Concluziile unei lucrări prezentate la Virus Bulletin de cercetătorii Kaspersky Lab Brian Bartholomew și Juan-Andres Guerrero-Sade sunt că atacatorii care au o țintă predefinită încep să folosească o serie de tehnici de diversiune pentru a fi mai greu de identificat, plasând indicii false privind momentul în care acționează, limba vorbită sau programul malware și desfășurându-și activitatea sub acoperirea unor grupuri inexistente, scrie agora.ro.
Identitatea grupului aflat în spatele unui atac cu țintă predefinită este întrebarea la care toată lumea își dorește să primească răspuns, în ciuda faptului că este dificil, dacă nu chiar imposibil, de stabilit cu exactitate autorii. Pentru a demonstra complexitatea tot mai mare și greutatea atribuirii atacurilor în contextul actualelor amenințări, doi experți Kaspersky Lab au publicat o lucrare în care dezvăluie cum grupările avansate de atacatori folosesc indicii false pentru a induce în eroare victimele și cercetătorii din domeniul securității.
Indiciile cel mai des folosite de cercetători pentru a sugera sursa atacurilor, împreună cu ilustrarea modului în care anumite grupuri de atacatori le-au folosit, includ: indicii temporale, de limbaj, infrastructura și conexiunile backend, diverse instrumente: malware, cod, parole, exploit-uri; și victemele vizate, scrie hotnews.ro.
Indicii temporale
Fisierele malware includ o marca temporala care indica momentul in care au fost realizate. Daca sunt stranse suficiente mostre, se pot determina orele in care dezvoltatorii au lucrat la ele, ceea ce indica un anumit interval de timp in care si-au desfasurat operatiunile. Astfel de marcaje sunt insa foarte usor de modificat.
Indicii de limbaj
Fisierele malware includ, adesea, indicii despre autorii din spatele codului. Cel mai evident este acela privind limba sau limbile vorbite si nivelul de cunoastere a acestora. Alte elemente pot dezvalui, de asemenea, un nume de utilizator, precum si conventiile interne de a denumi proiecte sau campanii. In plus, documentele phishing pot contine metadate care pot salva, involuntar, informatii care sa duca la computerul real al unui autor.
Gruparile de atacatori pot manipula, insa, cu usurinta indiciile de limbaj pentru a induce in eroare cercetatorii.
Infrastructura si conexiunile backend
Identificarea serverelor reale de comanda si control (C&C) folosite de raufacatori este similara cu gasirea adresei lor de acasa. Infrastructura C&C poate fi costisitoare si dificil de intretinut, astfel ca pana si atacatorii cu multe reurse au tendinta de a refolosi infrastructura C&C sau pe cea pentru atacuri de phishing. Conexiunile backend pot ajuta la creionarea unei imagini a atacatorilor daca nu reusesc sa anonimizeze corespunzator conexiunile la Internet, atunci cand recupereaza datele dintr-un server de extragere sau de e-mail, pregatesc un server de teste sau de phishing sau verifica un server compromis.
Instrumente: malware, cod, parole, exploit-uri
Desi unele grupuri de atacatori se bazeaza acum pe instrumente diponibile public, multe prefera inca sa-si contruiasca propriile backdoor-uri personalizate si exploit-uri si le pazesc atent. Aparitia unei anumite familii malware ii poate ajuta, prin urmare, pe cercetatori sa ajunga la un grup de atacatori.
Victimele vizate
Tintele atacatorilor sunt o alta “poveste” potential interesanta, dar stabilirea unei legaturi exacte necesita o interpretare abila si o analiza atenta.
Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…
Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…
La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…
Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…
Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…
Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…