גוברת מיומנות של תוקפי סייבר בשימוש בטקטיקות הטעיה - False Flags
מאת:
מערכת Telecom News, 6.10.16, 17:26
דו"ח חושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה ולטשטש את מקור ההתקפה.
זהות הקבוצה, שעומדת מאחורי מתקפת סייבר ממוקדת, היא אחת השאלות המרכזיות, שכולם רוצים לענות עליה, למרות העובדה, שקשה, אם לא בלתי אפשרי, להצביע במדויק על הגורם היוזם. כדי להציג את המורכבות הגוברת וחוסר הוודאות, שבניסיון לבצע ייחוס של מתקפות במסגרת מודיעין האיומים, פרסמו
בריאן ברת'ולומיו ו
חואן אנדרס גאוררו-סייד, חוקרי מעבדת קספרסקי, דו"ח, שחושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה.
להלן המאפיינים המרכזיים, שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, והסבר כיצד מספר שחקני איום בלתי מוכרים מבצעים בהם מניפולציות:
חותמות זמן - Timestamps
קבצי קוד זדוני מכילים חותמות זמן המתעדות את הזמן בו נסגרו הקבצים. אם נאספות מספיק דוגמיות כאלו, ניתן לקבוע את שעות העבודה של המפתחים, והדבר יכול להצביע על אזור הזמן הכללי של הפעילות שלהם. עם זאת, חותמות זמן כאלו קל מאוד לשנות ולהשתיל חותמות זמן מזויפות.
סימני שפה
קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל-
Debug ואלה יכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה או השפות, שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה של
Debug יכולות לחשוף שמות משתמש וכן שיטות למתן שמות פנימיים של קמפיינים או פרויקטים. בנוסף, מסמכי פישינג עלולים לשאת מטה-דאטה, שיכול בטעות לשמור פרטים המצביעים על המחשב האמיתי של הכותב.
עם זאת, השחקנים בתחום יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים. סממני שפה מטעים בקוד הזדוני של
Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלאקברי, סימנים בהודית בגרסת האנדרואיד ואת המילים
johnClerk בכתובת ההפניה לפרויקט בגרסת ה-
. iOS זאת, בעוד שרבים חושדים, שהקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני, ששימש את השחקן
Wild Neutron, כולל מחרוזות שפה גם ברומנית וגם ברוסית.
תשתית וקישורים לשרתי השליטה
מציאת שרתי הפיקוד והשליטה, שמשמשים את התוקפים, דומה למציאת כתובת הבית שלהם. תשתית פיקוד ושליטה יכולה להיות יקרה וקשה לתחזוקה. כך, שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, במידה והם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם כאשר הם מחלצים מידע ממחשב נגוע או שרת דואר, או כאשר הם מכינים את הבמה לשרת פישינג או מבצעים כניסה לשרת פרוץ.
עם זאת, לעיתים "כשל" כזה הוא מכוון: תוקפי
Cloud Atlas ניסו לבלבל את החוקרים באמצעות שימוש בכתובות
IP, שמקורן בדרום קוריאה.
ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה
למרות שחלק מהשחקנים מסתמכים כעת על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות, והם שומרים עליהם בקנאות. לכן ההופעה של משפחה מסוימת של קוד זדוני יכולה לגרום לחוקרים להתביית על שחקן מסוים.
הגורם, שמאחורי
,Turla החליט לנצל את ההשערה הזו כאשר הוא מצא את עצמו מכותר בתוך מערכת נגועה. במקום למשוך את הקוד הזדוני שלו, הוא התקין קוד זדוני סיני נדיר, שיצר קשר עם תשתית הממוקמת בבייג'ין, תשתית, שאינה קשורה כלל ל-
Turla. בעוד צוות התגובה של הקורבן רדף אחר קוד הפתיון הזדוני,
Turla הסירו בשקט את הקוד הזדוני שלהם ומחקו כל זכר ממנו במערכות הקורבן.
קורבנות המטרה
זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של
Wild Neutron, לדוגמא, רשימת הקורבנות הייתה כה מגוונת, שהיא רק הקשתה על ייחוס.
יותר מכך, חלק מגורמי האיום מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם כשהם פועלים במסווה של קבוצות האקטיביסטים. זה מה ש-
Lazarus group ניסתה לעשות באמצעות הצגתה כ"מגני השלום" כאשר תקפה את סוני ב-2014. רבים מאמינים, ששחקן האיום הידוע כ-
Sofacy השתמש בטקטיקה דומה, כשהוא מתחזה למספר קבוצות האקטיביסטים.
לסיום, אך לא פחות חשוב, לעיתים תוקפים ינסו להטיל את האשמה על שחקן אחר. גישה זו אומצה ע"י השחקן, שעדיין לא זוהה,
TigerMilk, שחתם את הדלת האחורית, שיצר באמצעות אותה תעודה גנובה, ששימשה את סטוקסנט.
בריאן ברת'ולומיו: "ייחוס של התקפות ממוקדות לתוקף הוא דבר מורכב, לא אמין וסובייקטיבי, והשחקנים בתחום מגבירים את הטיפול במאפיינים, שהחוקרים מסתמכים עליהם, ובכך מטשטשים אף יותר את העקבות. אנו מאמינים, שלעיתים קרובות ייחוס מדויק הוא כמעט בלתי אפשרי. אך למודיעין איומים יש ערך עמוק ומדיד הרבה מעבר לשאלה 'מי עשה את זה?' קיים צורך להבין מי הם טורפי העל במערכת הגלובלית של הקוד הזדוני".
מידע נוסף אודות
False Flags ניתן לקרוא -
כאן.