicii, atunci când avem de-a face cu atacuri APT ale căror origini încercăm să le identificăm. Aceste indicii sunt erori operaţionale pe care le fac atacatorii atunci când îşi pun planurile în acţiune.

Se spune că nu există crimă perfectă şi acest lucru este valabil şi pentru infracţiunile cibernetice. Oricât de tare ar încerca atacatorii să nu lase nicio urmă, unele lucruri sunt inevitabile: uită anumite cuvinte cheie în cod, copiază fragmente de cod din alte operaţiuni sau îşi folosesc contul personal în atacuri. Pentru a ne face sarcina mai dificilă, unele nu sunt indicii reale, ci capcane plantate special pentru a induce investigatorii în eroare: cuvinte într-o altă limbă decât cea a atacatorilor sau utilizarea de cod din alte campanii, cu intenţia de a arăta cu degetul spre alte grupări APT. Însă, a pretinde că ai o altă limbă maternă poate duce la greşeli - un cuvânt care nu este scris corect oferă un indiciu valoros, în locul celui fals, aşa cum era intenţia.

Unul dintre cele mai complexe indicii false cu care am avut de-a face vreodată a fost în cazul Olympic Destroyer - infractorii au falsificat un element care este foarte greu de falsificat şi chiar mai greu de dovedit: e aproape ca şi cum ar fi fost furat ADN-ul cuiva şi lăsat la locul crimei de adevăratul făptaş. Cu toate acestea, am reuşit să demonstrăm că artefactul nu era autentic - cu alte cuvinte, era un indiciu fals.

Oricât de mult s-ar strădui, atacatorii cibernetici sunt oameni şi nu pot falsifica orice. De obicei, graficele cu fluxurile de lucru - la ce oră încep, când iau o pauză, câte ore pe zi muncesc - oferă informaţii valoroase. Analizând cu atenţie indiciile disponibile - de obicei cele de limbă şi intervalele orare, putem afirma că un grup APT este vorbitor de limbă chineză/rusă/coreeană/engleză şi aşa mai departe.

Considerăm că responsabilitatea noastră este să răspundem la primele două întrebări şi să lăsăm atribuirea exactă organismelor de aplicare a legii, care au o perspectivă mai largă decât companiile private. De asemenea, credem că este esenţială cooperarea dintre autorităţi şi jucătorii din securitatea cibernetică pentru ca mai mulţi atacatori să fie aduşi în faţa justiţiei. De aceea, susţinem iniţiative care promovează transparenţa şi încrederea în acest domeniu, Apelul de la Paris pentru încredere şi securitate în spaţiul cibernetic fiind un pas important în această direcţie.

Cooperarea este cu atât mai importantă în prezent, când spaţiul virtual devine mai periculos ca oricând, pentru că războiul cibernetic nu cunoaşte reguli sau graniţe. Cred că armele cibernetice vor juca un rol din ce în ce mai important în capacitatea ofensivă a unui stat, iar atacurile viitoare vor viza din ce în ce mai mult infrastructura critică - am văzut deja astfel de exemple în Ucraina, Arabia Saudită sau Venezuela.

Având o privire de ansamblu asupra complexităţii atacurilor cibernetice şi a evoluţiei continue a numărului lor se poate vedea cu uşurinţă de ce atacatorii rămân necunoscuţi în majoritatea cazurilor şi doar o mică parte dintre atacuri pot fi atribuite. Dacă investigarea atacurilor cibernetice ar fi un puzzle, atunci înţelegerea a ceea ce s-a întâmplat ar completa primul nivel al puzzle-ului, iar rezolvarea lui - cu o cheie de decriptare, de exemplu - ar fi al doilea nivel. În sfârşit, legarea unui atac de o grupare aproape că ar completa puzzle-ul - cu nume de grupări APT ca Equation, Desert Falcons sau Lazarus. Cazul rar şi norocos când puzzle-ul este complet ar fi acela când investigatorii cibernetici şi organismele de aplicare a legii colaborează, pentru a reuşi să prindă, efectiv, atacatorii - CoinVault, de exemplu.

Un lucru e cert: misiunea noastră este de a pune laolaltă cât mai multe piese din puzzle, dar doar cooperarea dintre companiile de securitate cibernetică şi autorităţi îl pot completa, ori de câte ori este posibil.

Opinia cititorului

Articole din aceeaşi secţiune

Companii

ETURIA:Cererile pentru vacanţele de iarnă au crescut cu 15% faţă de anul trecut
21 aug.


CUSHMAN & WAKEFIELD ECHINOX:2019 - posibil an record pentru piaţa de birouri din Capitală
21 aug. M.A.


Google, noi probleme cu confidenţialitatea datelor
21 aug.


DE LA 35,12 MILIOANE LEI LA 188,98 MILIOANE LEICE Oltenia şi-a crescut profitul brut de 5 ori, în primul semestru
21 aug. E.O.


ÎN PRIMELE ŞAPTE LUNI DIN 2019Piaţa auto de la noi a crescut cu 9,5%
21 aug. E.O.


STUDIUL REPATRIOT:Jumătate dintre românii din diaspora vor să se întoarcă acasă
21 aug. Melania Agiu


PRIMUL TRIMESTRU 2019Profitul brut al Complexului Energetic Oltenia a crescut de peste cinci ori
20 aug. I.I.


Google a închis un serviciu oferit operatorilor wireless la nivel global
20 aug. T.T.


SUA extinde permisiunea ca Huawei să cumpere componente de la companii americane
20 aug. T.T.


Amenzi consistente pe litoral pentru vânzarea şi depozitarea produselor alimentare
20 aug.





<<
Back
Accesează
versiunea desktop

Copyright MetaRing © 2003-2019.
Toate drepturile rezervate.

Legea copyright-ului şi tratatele internaţionale protejează acest site. Nimic din acest site ori din site-urile afiliate nu poate fi reprodus sub nici o formă şi în nici un fel fără permisiunea în prealabil scrisă de la Grupul de Presă BURSA.