Отслеживание хакеров и привязка к стране

science_power — 16.03.2021 Проблема привязки взлома к определенной группе или стране весьма непроста.

Одни обвиняют Россию во взломе, или Северную Корею, или Иран. Пост не направлен на доказательство виновности какой-либо страны, просто обзор методов, описанных в открытых источниках. Понятно, что у серьезных организаций могут быть и другие методы, которые они не раскрывают.

Базовый список тут

- Анализ тактики, техники и процедур атаки.
- Профиль цели.
- Инфраструктура и платформы, использованные для атаки.
- Артефакты, оставленные после атаки.
- Экземпляры вредного софта, выявленные при обнаружении атаки.

Я бы добавил также активное противодействие в виде

- Закладок типа honeypot с "интересными" документами или дезинформацией.
- Отслеживание, где всплывет украденное.
- Программирования раутеров с более детального отслеживания пакетов.
- Оценка трудоемкости организации атаки.
- Доклады своих агентов с территории противника.
- Активный взлом противника с целью получения персональных данных.

Анализ тактики, техники и процедур атаки
Каким образом пытались взломать. Например, фишинг (phishing) с ссылками на хакнутые картинки или PDF или DOC, использующие известные дырки в софте. Ссылки иногда указывают на те же сервера, что и в предыдущих атаках, что наводит на мысль, что атаку проводит та же группа. Пишут, что российские отчего-то любят в URL вставлять sharepoint и soros.

Можно провести анализ текста фишинга. Он часто содержит специфичные опечатки. Если характер текста похож на предыдущие варианты, то можно предположить тот же источник.

Известно, что русские допускают специфические ошибки, когда пишут по-английски. Каждая национальность, скорее всего, имеет специфический набор ошибок перевода.

Например, ошибка использования will в компании с if или when (не говорят "if you will do it"). В английском не смешивают разные времена в одном предложении. Расстановка запятых тоже характерна для носителя языка. Например, в английском их куда меньше, чем в русском и русские имеют тенденцию ставить их там, где они ставятся в русском языке. Написание дат и времени. Десятичные разделители дробной части. Указание знака доллара после суммы (100$), а не до, как принято в США ($100). Использование colour выдает британца, а color - американца.

Профиль цели
Характер цели дает некоторую информацию о том, кто атакует. Государственного российского хакера вряд ли интересуют деньги. Скорее, государственные организации и документы.

А вот Северная Корея нуждается в валюте. Есть предположение, что она активно охотится за криптой посредством фишинга.

Инфраструктура и платформы, использованные для атаки, тип софта
Любая серьезная организация, занимающаяся софтом, рано или поздно накапливает большой объем библиотечного кода, который используется повторно. Например, вы вряд ли встретите много кода на Java от Microsoft или на платформе .NET от Adobe или Apple.

Понятно, что происходит обмен среди открытых источников, и иранский хакер может вполне использовать софт русской разработки, НО - у серьезных людей наверняка есть много собственного, закрытого софта, которым не меняются (вспомним GrayKey). Поиск характерных шаблонов и кода подпрограмм может привязать разные атаки к одной и той же группе.

Аналогично анализу текста фишинга, можно покопаться в ресурсах софта (строчках в бинарке). Они необязательно будут по-русски, но тоже могут содержать характерные ошибки в английском. Например, текст от Anna-senpai, автор Mirai Worm - исходник тут)

указывает, что автор не владеет английским с рождения.

Артефакты
Различные интересные данные анализа выставленной "добычи". Например, в одном случае компилятор записал в программу-взломщик локаль оси, и она оказалась корейской. Можно, конечно, сказать, что Северную Корею подставили, но тем не менее, интересный факт.

Анализ архивов демократической партии, выложенных Guccifer, дает занятные результаты. Структура архивов и даже разбор меток времени файлов показывают что и как копировалось и даже с какой скоростью. Тип архивов показателен - RAR значительно популярнее в Восточной Европе, чем на Западе.

Метадата документов.
Сохранение из Ворда прописывает имя компьютера, и в выложенных документах встречался таковой с именем "Феликс Эдмундович". Экспорт в PDF вписывает данные по локали, например, что поставлено в качестве десятичного разделителя, формат даты и времени, тип экранного шрифта. Они достаточно специфичны для регионов и стран. Метадаты Офиса на Маке отличаются от такового на Windows.

Трудоемкость атаки
По оценкам Microsoft, для подготовки атаки на SolarWinds потребовались сотни инженеров. Вряд ли себе такое может позволись простая группа хакеров.

Отслеживание, где всплывет украденное
В документы, специально положенные как honeypot, можно вставить специфические опечатки или выражения, и потом, когда всплывет или будет выставлено на продажу, связать продавца с атакой и данными.

Модификация раутеров
Метод упоминается тут. Статья довольно старая, но тем не менее, интересная. Предлагается модифицировать софт раутеров, чтобы они могли добавлять дополнительную идентификацию пакетов, облегчая трассировку источника атаки.

В общем, методов много, этот список наверняка не полный и не покрывает и малой части. Но смысл в том, что просто спрятаться за VPN или зомби-машину недостаточно. И восстанавливать личный адрес и паспортные данные хакера тоже необязательно. Привязать к стране в принципе возможно - данные хотя и могут быть "совпадением", но когда совпадений уж слишком много...

Оставить комментарий

Популярные посты:

• Ранее
• Архив