Jakieś cztery lata temu cyberbezpieczeństwo zostało pionkiem w geopolitycznej grze w szachy. Politycy różnych krajów wzajemnie obwiniają się o przeprowadzanie wrogich operacji cyberszpiegowskich, a z drugiej strony zwiększają ofensywne narzędzia cybernetyczne we własnym kraju. W ogień krzyżowy tych geopolitycznych rozgrywek zostały wzięte niezależne firmy z obszaru cyberbezpieczeństwa, które mają możliwość cierpliwego rozpracowywania tego bardzo niebezpiecznego oszustwa.
Dlaczego? To bardzo proste.
Po pierwsze, przedrostek „cyber” było i jest fajnym/romantycznym/hollywoodzkim/uroczym/trochę jakby z fantastyki naukowej określeniem. Ponadto sprzedaje — nie tylko produkty, ale także prasę. Jest popularny, w tym wśród polityków. Ta fajność i popularność sprawia, że może być też skutecznym narzędziem do odwracania uwagi, gdy trzeba. A zdarza się to często.
Po drugie, „cyber” należy do świata technicznego. Większość ludzi go nie rozumie. W efekcie media, opisując coś z tego obszaru i szukając sposobu na zwiększenie zainteresowania, są w stanie wydrukować wszystko, nawet jeśli nie do końca jest to zgodne z prawdą (lub jest całkowitą nieprawdą). Ale niewielu czytelników to zauważa. Koniec końców w prasie znajdziemy wiele historii, zgodnie z którymi ugrupowanie hakerskie z tego czy innego kraju jest odpowiedzialne za ten czy inny kłopotliwy, kosztowny, destrukcyjny lub oburzający cyberatak. Ale czy można temu wierzyć?
My stawiamy na atrybucję techniczną. To nasz obowiązek i zadanie dla firmy.
Ogólnie nie wiadomo, w co można wierzyć. A skoro tak, czy można dokładnie przypisać komuś odpowiedzialność za cyberatak?
Odpowiedź ma dwie składowe:
Z technicznego punktu widzenia cyberataki mają szereg charakterystycznych cech, ale bezstronny system analizujący je potrafi jedynie określić, na ile atak przypomina dzieło tego czy innego ugrupowania hakerskiego.
Jednak to, czy ugrupowanie hakerskie może należeć do Pododdziału wywiadu wojskowego 233, Państwowej grupy ds. projektów nad zaawansowanymi badaniami obronnymi czy Wspólnej grupy zadaniowej ds. zdolności strategicznych i ograniczania zagrożeń (żadne z nich nie istnieje, nie musisz ich szukać w internecie)… to kwestia polityczna i dlatego prawdopodobieństwo zaistnienia manipulacji sięga tu 100%. Atrybucja wykracza poza kwestie techniczne, oparte na dowodach i dokładności na poziomie szczęśliwego trafu. A zatem zostawiamy ją prasie i trzymamy się od niej z daleka.
Co ciekawe jednak, odsetek polityków opierających się na faktach z dziedziny cyberbezpieczeństwa zwiększa się kilkakrotnie wraz z nadejściem kluczowych wydarzeń politycznych.
Poznanie tożsamości jednego atakującego znacznie ułatwia walkę: reakcja na taki incydent może zostać wdrożona płynnie i przy minimalnym zagrożeniu dla firmy.
A więc tak, unikamy atrybucji na tle politycznym. Trzymamy się strony technicznej; tak naprawdę to nasz obowiązek i właśnie to robimy jako firma. I muszę dodać, że robimy to lepiej niż ktokolwiek inny. Nieustannie przyglądamy się dużym ugrupowaniom hakerskim i ich operacjom (ponad 600 z nich) i nie zwracamy uwagi na ich przynależność. Złodziej jest złodziejem i powinien trafić do więzienia. W końcu po ponad 30 latach od rozpoczęcia tej gry, po zgromadzeniu tak wielu danych na temat złego postępowania w cyberświecie, jesteśmy gotowi zacząć udostępniać to, co mamy.
Właśnie uruchomiliśmy wspaniałą nową usługę dla ekspertów ds. cyberbezpieczeństwa. Nazywa się ona Kaspersky Threat Attribution Engine. Analizuje podejrzane pliki i określa, z którego ugrupowania hakerskiego pochodzi dany cyberatak. Znajomość tożsamość atakującego sprawia, że walka z nim jest znacznie łatwiejsza: umożliwia ona wdrożenie właściwych środków zaradczych. Można podjąć decyzję, naszkicować plan działania, ustawić priorytety, a cała reakcja na incydent może zostać wdrożona płynnie i przy minimalnym zagrożeniu dla firmy.
Jak to robimy?
Jak już wspomniałem, cyberataki mają wiele czysto technicznych oznak charakterystycznych, czyli „flag”: czas i datę skomplikowania plików, adresy IP, metadane, exploity, fragmenty kodu, hasła, język, konwencja nazewnictwa plików, ścieżki debugowania, narzędzia zaciemniające i szyfrujące itp. Poszczególnie takie znaki są przydatne tylko dla (a) polityków, aby mogli wskazać palcem przeciwników na arenie międzynarodowej, aby wzmocnić ukryty plan, lub (b) złych dziennikarzy poszukujących sensacji. Tylko wspólnie mogą oni wskazać, do którego ugrupowania hakerskiego należą.
Ponadto flagę można w łatwy sposób sfałszować lub emulować.
Na przykład w swoim wszczepionym kodzie binarnym hakerzy z ugrupowania Lazarus używają słów z języka rosyjskiego przełożonych na litery z alfabetu łacińskiego. Jednak w języku rosyjskim taka konstrukcja zdań byłaby nienaturalna, a przez błędy gramatyczne/składniowe kod wyglądałby, jakby wyszedł z Tłumacza Google, co może skierować ekspertów od bezpieczeństwa w złym kierunku:
Jednak każde ugrupowanie hakerskie może użyć Tłumacza Google – nawet dla swojego rodzimego języka, aby „użyty język” był mało wiarygodnym wskaźnikiem.
Oto inny przypadek pokazujący to w nieco inny sposób: ugrupowanie Hades (autorzy niesławnego robaka OlympicDestroyer, który zaatakował infrastrukturę Igrzysk Olimpijskich w 2018 roku w Korei Południowej) wykorzystywało flagi wskazujące na ugrupowanie Lazarus, przez co wielu badaczy wierzyło, że hakerzy Hadesa byli z Lazarusa (inne różnice pomiędzy dwoma „stylami” tych ugrupowań sprawiła, że większość doszła do wniosku, że nie był to Lazarus).
Ręczne przeanalizowanie przez ekspertów setek oznak charakterystycznych i porównanie ich ze stylami sygnatur innego ugrupowania hakerskiego jest praktycznie niemożliwe w krótkim czasie, przy ograniczonych zasobach i akceptowalnej jakości wyników. Jednak takie wyniki są bardzo potrzebne. Firmy chcą szybko złapać cyberośmiornicę, która ich atakuje, i złapać jej wszystkie macki, aby nie zapełzła tam, gdzie nie powinna, a także aby móc radzić innym, jak zapewnić sobie bezpieczeństwo przed tym niebezpiecznym cybernetycznym mięczakiem.
„Genotypy” szkodliwych programów pomagają w znalezieniu podobieństw w kodzie szkodliwych programów do znanych ugrupowań APT z niemal 100% dokładnością
Kilka lat temu utworzyliśmy do użytku wewnętrznego system automatycznej analizy plików. Działa on na takiej zasadzie: z podejrzanego pliku wydobywamy coś, co nazywamy genotypami, czyli krótkie fragmenty kodu wybrane przy użyciu naszego własnego algorytmu. Następnie porównujemy je z ponad 60 000 obiektów ataków ukierunkowanych znajdujących się w naszej bazie danych, używając całego spektrum charakterystyk. Dzięki temu możemy określić najbardziej prawdopodobny scenariusz pochodzenia cyberataku, a także przygotować opisy najbardziej prawdopodobnego ugrupowania hakerów odpowiedzialnego oraz łącza do płatnych i darmowych zasobów zawierających bardziej szczegółowe informacje oraz porady w zakresie rozwoju strategii reagowania na incydent.
Ktoś może zapytać, na ile wiarygodne jest takie wyszukiwanie. W ciągu trzech lat system ten nie popełnił ani jednego błędu, wskazując dobry kierunek dla trwającego śledztwa!
Naszego systemu użyliśmy do analiz m.in.: implantu iOS LightSpy oraz takich kampanii jak TajMahal, ShadowHammer, ShadowPad i Dtrack. We wszystkich tych przypadkach wynik był w pełni zgodny z oceną naszych ekspertów. A teraz mogą go używać również nasi klienci!
Rozwiązanie Kaspersky Threat Attribution Engine jest dostępne w postaci pakietu dystrybucyjnego opartego na platformie Linux, instalowanego na izolowanym od sieci komputerze u klienta (w celu zachowania maksymalnej poufności). Aktualizacje są dostarczane za pośrednictwem dysku USB. Do bazy danych tego rozwiązania można dodać wszystkie próbki szkodliwych programów znalezione przez wewnętrznych analityków firmy, a ponadto wykorzystuje ono interfejs API do łączenia silnika z innymi systemami — nawet SOC (centrum operacji bezpieczeństwa) innej firmy.
Na koniec słowo wyjaśnienia: żadne narzędzie do automatycznej analizy szkodliwej cyberaktywności nie daje 100% gwarancji atrybucji ataku. Wszystko można sfałszować i oszukać, w tym najbardziej zaawansowane rozwiązania. Naszym głównym celem jest ukierunkowanie ekspertów we właściwym kierunku i sprawdzenie najbardziej popularnych scenariuszy. Ponadto, pomimo wszechobecnego i powtarzanego tematu skuteczności sztucznej inteligencji (która w rzeczywistości jeszcze nie istnieje), obecne systemy „sztucznej inteligencji” — nawet najbardziej inteligentne — nie są w stanie robić wszystkiego bez pomocy człowieka. To synergia maszyn, danych i ekspertów — którą nazywamy humachine —pomaga dziś skutecznie walczyć w nawet najbardziej skomplikowanymi cyberzagrożeniami.
Zapraszam Was do uczestnictwa w naszym webinarium, które odbędzie się 17 czerwca, na którym będzie można zobaczyć na żywo omawiany przeze mnie produkt, posłuchać, co mają do powiedzenia jego autorzy, i zadać pytania w czasie rzeczywistym.
Na dziś to wszystko w kwestii przedstawienia naszego nowego rozwiązania. Więcej informacji znajduje się na stronie produktu, w broszurze i dokumentacji.
PS Gorąco zachęcam do przeczytania tego posta autorstwa Costina Raiu, jednego z autorów tego rozwiązania, w którym szczegółowo opisuje on historię powstania i wyjaśnia najważniejsze kwestie związane z Kaspersky Threat Attribution Engine.