HomeStiriSecuritate ITHackerii plasează indicii false pentru a înșela victimele și echipele de securitate cibernetică
hackerii-plaseaza-indicii-false-pentru-a-insela-victimele-si-echipele-de-securitate-cibernetica

Hackerii plasează indicii false pentru a înșela victimele și echipele de securitate cibernetică

hackerii-plaseaza-indicii-false-pentru-a-insela-victimele-si-echipele-de-securitate-ciberneticaAtacatorii care au o țintă predefinită încep să folosească o serie de tehnici de diversiune pentru a fi mai greu de identificat, plasând diverse indicii false.

Concluziile unei lucrări prezentate la Virus Bulletin de cercetătorii Kaspersky Lab Brian Bartholomew și Juan-Andres Guerrero-Sade sunt  că atacatorii care au o țintă predefinită încep să folosească o serie de tehnici de diversiune pentru a fi mai greu de identificat, plasând indicii false privind momentul în care acționează, limba vorbită sau programul malware și desfășurându-și activitatea sub acoperirea unor grupuri inexistente, scrie agora.ro

Identitatea grupului aflat în spatele unui atac cu țintă predefinită este întrebarea la care toată lumea își dorește să primească răspuns, în ciuda faptului că este dificil, dacă nu chiar imposibil, de stabilit cu exactitate autorii. Pentru a demonstra complexitatea tot mai mare și greutatea atribuirii atacurilor în contextul actualelor amenințări, doi experți Kaspersky Lab au publicat o lucrare în care dezvăluie cum grupările avansate de atacatori folosesc indicii false pentru a induce în eroare victimele și cercetătorii din domeniul securității.

Indiciile cel mai des folosite de cercetători pentru a sugera sursa atacurilor, împreună cu ilustrarea modului în care anumite grupuri de atacatori le-au folosit, includ: indicii temporale, de limbaj, infrastructura și conexiunile backend, diverse instrumente: malware, cod, parole, exploit-uri; și victemele vizate, scrie hotnews.ro.

Indicii temporale

Fisierele malware includ o marca temporala care indica momentul in care au fost realizate. Daca sunt stranse suficiente mostre, se pot determina orele in care dezvoltatorii au lucrat la ele, ceea ce indica un anumit interval de timp in care si-au desfasurat operatiunile. Astfel de marcaje sunt insa foarte usor de modificat.

Indicii de limbaj

Fisierele malware includ, adesea, indicii despre autorii din spatele codului. Cel mai evident este acela privind limba sau limbile vorbite si nivelul de cunoastere a acestora. Alte elemente pot dezvalui, de asemenea, un nume de utilizator, precum si conventiile interne de a denumi proiecte sau campanii. In plus, documentele phishing pot contine metadate care pot salva, involuntar, informatii care sa duca la computerul real al unui autor.

Gruparile de atacatori pot manipula, insa, cu usurinta indiciile de limbaj pentru a induce in eroare cercetatorii.

Infrastructura si conexiunile backend

Identificarea serverelor reale de comanda si control (C&C) folosite de raufacatori este similara cu gasirea adresei lor de acasa. Infrastructura C&C poate fi costisitoare si dificil de intretinut, astfel ca pana si atacatorii cu multe reurse au tendinta de a refolosi infrastructura C&C sau pe cea pentru atacuri de phishing. Conexiunile backend pot ajuta la creionarea unei imagini a atacatorilor daca nu reusesc sa anonimizeze corespunzator conexiunile la Internet, atunci cand recupereaza datele dintr-un server de extragere sau de e-mail, pregatesc un server de teste sau de phishing sau verifica un server compromis.

Instrumente: malware, cod, parole, exploit-uri

Desi unele grupuri de atacatori se bazeaza acum pe instrumente diponibile public, multe prefera inca sa-si contruiasca propriile backdoor-uri personalizate si exploit-uri si le pazesc atent. Aparitia unei anumite familii malware ii poate ajuta, prin urmare, pe cercetatori sa ajunga la un grup de atacatori.

Victimele vizate

Tintele atacatorilor sunt o alta “poveste” potential interesanta, dar stabilirea unei legaturi exacte necesita o interpretare abila si o analiza atenta.

 

 

 

Share With: