Firma FireEye, opublikowała raport “Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks (Cyfrowe wskazówki: siedem śladów umożliwiających identyfikację sprawców cyberataków)”. Raport zawiera szczegółowe informacje na temat cech charakterystycznych najpopularniejszych ataków, które mogą pomóc specjalistom ds. zabezpieczeń zidentyfikować czynniki zagrożenia i skuteczniej bronić organizacje przed przyszłymi cyberatakami. W raporcie opisano również taktykę ataku stosowaną przez chińską grupę militarną o nazwie “Comment Crew”, która wcześniej była łączona z precyzyjnymi atakami wymierzonymi w rząd Stanów Zjednoczonych.
W raporcie opisano siedem specyficznych cech charakteryzujących atak, jak jego zachowanie, metadane złośliwego oprogramowania lub układ klawiatury, które mogą znacznie ułatwić przypisanie określonych ataków do określonego kraju lub regionu.
- Układ klawiatury– dane o wyborze rodzaju klawiatury przez atakującego, zależne od języka i regionu, są ukryte w wiadomości typu phishing
- Metadane złośliwego oprogramowania– kod źródłowy malware’u zawiera techniczne szczegóły co do języka używanego przez hakera, jego lokalizacji, co pozwala na powiązanie z innymi atakami.
- Osadzone czcionki– wykorzystane w mailu typu phishing wskazują na źródło ataku, nawet jeżeli wybrane czcionki nie są normalnie wykorzystywane w rodzimym języku hakera
- Rejestracja DNS– domeny wykorzystywane podczas ataku wskazują lokalizację hakera. Zduplikowanie informacji rejestracyjnych może pomóc w powiązaniu wielu domen, które wykorzystuje cyberprzestępca.
- Język– cechy charakterystyczne języka, osadzone w złośliwym oprogramowaniu często wskazują na kraj pochodzenia hakera. Ponadto, również popełniane błędy językowe w wiadomości typu phishing, przy pomocy inżynierii odwrotnej, mogą pozwolić na określenie języka rodzimego hakera.
- Zdalna konfiguracja narzędzi administracyjnych– popularne narzędzia do tworzenia złośliwego oprogramowania, w tym szereg opcji konfiguracyjnych, które są bardzo często typowe dla atakującego pozwalają na powiązanie różnorodnych ataków z hakerem, który je tworzy.
- Zachowanie– modele zachowań takie jak metody i cele zdradzają sposób i motywy działania cyberprzestępcy. Poprzez badanie tych obszarów, eksperci ds. bezpieczeństwa mogą zrobić duży krok w kierunku identyfikacji hakerów i poprawić zabezpieczenia organizacji przed kolejnymi atakami cybernetycznymi.
Pełną treść raportu “Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks” można znaleźć pod adresem: http://www.fireeye.com/resources/pdfs/digital-bread-crumbs.pdf