«Лаборатория Касперского» приняли участие в форуме Virus Bulletin, который прошел в американском Денвере с 5 по 7 октября. Эксперты компании рассказали, как кибермошенники используют различные обманные техники, чтобы сбить аналитиков с верного следа. Злоумышленники нередко оставляют ложные временные и языковые метки, используют специфическое вредоносное ПО и прикрываются «фальшивым флагом» хакерских группировок, иногда даже несуществующих.
На примере некоторых индикаторов атак эксперты «Лаборатории Касперского» объяснили, как киберпреступники «заметают следы». К примеру, они меняют и подделывают временные метки, которые указывают на то, когда был создан код вредоносного ПО. Анализ этих данных нужен для вычисления рабочего времени злоумышленников и определения часового пояса, в котором они работают.
Также мошенники легко меняют языковые метки, которые могут содержать имена пользователей и внутренние названия операций и кампаний. Например, во вредоносном ПО, использовавшемся в атаках Cloud Atlas, имелись строки на арабском языке и хинди. При этом аналитики склонны предполагать, что группировка имеет восточноевропейское происхождение. В той же операции Cloud Atlas с целью запутать аналитиков использовались южнокорейские IP-адреса — в этом случае злоумышленники намеренно «не скрыли» свое интернет-соединение при отправке данных на сервер и при получении от него команд.
Несмотря на то, что все больше АРТ-группировок полагаются на уже готовое вредоносное ПО, значительная доля злоумышленников предпочитает создавать собственные бэкдоры, программы слежения, эксплойты и т.п. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на поле целевых атак. Однако и эту ситуацию атакующие могут использовать для прикрытия. Так, в ходе операции Turla злоумышленники столкнулись с тем, что загнали себя в угол внутри зараженной системы. И вместо того, чтобы в спешке начать сворачивать свое вредоносное ПО, они установили очень редкий зловред китайского происхождения, нити которого вели к серверам в Пекине, что не имело никакого отношения к Turla. В то время, пока аналитики распутывали этот ложный след, атакующие незаметно удалили свои программы и стерли все следы присутствия в системе.
Иногда понять, кто стоит за атакой, помогает анализ ее жертв и целей. И злоумышленники прекрасно об этом знают. Именно поэтому они могут работать под ложным флагом, прикрываясь именем какой-либо хакерской группировки, необязательно даже реально существующей. Так, организаторы атак Sofacy делали все, чтобы их деятельность приписывали сразу нескольким хактивистам, а до сих пор еще не до конца изученная группировка TigerMilk подписывала свои бэкдоры тем же украденным сертификатом, которым ранее пользовались организаторы атак Stuxnet.
«Выяснение происхождения атаки — сложная задача, результаты которой всегда ненадежны и субъективны. А поскольку злоумышленники старательно манипулируют индикаторами атак и заметают следы, то о каких-либо конкретных выводах в плане атрибуции угрозы, на наш взгляд, говорить невозможно. Однако это обстоятельство вовсе не снижает ценность расследований кибератак — рядовые пользователи и специалисты по информационной безопасности должны знать, где и с какими именно угрозами они могут столкнуться и каковы будут их последствия. А мы, в свою очередь, должны предложить им надежную защиту», — отметил Брайан Бартоломью, антивирусный эксперт «Лаборатории Касперского».
