Найти тему
Хроники кибервойны
7 подписчиков

Кто придумывает имена хакерским группировкам?

63
5 мин

Перевод статьи Florian Roth - немецкого специалиста по кибербезопасности, создателя APT Scanner THOR – Scanner for Attacker Activity and Hack Tools

Fancy Bear (Russia), Deep Panda (China) and Charming Kitten (Iran) (Source: CrowdStrike)
Fancy Bear (Russia), Deep Panda (China) and Charming Kitten (Iran) (Source: CrowdStrike)

Небольшой глоссарий к статье:

  • IOC = Indicator of Compromise (Индикатор взлома)
  • TTP = Tools, Tactics, Procedures (Инструменты, Тактики, Процедуры. Набор инструментария, используемый хакерскими группировками)
  • APT = Advanced Persistent Threat (“Развитая Устойчивая Угроза”, в общем случае - целевая кибер атака хакер-группы на какой-либо объект)
  • C2 = Command and Control (“Командуй и Управляй” - общее название средств управления и контроля за взломанными объектами)
Threat Group Naming Schemes (“APT Groups and Operations” spreadsheet)
Threat Group Naming Schemes (“APT Groups and Operations” spreadsheet)

Я был глубоко разочарован, когда в 2015 году опубликовал свою электронную таблицу «APT Groups and Operations». Я не мог понять, почему мне пришлось обрабатывать так много разных имен, относящихся к одной и той же хакер-группе.

Сегодня я понимаю причины явления и хотел бы объяснить это, чтобы новички перестали требовать от меня стандартизации в подходе к выбору наименований. Совет: требуя полной стандартизации, вы просто показываете свой недостаток понимания проблемы.

Но давайте начнем с самого начала. Как мы все знаем, изначально именно вендоры (здесь и далее под вендорами понимаются поставщики решений в области кибербезопасности - прим.переводчика) дают имена угрозам, которые они обнаруживают. Некоторые из них просто используют числа, например такие как Mandiant / FireEye, Dell SecureWorks или Cisco Talos, а другие, такие как Kaspersky, CrowdStrike или Symantec, используют причудливые имена, которые создают эмоциональный, образный или мифологический контекст.

Crouching Yeti (Russia), Epic Turla (Russia), Darkhotel (Unknown) (Source: Kaspersky)
Crouching Yeti (Russia), Epic Turla (Russia), Darkhotel (Unknown) (Source: Kaspersky)

Нам нравятся все эти названия

Эти ребята просто высветили нашу работу под другим углом - все эти утомительные задачи по расследованию, долгий рабочий день, напряженные выходные и многие часы совещаний у руководства. Но, если твоим противником является “злая панда”, “песчаный червь” или “невидимая кобра”, то мы воспринимаем себя как неких супергероев, нарушающих их коварные планы. Эти имена создают на нас эмоциональное воздействие.

На скриншоте ниже показаны нейминги китайских группировок, используемые различными вендорами:

Threat Group Naming Schemes (“APT Groups and Operations” spreadsheet)
Threat Group Naming Schemes (“APT Groups and Operations” spreadsheet)

В отличие от людей, которые работают в области кибербезопасности, многие неспециалисты часто критикуют вендоров по ряду причин. Они сетуют на отсутствие стандартизации, излишне самоуверенную атрибуцию и сильный фактор влияния страны происхождения вендора. Большая часть этой критики неоправданна.

Честно говоря, я считаю, что, если бы такие критики имели более глубокое понимание индикаторов, которые привели к такой атрибуции или причин для разного нейминга, они сразу бы приутихли.

Как вы можете видеть, в моей таблице существует множество имен, и их название часто является неточным, а иногда может и ошибочным. Но я должен был начать с чего-то! И частично некорректное название лучше, чем его отсутствие вообще (кто-то может и не согласиться с этим)

В большинстве случаев существуют три больших класса факторов, которые приводят к различному неймингу.

Человеческий фактор:

  • Имя присваивается по наименованию субъекта угрозы (например, Electric Powder)
  • В качестве имени субъекта угрозы используется имя вредоносного ПО (например, NetTraveler).
  • Вендоры пропускают ссылки на исследования других вендоров (например, TEMP.Zagros и они же MuddyWater)
  • Журналисты не хотят исправлять неправильные имена в опубликованных статьях (например, NBC заявляет, что APT 37 - это группировка Labyrinth Chollima)
Статья NBC про APT 37 все еще содержит неверную отсылку (на 03/25/2018, CrowdStrike сообщили об этой ошибке 02/20/2018)
Статья NBC про APT 37 все еще содержит неверную отсылку (на 03/25/2018, CrowdStrike сообщили об этой ошибке 02/20/2018)

Технический фактор:

  • Каждый вендор видит разные кусочки одной большой картины (разные TTP/IOC кластеры: наборы образцов, инфраструктура C2 и т. д.)
  • Группировки проводят операции сообща или сами по себе
  • Группировки делятся своими наборами инструментов с другими (например, зловред Winnti)
  • Группировки делятся своей инфраструктурой C2 с другими группировками (например, OilRig с Chafer)

Все это приводит к следующим проблемам:

  • Один вендор отслеживает несколько групп, тогда как другой видит только одну группу (одна группа с именем Mirage или Vixen Panda отслеживается вендором FireEye как две отдельные группы)
  • Две операции ложно относятся к одной и той же группировке (пример: ScarCruft и DarkHotel с операцией “Erebus” и операцией «Operation Daybreak»)
  • Операции относятся к некой группировке на основе части кластера IOC, которую другой вендор сопоставляет вообще с другой группировкой (например, операции группы Chafer, ошибочно приписываемые OilRig на основе общей инфраструктуры C2)
Различные точки зрения на одну и ту же проблему
Различные точки зрения на одну и ту же проблему

Операционный фактор:

  • Один вендор может взять нейминг другого вендора, если ранее он был уверен, что группировка или операция является отдельной от расследования первого вендора. Поскольку вендоры собирают и постоянно получают разные кусочки головоломки, согласование общего имени всегда несет риск расхождения TTP. Сохранение вендором собственного имени обеспечивает гибкость и возможность идти в расследовании разными маршрутами.
  • Используя имя другого вендора, первый как бы признает, что расследование другого вендора является более полным и может рассматриваться как основа для его собственного расследования. И хотя исследователи небесных тел спешат сообщить о новых планетах, чтобы получить право называть их, вендоры часто отслеживают новые группировки в течение нескольких месяцев, прежде чем опубликовать свой первый отчет о них. Вы часто теряете тактическое преимущество, сообщая слишком рано или слишком много. Поэтому, это своего рода компромисс между этим тактическим преимуществом и вашей репутацией. В мире кибербезопасности опубликоваться первым не означает, что твое расследование является полным или тщательным, и поэтому, другие вендоры не рассматривают его как право застолбить имя для группировки.

Как видите, много факторов ведут к разному неймингу. Стандартизация имен субъектов угроз не так проста, как кажется. Антивирусная индустрия сталкивается с одной и той же критикой на протяжении многих лет и не может выполнить их требования по схожим причинам.

Я не освобождаю вендоров от ответственности. По-прежнему крайне важно, чтобы они продолжали увязывать свои исследования с исследованиями других, указывая на частичные или полные совпадения IOC с ранее известными операциями, основанными на соответствующих TTP. В противном случае сопоставление различных имен субъектов угроз становится неразрешимой задачей.