Cyber sigurnost Security Services

Kako otkriti ko stoji iza naprednih hakerskih napada

Prema procjenama američke kompanije Juniper Networks, troškovi cyber napada koštat će kompanije širom svijeta 2,1 trilion dolara do 2019. godine. Na svu sreću, napredni hakerski napadi često ostave neki inkriminirajući trag za sobom

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Ubrzana digitalizacija dovodi do sve češćih i sve naprednijih hakerskih napada. Zato multinacionalne kompanije moraju u svom budžetskom planu imati više nego solidna sredstva kako bi održavali sisteme na nivou neophodnom za normalno funkcionisanje biznisa. Međutim, da bi se napadima doskočilo na pravi način, prvo treba utvrditi njihovo porijeklo. Evo i nekih osnovnih trikova kojima se pri tome služe sigurnosni stručnjaci:

Registracija domene

Iako hakeri često zakupe lažnu domenu kako bi izbjegli da antivirus detektuje njihov upad, čak i DNS registracije s lažnim imenima i adresama mogu sigurnosnim stručnjacima biti od pomoći kada treba ukazati na porijeklo pravog krivca koji stoji iza hakerskog napada. U nekim slučajevima hakeri u više različitih napada i na više različitih domena koriste iste lažne informacije, što stručnjacima omogućava da im lakše uđu u trag povezivanjem različitih napada s izvornim napadačem. Međutim, treba naglasiti da informacije o registraciji domene ne predstavljaju savršen indikator napadačevog porijekla, jer oni malo lukaviji hakeri mogu ubaciti obmanjujuće kontaktne podatke prilikom registracije i tako istražitelje skrenuti s pravog puta.

Raspored tipki na tastaturi

Sigurnosni stručnjaci mogu utvrditi i raspored tipki na tastaturi koja je korištena prilikom kreiranja određenog virusa tako što će pobliže ispitati charset atribut zaglavlja u phishing e-mailu. Prilikom većine phishing napada napadači koriste tastature sa standardnim rasporedom tipki, što ne upućuje ni na jednu državu posebno. Zato je posao određivanja porijekla napada dodatno olakšan u slučajevima kada se koriste nestandardne tastature.

Istražitelji iz IT sigurnosne kompanije FireEye došli su do zaključka da mnoge hakerske kampanje imaju znakove kreiranja na GB2312 setu znakova, što znači da su tipkane na tastaturi s mandarinskim jezikom koja se koristi u Kini, dok, recimo, tastature koje se koriste u Sjevernoj Koreji imaju KPS 9566 skup znakova. Ipak, ni ovaj metod ulaska u trag napadačima nije ni izbliza savršen, jer jedan haker iz Rusije može bez problema koristiti sjevernokorejski raspored tipki prilikom kreiranja zlonamjernog softvera, što stručnjake može navesti na lažni trag.

Ugrađeni fontovi

Fontovi korišteni prilikom phishing napada mogu biti od koristi kada se želi ući u trag izvoru naprednog hakerskog napada. Tako se zna desiti da sam phishing e-mail bude napisan na, recimo, ruskom jeziku, da bi stručnjaci provjerom korištenog fonta došli do saznanja da su korišteni korejski fontovi Batang i KPCheongPong. Kada tome dodaju i ostale dokaze u vidu servera za komandu i kontrolu te imena autora, dođu do zaključka da se napadač nalazi u Sjevernoj Koreji. Kako živimo u poprilično nestabilnim vremenima, otkrivanje porijekla nekog naprednog hakerskog napada ima ključnu ulogu u održavanju diplomatskih odnosa među državama, pa su ovakvi podaci time i dragocjeniji.

Metapodaci zlonamjernog softvera

Izvršni kod virusa često sadrži informacije o njegovom izvornom folderu, na isti način na koji i programi napisani u C++ programskom jeziku sadrže informacije o nazivu projekta. Time ovaj osnovni kod sigurnosnim stručnjacima može otkriti napadačev jezik ili državu porijekla, čak i u onim slučajevima u kojima su sam kod, ali i ostali aspekti napada prilagođeni jeziku mete napada.

Jezik

Nije rijetkost da haker u svojoj malware kampanji koristi jezik koji nije njegov maternji, što istraživače nerijetko dovede do njegovog pravog porijekla. Najočigledniji pokazatelji toga su pogrešno napisane riječi i gramatičke greške. Ako stvari ne djeluju na prvu tako očigledno, istražitelji se okreću detaljnijoj analizi, koja može pokazati da je napadač koristio sajtove za prevođenje teksta. Znajući na koji način popularni sajtovi za prevođenje barataju određenim riječima i izrazima, istraživači mogu s velikom tačnošću odrediti izvorni jezik kojim je napisan phishing email korišten pri napadu.

Konfiguracija alata za daljinsku administraciju

Alat za daljinsku administraciju (RAT) tip je malwarea koji hakeru pruža potpunu kontrolu nad tuđim računarom u stvarnom vremenu. Ovakav softver veoma je privlačan hakerima zbog svoje cjenovne pristupačnosti i dostupnosti, ali i zato što su RAT alati obično dobro testirani i opremljeni svim funkcijama potrebnim za uspješan cyber napad. Upravo zato što RAT može koristiti bilo ko – a sasvim različite hakerske grupe često koriste iste alate – ovaj tip zlonamjernog softvera može otežati identifikaciju porijekla napadača. Ipak, sigurnosni stručnjaci pronašli su način kako da doskoče i tome, a rješenje leži u jedinstvenoj kombinaciji alata. Naime, RAT nudi raznovrsne alate koje napadači mogu kombinovati kako žele, što dovodi do stvaranja jedinstvenih kombinacija postavki, na osnovu čega istraživači mogu razlikovati jednog napadača od drugog, iako, zapravo, koriste isti skup alata.

Ponašanje

S vremenenom cyber kriminalci razviju obrasce ponašanja, što znači da se fokusiraju na iste mete i tip industrije, te koriste iste servere za komandu i kontrolu. Proučavanjem njihova ponašanja sigurnosni stručnjaci profiliraju napadače, što je slično profiliranju koje policajci upotrebljavaju u svome poslu. Korištenjem informacija o ponavljajućem ponašanju stručnjaci mogu uočiti sklonost hakerske grupe ka određenom stilu napada i načinu na koji mu pristupa. Pomoćni alati i taktike koje napadači redovno koriste pomažu sigurnosnim stručnjacima prilikom profiliranja. Naprimjer, FireEye je imao slučaj u kojem su prikazana četiri odvojena hakerska napada u kojima su hakeri iskorištavali različite sigurnosne propuste, ali su svi ti napadi imali istu metu: u ovom slučaju, vjerske aktiviste. Osim toga, ispostavilo se da su svi virusi poslani s istog servera, što je na kraju dovelo do zaključka da su napadači članovi istog tima.

Kao što se može zaključiti na osnovu pročitanog, svi ovi faktori, ukoliko ih posmatrate odvojeno, uglavnom ne mogu dati potpunu sliku o porijeklu napadača. Tek kada se posmatraju u cjelini, oni vrše svoju funkciju i dovode do njegove identifikacije.

Slučaj “Sin Digoo”

Od 2004. do 2011. godine haker je, koristeći Hotmail e-mail adresu, registrovao više različitih domena pod istim imenom. Za fizičku adresu naveo je grad “Sin Digoo, Californa” (nepravilno napisano San Diego, California). Zahvaljujući informacijama o registraciji, istraživači iz FireEyea povezali su pojedinačne napade sa širim obrascem naprednih napada. Nakon toga su otkrili i to da su fontovi kojima se napadač koristio (Batang i KPCheongPong) korejski, kao i serveri za komandu i kontrolu korišteni prilikom napada, što im je otkrilo lokaciju s koje su napadi vršeni.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *