Kibernetička atribucija je osjetljiva tema, i ne samo zbog potencijalnih političkih posljedica. Čak i kada su stručnjaci za kibernetičku bezbjednost primijetili eksploziju napada malicioznog softvera na Ukrajinu tokom trenutnog sukoba, mnogi se nisu usudili da upiru prstom direktno u rusku državu.
Čak ni maliciozni softver HermeticWiper koji je lansiran 23. februara 2022. godine, dan prije ruske invazije na Ukrajinu, još uvijek nije formalno pripisan.
Za mnoge analitičare obavještajnih podataka o pretnjama, pripisivanje kibernetičkih napada je fundamentalno za odbranu od njih.
Strategirajte i predvidite buduće napade
Prvo, mnogi tvrde da je atribucija vrijedna za trenutnu reakciju žrtve na incident.
„Atribucija je zaista važna jer Vam omogućava da razmislite o tome kako najbolje možete da odredite strategiju i predvidite buduće napade“ rezimirao je Alex Leslie, istraživač obavještajnih podataka o kibernetičkim pretnjama u Recorded Future-u, Infosecurity-evom podcastu iz februara 2023. godine.
Kompanija za kibernetičku bezbjednost Trend Micro objašnjava na blogu da atribucija može pomoći u identifikaciji jesu li žrtve meta ili kolateralna šteta, bolje razumjeti taktike, tehnike i procedure (TTP) koje se koriste tokom napada kako bi se poboljšalo otkrivanje i odgovor, te pomoći odboru da vidi ulaganje i vrijednost u novim sigurnosnim alatima.
Prema Feike Hacquebord-u, starijem istraživaču pretnji u Trend Micro-u, nevoljkost nekih njegovih kolega da razgovaraju o atribuciji potiče od konfuzije između tehničke atribucije, koja se sastoji u identifikaciji skupova aktivnosti pretnji i analiziranju obrazaca, i pravne ili političke atribucije, koja povezuje ove skupove u nacionalne države, i ponekad mogu dovesti do krivičnog gonjenja pojedinaca.
“Kada govorimo o atribuciji u Trend Micro-u, mislimo samo na tehničko pripisivanje, lišeno pravnih ili političkih ciljeva. Primarna uloga timova za obavještavanje o kibernetičkim pretnjama (CTI) je analiza skupova upada, a ne grupa ili ljudi.”
S druge strane, Mandiant, koji je sada dio Google Cloud-a, ne uzdržava se od uključivanja državne pripadnosti u svoj proces atribucije. Međutim, Shanyn Ronis, viši menadžer Mandiant-ovog tima za obavještavanje o pretnjama, rekao je za Infosecurity da je razumijevanje načina na koji protivnik djeluje i mogućnost predviđanja onoga što rade i kako mogu promijeniti svoje TTP s vremenom važnije od razumijevanja ko je na drugoj strani.
„Recimo da ste blokirali napad i sanirali ga ili ga obuzdali, kako garantujete da ćete moći ponovo da ih blokirate ako Vas napadnu na drugačiji način? Najbolji način da to uradite je da steknete određeni stepen znanja” dodao je Ronis.
Unakrsna provjera podataka
Da bi stekli ovo znanje, Jamie Collier, viši savjetnik za obavještajne službe za EMEA u Mandiant-u, objasnio je: CTI analitičari moraju prvo raditi ruku pod ruku s timovima za odgovor na incidente kako bi identifikovali dvije vrste podataka: dokaze na ‘mjestu zločina’ (koji su na meti napada, kojim uređajima su pristupile treće strane, koji dio sistema je zaražen, koji su pokazatelji kompromisa (IOC) itd.) i obavještajne podatke o počiniocima (koji su njihovi TTP-ovi, koje alate koriste, koju infrastrukturu koriste, na koji nivo sofisticiranosti je napad, koja može biti njihova motivacija, itd.).
Drugo, počinju da spajaju “tačke” sa obavještajnim podacima o pretnjama koje imaju.
Prema Feixiang He-u, voditelju istraživanja obavještajnih podataka o protivnicima u Group-IB-u, ovi podaci uključuju:
- Indikatore napada iz prve ruke prikupljene od strane digitalne forenzike i stručnjaka za odgovor na incidente ili upravljana proširenih rešenja (XDR)
- Vlasničku telemetriju
- Tehničke podatke o napadima koje je prijavila i podijelila zajednica kibernetičke bezbjednosti, uključujući izvještaje o pretnjama
- Aktivnosti hakera otkrivene od strane CTI timova, kao što su diskusije na forumima u podzemlju, nezakonite trgovine, regrutovanje i informacije o ličnim preferencijama (političkim, jezičkim, vremenskim zonama,itd.)
- Informacije otvorenog koda
- Finansijske informacije zatvorenog izvora dostupne policiji
“CTI timovi unakrsno provjeravaju podatke iz različitih napada i operacija kako bi otkrili sličnosti i obrasce. Kada se stekne dovoljno znanja za niz slučajeva, timovi CTI-a će organizovati takva otkrića pod određenim profilom, koji će dobiti kodno ime” rekao je.
Ovo kodno ime je napravljeno od kombinovanih identifikacionih elemenata koji se odnose na TTP-ove koje hakeri koriste, njihove motive, njihove mete ili njihovo navodno porijeklo, u zavisnosti od politike dobavljača i konvencija o imenovanju.
Privremene atribucije
Iako svaki dobavljač ima svoj vlastiti proces atribucije, jedna stvar je zajednička svima: mogu potrajati mjesecima, ako ne i godinama, da se identifikuje određena grupa pretnji koja stoji iza napada ili niza kibernetičkih incidenata.
Ovo narušava korist žrtve od pripisivanja, što otežava djelovanje CTI uvida u kratkoročnom odgovoru na incident.
Jedna od zaobilaznih tehnika za prevazilaženje ovog izazova je korištenje privremenih kodova za imenovanje. Mandiant je, na primjer, prvo pripisao ‘Uncategorized’ ili UNC kodno ime grupi hakera. Zatim, kada steknu više saznanja o tome ko stoji iza aktivnosti, mogu preći na “privremeni” kodni naziv TEMP a zatim na davanje određenog identiteta, broja napredne trajne pretnje (APT) za hakera nacionalne države i finansijski broj (FIN) ako su finansijski motivisani.
Na primjer, hakerima pod nazivom UNC902 je tada pripisana TEMP.Warlock, kojeg je Mandiant konačno pratio pod kodnim imenom FIN11.
Igra mačke i miša
Još jedan izazov za analitičare CTI-a je odabir pravog vremena za objavljivanje svojih nalaza i koliko ih podijeliti.
„Loša strana javnih izvještaja o pretnjama je to što hakeri uče tehnike praćenja i provode kontraobavještajne aktivnosti mijenjajući svoje taktike, skup alata i infrastrukturu. Neki od njih mogu biti vrlo brzi u prilagođavanju i popravljanju grešaka” rekao je He iz Group-IB.
Za Mandiant’s Collier, hakeri ionako to sve više rade, bez obzira na izvještaje o pretnjama.
Chris Morgan, viši analitičar obavještajne službe za kibernetičke pretnje u ReliaQuest-u, rekao je za Infosecurity: “Zato što su kibernetički ikriminalci mnogo drskiji u pogledu onoga što su radili i šta žele, a grupe nacionalnih država su mnogo prikrivenije, bilo je teže pripisati da su nacionalno sponzorisani kibernetički napadi nego finansijski motivisani”.
Međutim, ovaj krajolik pretnji se sada dosta promijenio, tvrdi Collier: „Najveća promjena u kibernetičkoj atribuciji bila je pojava grupa ransomware-a. Sada je to mnogo fluidniji kriminalni ekosistem, sa grupama koje se spajaju i raspuštaju, a pretnje dolaze i odlaze.”
On se složio i dodao da poslovni model kibernetičkog kriminala kao usluge koji su grupe za ransomware uvele i usavršile tokom godina znači da je “digitalni kriminal ovih dana međusobno jako povezan”.
Osim toga, čini se da konfuzija koju su grupe ransomware-a uspjele da izazovu utiču na hakere iz nacionalne pozadine, koji su sada “skloni oponašanju ponašanja jedni drugih kako bi zbacili CTI istraživače s traga” rekao je on.
“Na primjer, Lazarus, za koji se vjeruje da potiče iz Sjeverne Koreje, dodao je specifične simbole za otklanjanje grešaka i nizove koji sadrže ruske riječi u modul dizajniran za proksi mrežni promet.”
Kao rezultat toga, atribucija je postala dugotrajnija, ali i brže ističe. To znači da i korisnici obavještajnih podataka o pretnjama moraju biti opsluživani mnogo brže. Zato sada težimo da preskočimo “privremeni” korak i skočimo direktno sa UNC na konačnu identifikaciju” primijetio je Collier.
Povećano preklapanje između hakera s različitim motivacijama, ubrzano ratom u Ukrajini, moglo bi potencijalno uticati na promjenu načina na koji se pripisuju kibernetički incidenti.
Izvor: Infosecurity Magazine
