FireEye®, opublikowała raport „Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks (Cyfrowe wskazówki: siedem śladów umożliwiających identyfikację sprawców cyberataków)”. Raport zawiera szczegółowe informacje na temat cech charakterystycznych najpopularniejszych ataków, które mogą pomóc specjalistom ds. zabezpieczeń zidentyfikować czynniki zagrożenia i skuteczniej bronić organizacje przed przyszłymi cyberatakami.

Analiza prawie 1,5 tysiąca prób ataków, przedstawia następujące dane o szkodliwym oprogramowaniu, które mogą pomóc w zidentyfikowaniu cyberprzestęcy:

· Układ klawiatury – dane o wyborze rodzaju klawiatury przez atakującego, zależne od języka i regionu, są ukryte w wiadomości typu phishing.

· Metadane złośliwego oprogramowania – kod źródłowy malware’u zawiera techniczne szczegóły co do języka używanego przez hakera, jego lokalizacji, co pozwala na powiązanie z innymi atakami.

· Osadzone czcionki – wykorzystane w mailu typu phishing wskazują na źródło ataku, nawet jeżeli wybrane czcionki nie są normalnie wykorzystywane w rodzimym języku hakera.

· Rejestracja DNS – domeny wykorzystywane podczas ataku wskazują lokalizację hakera. Zduplikowanie informacji rejestracyjnych może pomóc w powiązaniu wielu domen , które wykorzystuje cyberprzestępca.

· Język – cechy charakterystyczne języka, osadzone w złośliwym oprogramowaniu często wskazują na kraj pochodzenia hakera. Ponadto, również popełniane błędy językowe w wiadomości typu phishing, przy pomocy inżynierii odwrotnej, mogą pozwolić na określenie języka rodzimego hakera.

· Zdalna konfiguracja narzędzi administracyjnych – popularne narzędzia do tworzenia złośliwego oprogramowania, w tym szereg opcji konfiguracyjnych, które są bardzo często typowe dla atakującego pozwalają na powiązanie różnorodnych ataków z hakerem, który je tworzy.

· Zachowanie – modele zachowań takie jak metody i cele zdradzają sposób i motywy działania cyberprzestępcy. Poprzez badanie tych obszarów, eksperci ds. bezpieczeństwa mogą zrobić duży krok w kierunku identyfikacji hakerów i poprawić zabezpieczenia organizacji przed kolejnymi atakami cybernetycznymi.

W raporcie opisano również taktykę ataku stosowaną przez chińską grupę militarną o nazwie „Comment Crew”, która wcześniej była łączona z precyzyjnymi atakami wymierzonymi w rząd Stanów Zjednoczonych.

„We współczesnym świecie cyberzagrożeń identyfikacja wroga jest bardzo ważnym elementem każdego planu obrony”

— stwierdził Ashar Aziz, dyrektor ds. technicznych i założyciel firmy FireEye.

„Jeśli chodzi o zaawansowane cyberataki, poznanie sprawców, ich metod oraz motywów działania ma kluczowe znaczenie dla ochrony danych i własności intelektualnej”.

Raport „Digital Bread Crumbs” analizuje zaawansowane ataki w celu odkrycia wzorców, zachowań oraz taktyk tworzących razem ślad cyfrowy prowadzący do źródła ataku.

W raporcie opisano siedem specyficznych cech charakteryzujących atak, jak jego zachowanie, metadane złośliwego oprogramowania lub układ klawiatury, które mogą znacznie ułatwić przypisanie określonych ataków do określonego kraju lub regionu.

Raport opisuje na przykład wyniki najnowszej analizy metadanych złośliwego oprogramowania, która pomogła wykryć przeoczoną dotychczas taktykę ataku stosowaną przez chińską grupę „Comment Crew”, łączoną z serią ataków przeprowadzonych na początku tego roku, które były wymierzone w rząd USA.

„Sprawcy zdradzają swoją tożsamość w zawartości kodu złośliwego oprogramowania, wiadomościach e-mail przygotowanych z myślą o phishingu, serwerach dowodzenia i kontroli (C&C), a nawet w podstawowych zachowaniach”

— stwierdził Aziz.

„Analiza daktyloskopijna, porównywanie DNA lub analiza włókien stały się bezcennymi źródłami informacji dla kryminologów i śledczych. Zupełnie w ten sam sposób złożenie w całość pojedynczych elementów cyberataku może pomóc zidentyfikować sprawców nawet najbardziej zaawansowanego zagrożenia — pod warunkiem że analitycy wiedzą, czego szukać”.

Zastosowanie metod opisanych w raporcie „Digital Bread Crumbs” pozwoli specjalistom ds. zabezpieczeń wcześniej identyfikować sprawców ataków, jak również skuteczniej chronić organizacje przed zaawansowanymi cyberatakami.

Pełną treść raportu „Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks” można znaleźć pod adresem: http://www.fireeye.com/resources/pdfs/digital-bread-crumbs.pdf

Źródło: FireEye