Os criminosos que realizam ataques direcionados estão usando uma variedade cada vez maior de técnicas de manipulação para tornar uma possível atribuição e identificação dos atacantes ainda mais confusas, implantando dados falsos de data/hora, strings em idiomas variados, malware, entre outros. Estes também operam disfarçados em grupos fantasmas, de acordo com um artigo apresentado na Virus Bulletin pelos pesquisadores de segurança da Kaspersky Lab, Brian Bartholomew e Juan-Andres Guerrero-Sade.
Todos desejam conhecer a identidade do grupo por trás de um ataque virtual direcionado, mas é muito difícil, se não impossível, determinar com precisão quem são os verdadeiros criminosos. Para demonstrar a crescente complexidade e incerteza da atribuição no cenário atual da inteligência de ameaças, dois especialistas da Kaspersky Lab publicaram um artigo que mostra como os agentes de ameaças avançadas usam as chamadas “operações False Flag” para enganar as vítimas e os pesquisadores da área de segurança.
Veja aqui os indicadores mais usados para sugerir as possíveis origens dos ataques, além de ilustrações de como diferentes agentes de ameaça conhecidos os manipularam:
• Dados de data/hora
Os arquivos de malware carregam em si a informação de data/hora que indica quando foram compilados. Se forem coletadas amostras relacionadas suficientes, será possível determinar o horário de trabalho dos desenvolvedores, o que pode indicar o fuso horário geral onde ocorrem suas operações. No entanto, esses dados de data/hora são incrivelmente fáceis de alterar.
• Indicadores de idioma
Muitas vezes, os arquivos de malware incluem cadeias de caracteres e caminhos de depuração, capazes de indicar quem são os autores do código. O indício mais óbvio é o idioma ou os idiomas usados e o nível de conhecimento do idioma. Os caminhos de depuração também podem revelar um nome de usuário, assim como convenções internas de nomenclatura nos projetos ou campanhas. Além disso, os documentos de phishing podem conter metadados onde são registradas involuntariamente informações de estado que apontam o computador do autor.
Porém, os agentes de ameaça conseguem manipular facilmente os indicadores de idioma para confundir os pesquisadores. Indícios linguísticos enganosos deixados no malware pelo agente de ameaça Cloud Atlas incluíram cadeias de caracteres em árabe na versão para BlackBerry, caracteres em híndi na versão para Android e as palavras ‘JohnClerk’ no caminho do projeto da versão para iOS, embora muitos suspeitem que o grupo realmente tenha alguma conexão com a Europa Oriental. O malware usado pelo agente de ameaça Wild Neutron incluía cadeias de caracteres em romeno e russo.
• Infraestrutura e conexões de back-end
A descoberta dos servidores de comando e controle (C&C) usados pelos criminosos equivale ao conhecimento de seu endereço residencial. A infraestrutura de C&C pode ser cara e difícil de manter; por isso, mesmo os criminosos com mais recursos tendem a reutilizar a infraestrutura de C&C ou de phishing. As conexões de back-end podem dar um vislumbre dos invasores, caso não consigam tornar suas conexões com a Internet anônimas ao recuperar dados de um servidor de e-mail ou de extração, ao preparar um servidor intermediário ou de phishing, ou ao entrar em um servidor invadido. Mas, às vezes, essas ‘falhas’ são intencionais: o Cloud Atlas tentou confundir os pesquisadores usando endereços IP da Coreia do Sul.
Embora alguns agentes de ameaça recorram a ferramentas disponíveis publicamente, muitos ainda preferem criar seus próprios backdoors personalizados, ferramentas de movimento lateral e exploits, eles os protegem com muito cuidado. Desse modo, o surgimento de uma família específica de malware pode ajudar os pesquisadores a encontrar o agente certo da ameaça.
O agente de ameaça Turla decidiu tirar proveito disso quando ficou encurralado em um sistema infectado. Em vez de remover seu malware, ele instalou um item raro de malware chinês que se comunicava com a infraestrutura localizada em Pequim, sem qualquer relação com o Turla. Enquanto a equipe de resposta a incidentes caçava o malware falso, o Turla desinstalou silenciosamente seu próprio malware e apagou todos os rastros dos sistemas das vítimas.
• Vítimas visadas
Os alvos dos invasores são outra ‘pista’ em potencial, mas para estabelecer uma conexão precisa, são necessárias habilidades avançadas de interpretação e análise. No caso do Wild Neutron, por exemplo, a lista de vítimas era tão variada que apenas confundiu a atribuição.
Além disso, alguns agentes de ameaça abusam do desejo público de um vínculo claro entre o invasor e seus alvos, operando sob o disfarce de um grupo hacktivista (muitas vezes inexistente). Por isso, o Lazarus Group tentou se apresentar como os ‘Guardiões da Paz’ durante a invasão da Sony Pictures Entertainment em 2014. Acredita-se que o agente da ameaça conhecido como Sofacy implementou uma tática semelhante, fazendo-se passar por diversos grupos hacktivistas.
Finalmente, mas igualmente importante, às vezes os invasores tentam colocar a culpa em outro agente de ameaça. Essa foi a abordagem adotada pelo ainda não atribuído TigerMilk , que sinalizou seus backdoors com o mesmo certificado roubado usado anteriormente pelo Stuxnet.
“A atribuição de ataques direcionados é complicada, duvidosa e subjetiva, e os agentes de ameaça estão tentando, cada vez mais, manipular os indicadores observados pelos pesquisadores para confundi-los. Acreditamos que seja quase impossível fazer uma atribuição precisa. Além disso, a inteligência de ameaça tem um valor forte e mensurável que vai muito além da pergunta ‘quem fez’. Há uma necessidade geral de conhecer os principais predadores do ecossistema de malware e fornecer informações robustas e práticas para as organizações que desejam. Esse deve ser nosso foco”, declarou Brian Bartholomew, pesquisador sênior em segurança da Kaspersky Lab.
