การเชื่อมโยงการโจรกรรมข้อมูลหรือการก่อวินาศกรรมทางไซเบอร์กับแฮกเกอร์บางกลุ่มนั้นไม่ใช่เรื่องง่าย เพื่อให้ระบุแหล่งที่มาของการโจมตีได้ นักวิจัยด้านความปลอดภัยจึงใช้เทคนิคการตรวจสอบที่ซับซ้อนเป็นพิเศษ
APT28, PutterPanda, Lazarus, Equation, Shamoon, Animal Farm… ไม่ถึงหนึ่งสัปดาห์ผ่านไปโดยไม่มีการโจมตีทางคอมพิวเตอร์ครั้งใหญ่และคาดว่ามาจากนักแสดงที่ระบุตัวได้ไม่มากก็น้อย มันบังเอิญว่าโจรสลัดถูกแยกออกตามชื่อ เหตุการณ์นี้เกิดขึ้นอย่างน่าตื่นตาในปี 2014 เมื่อรัฐบาลสหรัฐฯ ดำเนินคดีนายทหารกองทัพจีน 5 นายสำหรับการแฮ็กและการจารกรรมคอมพิวเตอร์ ล่าสุดเขาถูกตั้งข้อหาแฮกเกอร์สองคนจากกระทรวงความมั่นคงแห่งรัฐของจีน, ชื่อและรูปถ่ายประกอบ. แต่ผู้เชี่ยวชาญจะจัดการกับการระบุแหล่งที่มานี้ได้อย่างไร และเราควรมั่นใจแค่ไหนในการวิเคราะห์ประเภทนี้ เนื่องจากข้อมูลคอมพิวเตอร์มักมีการปรับเปลี่ยนอยู่เสมอ
เมื่อเราพูดคุยกับนักวิจัยด้านความปลอดภัยหรืออ่านการวิเคราะห์ของพวกเขา จะเห็นได้ชัดว่าการระบุแหล่งที่มานั้นยังห่างไกลจากหลักวิทยาศาสตร์ที่แน่นอน และไม่มีวิธีใดที่น่าอัศจรรย์ในการค้นหาร่องรอยของแฮ็กเกอร์เช่นกัน เป็นกระบวนการที่ยาวและน่าเบื่อซึ่งจำเป็นต้องรวบรวมเบาะแสทางเทคนิคให้ได้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อให้สามารถตั้งสมมติฐานที่ถูกต้องเกี่ยวกับต้นกำเนิดของการโจมตีได้ หากจำเป็น ดัชนีเหล่านี้มาจากหลากหลายสาขา ซึ่งเป็นเหตุผลว่าทำไมจึงจำเป็นต้องพึ่งพาได้“ในทีมที่มีทักษะหลากหลาย เช่น วิศวกรรมย้อนกลับ การวิเคราะห์โครงสร้างพื้นฐาน การวิเคราะห์ทางภูมิรัฐศาสตร์ และการสืบสวนทางนิติเวช”, อธิบาย Timo Steffens ในหนังสือทุ่มเทให้กับการระบุแหล่งที่มาของการโจมตีคอมพิวเตอร์ ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์รายนี้ดำรงตำแหน่งรองผู้อำนวยการ Cert-Bund ซึ่งเป็นศูนย์แจ้งเตือนและตอบสนองการโจมตีทางคอมพิวเตอร์ของรัฐบาลเยอรมนี
รหัสไบนารี่ แหล่งข้อมูลแรก
แหล่งข้อมูลแรกคือมัลแวร์ที่ใช้ระหว่างการโจมตี เมื่อสำเนาได้รับการกู้คืนจากเครื่องจักรแล้ว วิศวกรที่เชี่ยวชาญด้านวิศวกรรมย้อนกลับจะตรวจสอบสำเนานั้น โดยทั่วไป ผู้โจมตีจะดำเนินการสร้างความสับสนให้กับรหัสไบนารี่ซึ่งมีสองเป้าหมาย: เพื่อให้อยู่ภายใต้เรดาร์ของโปรแกรมป้องกันไวรัส และทำให้ซอฟต์แวร์วิเคราะห์ได้ยาก โดยทั่วไปการทำให้สับสนนี้ทำได้โดยใช้ "packer" ซึ่งเป็นซอฟต์แวร์ที่จะบีบอัดรหัสไบนารี่และทำให้ไม่สามารถอ่านได้ เมื่อวางลงบนเครื่องเป้าหมายแล้ว รหัสไบนารี่นี้จะถูกยกกำลังสองโดยใช้โมดูลคลายการบีบอัดแบบรวม“กลุ่มแฮ็กเกอร์บางกลุ่มสร้างบรรจุภัณฑ์ของตนเองและนำมาใช้ซ้ำหลายครั้ง ต้องขอบคุณสิ่งนี้ที่ทำให้เราจำพวกมันได้”เน้นย้ำว่า Alexis Dorais-Joncas หัวหน้าทีมข่าวกรองด้านความปลอดภัยของ Eset
เมื่อรหัสไบนารี่ได้รับการกู้คืนแล้ว ในที่สุดวิศวกรก็สามารถค้นพบกลไกภายในของซอฟต์แวร์ได้ในที่สุด: วิธีการติดไวรัสคอมพิวเตอร์ ฟังก์ชั่นที่มันดำเนินการ โมดูลที่รวมเข้าด้วยกัน การเข้ารหัสข้อมูล เซิร์ฟเวอร์ภายนอกที่ติดต่อ ฯลฯ จากนั้นเขาจะสามารถรู้ได้ว่าเป็นแบ็คดอร์ ซอฟต์แวร์ควบคุมระยะไกล (เครื่องมือการเข้าถึงระยะไกล) หรือ "หยด" ธรรมดาซึ่งจะดาวน์โหลดมัลแวร์อื่น เมื่อวิเคราะห์และวิเคราะห์แล้ว รหัสไบนารี่นี้จะถูกนำไปเปรียบเทียบกับรหัสมัลแวร์ที่รู้จักอยู่แล้ว การซ้อนทับกันแต่ละครั้งเป็นเบาะแสเพิ่มเติมสำหรับการระบุแหล่งที่มา
บ่อยครั้งที่รหัสไบนารี่ยังมีข้อมูลเมตาที่สร้างโดยคอมไพเลอร์และเฟรมเวิร์กการพัฒนา สิ่งนี้ช่วยให้คุณทราบภาษาในการพัฒนาและเหนือสิ่งอื่นใดคือวันที่รวบรวม สิ่งนี้จะเป็นประโยชน์อย่างยิ่งหากนักวิเคราะห์มีสำเนามัลแวร์ตัวเดียวกันจำนวนมาก“ด้วยวิธีการทางสถิติง่ายๆ จึงสามารถระบุพฤติกรรมการใช้ชีวิตของผู้กระทำความผิดได้ เวลาทำงานของพวกเขาคือเท่าไร? พวกเขาสร้างรหัสไบนารี่ในวันใดของสัปดาห์? -ติโม สเตฟเฟนส์ อธิบาย การวิเคราะห์นี้ทำให้สามารถระบุเขตเวลาที่โจรสลัดทำงาน หรือแม้แต่เขตวัฒนธรรมได้ สัปดาห์การทำงานที่เริ่มในวันเสาร์และสิ้นสุดในวันพฤหัสบดีสามารถเป็นข้อบ่งชี้ถึงต้นกำเนิดของอิหร่านได้ เป็นต้น
แน่นอนว่าวันที่รวบรวมสามารถจงใจบิดเบือนได้ ซึ่งเป็นเหตุผลว่าทำไมจึงต้องมีเบาะแสอื่นยืนยันอยู่เสมอ“ในกรณีที่ทราบกันดีอยู่แล้ว ดัชนีอื่นๆ สามารถตรวจสอบพฤติกรรมการใช้ชีวิตได้ ดังนั้นเราจึงอนุมานได้ว่ามีเพียงไม่กี่กลุ่มเท่านั้นที่จัดการวันที่รวบรวมอย่างเป็นระบบ, ขีดเส้นใต้ Timo Steffens
ข้อมูลการวัดและส่งข้อมูลทางไกลถือเป็นประเด็นสำคัญของเรื่องนี้
การวิเคราะห์มัลแวร์สามารถเสริมด้วยการวิเคราะห์ทางนิติเวชของสภาพแวดล้อมที่ถูกโจมตี นี่เป็นกรณีที่บริษัทที่เป็นเหยื่อเรียกร้องให้ผู้เชี่ยวชาญ "ทำความสะอาด" โครงสร้างพื้นฐานของตน นักสืบด้านไอทีเหล่านี้จะวิเคราะห์บันทึกการรับส่งข้อมูลแอปพลิเคชันและเครือข่ายเพื่อระบุ “ผู้ป่วยศูนย์” (เครื่องแรกที่ติดไวรัส) และขั้นตอนต่างๆ ของการโจมตี ในโอกาสนี้ ผู้เชี่ยวชาญเหล่านี้จะกู้คืนสิ่งที่เรียกว่า “ตัวบ่งชี้การประนีประนอม” (IOC) ทั้งหมด ได้แก่ ชื่อไฟล์ที่ฝากไว้ ที่อยู่ IP ที่ติดต่อ หมายเลขพอร์ตที่ใช้ แอปพลิเคชันบางตัวที่เปิดตัว วิธีการขโมยรหัสผ่าน ฯลฯ ตัวบ่งชี้เหล่านี้จะเน้นเครื่องมือและวิธีการดำเนินการของผู้โจมตี (เครื่องมือ เทคนิคและขั้นตอน, TTP) องค์ประกอบเหล่านี้จะทำให้สามารถกำหนด "ชุดการบุกรุก" ซึ่งจะสร้างลายเซ็นของการโจมตีในลักษณะใดลักษณะหนึ่ง“คีย์เข้ารหัสที่พบในโค้ดหรือบนโครงสร้างพื้นฐานของผู้โจมตีเป็นตัวอย่างที่ดี เนื่องจากควรเป็นความลับและไม่ถูกแชร์กับกลุ่มอื่น”ขีดเส้นใต้อเล็กซิส โดไรส์-จอนคัส
ข้อดีคือผู้ให้บริการโซลูชั่นรักษาความปลอดภัยจะสามารถใช้ตัวบ่งชี้เหล่านี้เพื่อตรวจจับการโจมตีอื่นๆ ที่คล้ายคลึงกัน ยังไง ? ขอบคุณข้อมูลเทเลเมตริกที่พวกเขารวบรวมจากลูกค้าและ/หรือคู่ค้าของพวกเขา แท้จริงแล้ว ผู้เผยแพร่โปรแกรมป้องกันไวรัสและการตรวจจับการบุกรุกจะรวบรวมการแจ้งเตือนและข้อมูลการใช้งานซึ่งจัดเก็บไว้ในฐานข้อมูลของตนอยู่ตลอดเวลา IOC จะทำให้สามารถกรองข้อมูลจำนวนมหาศาลนี้ได้“ในแง่หนึ่ง งานวิจัยนี้ช่วยให้เราสามารถเดินทางผ่านกาลเวลาและอวกาศได้ ช่วยให้เราทราบว่าภูมิภาคใดเป็นเป้าหมายและกี่ปี การวัดและส่งข้อมูลทางไกลเป็นจุดสำคัญของเรื่องนี้จริงๆ”อเล็กซิส โดไรส์-จอนคัส กล่าวต่อไป ข้อมูลทางเทเลเมตริกเหล่านี้ล้วนน่าสนใจยิ่งขึ้นเพราะเป็นการยากที่จะปลอมแปลง แน่นอนว่าผู้โจมตีสามารถพยายามลบหรือแก้ไขบันทึกของเครื่องที่เขาติดไวรัสได้ตลอดเวลา แต่หากบันทึกถูกคัดลอกและบันทึกไว้ในเซิร์ฟเวอร์บุคคลที่สามทันที ตามที่แนะนำโดยทั่วไป บันทึกนั้นจะไม่มีประโยชน์ ดังนั้นความสำคัญของการมีการจัดการบันทึกที่ดี
บางครั้งคำศัพท์ก็สับสน
เมื่อเรามาถึงขั้นตอนนี้ โดยทั่วไปแล้วนักวิเคราะห์จะสามารถเชื่อมโยงการโจมตีกับหนึ่งในนักแสดงที่ระบุไว้แล้วหรือในทางกลับกัน เพื่อกำหนดนักแสดงใหม่ นี่คือที่ที่ชื่อแปลกใหม่เหล่านี้ เช่น Equation Group, DarkHotel, PutterPanda ฯลฯ ปรากฏขึ้น บริษัทรักษาความปลอดภัยแต่ละแห่งจะมีระบบการตั้งชื่อของตัวเอง กลุ่มแฮ็กเกอร์ที่ FireEye ตั้งชื่อว่า "APT28" เรียกว่า "Sednit" โดย Eset และ "Fancy Bear" โดย CrowdStrike ชื่ออื่น ๆ กำลังหมุนเวียนเช่น Pawn Storm, Strontium หรือ Sofacy
ในการค้นหาเส้นทาง คุณจำเป็นต้องมีตารางการแปล โดยรู้ว่าการขนย้ายนี้ไม่ได้ผล 100%“บริษัทรักษาความปลอดภัยจะสแกนไคลเอนต์ของตนเพื่อหามัลแวร์และการโจมตีทุกวัน ทำให้พวกเขาสามารถอัปเดตชุดการบุกรุกได้ เนื่องจากพวกเขาทั้งหมดมีไคลเอนต์ที่แตกต่างกัน เซ็นเซอร์ของพวกเขาจึงตรวจจับการโจมตีที่แตกต่างกัน ซึ่งจำเป็นต้องสร้างความแตกต่างในคำจำกัดความของชุดและกลุ่มการบุกรุก”ติโม สเตฟเฟนส์ อธิบาย ตัวอย่างเช่น นักวิเคราะห์บางคนจะสร้างกลุ่มย่อยโดยที่คนอื่นๆ จะเห็นเพียงกลุ่มเดียว นักวิจัยด้านความปลอดภัย Florian Roth พยายามจัดกลุ่มคำต่างๆ เข้าด้วยกันสเปรดชีตของ Googleเข้าถึงได้อย่างอิสระ
บริษัทรักษาความปลอดภัยส่วนใหญ่จะไม่ใช้การระบุแหล่งที่มาอีกต่อไป พวกเขาเพียงแค่สร้างระบบการตั้งชื่อและอธิบายการโจมตีในทางเทคนิค อย่างดีที่สุด พวกเขาจะสามารถพูดได้ว่านักแสดงเป็นอาชญากรไซเบอร์ (เพราะเขาขโมยข้อมูลบัตรธนาคาร) หรือรัฐ (เพราะเขาสอดแนมหน่วยงานของรัฐ) และให้องค์ประกอบสมมุติบางประการเกี่ยวกับที่มาทางภูมิศาสตร์ของผู้โจมตี แต่พวกเขาจะไม่แถลงอย่างเป็นทางการเกี่ยวกับประเด็นนี้ แม้ว่าบางครั้งความเชื่อมั่นอันลึกซึ้งของพวกเขาจะแสดงผ่านการเลือกชื่อก็ตาม ดังนั้นคำว่าหมีใช้เพื่ออ้างถึงแฮกเกอร์ชาวรัสเซียและคำว่าแพนด้าหมายถึงแฮกเกอร์ชาวจีน
บริษัทบางแห่ง เช่น CrowdStrike และ FireEye มีความเสี่ยงมากกว่าและพยายามระบุองค์กรต่างๆ แต่นี่เป็นข้อยกเว้นมากกว่า -ทั้งหมดที่เราเห็นคือร่องรอยที่ผู้โจมตีทิ้งไว้ หากต้องการดำเนินการต่อและระบุตัวตนได้อย่างแท้จริง คุณต้องกรอกข้อมูลนี้และพึ่งพาแหล่งข้อมูลอื่น: คุณต้องสามารถยึดเซิร์ฟเวอร์ สกัดกั้นการสื่อสาร ดำเนินการดักฟัง ฯลฯ มันอยู่นอกเหนือการเข้าถึงของเรา”อเล็กซิส โดไรส์-จอนคัส อธิบาย งานนี้สามารถทำได้ดีโดยตำรวจตุลาการหรือหน่วยงานข่าวกรองเท่านั้น พวกเขาเป็นผู้เล่นเพียงกลุ่มเดียวที่มีเครื่องมือวิเคราะห์ดังกล่าว เมื่อรัฐหรือองค์กรของรัฐถูกแยกออกอย่างเป็นทางการ จะมีการสอบสวนโดยหน่วยงานบังคับใช้กฎหมายเสมอ
ข้อกล่าวหาอย่างเป็นทางการ ขั้นตอนสุดท้ายของการระบุแหล่งที่มา
ปัญหาคือการระบุแหล่งที่มานี้ไม่โปร่งใสเสมอไป ตอนที่สหรัฐฯ ฟ้องนายทหารจีนทั้ง 5 นายในปี 2014 ก็มีการฟ้องร้องพร้อมรายละเอียดทางเทคนิคมากมาย แต่รายงานอย่างเป็นทางการเกี่ยวกับการโจมตีของรัสเซียระหว่างการหาเสียงชิงตำแหน่งประธานาธิบดีอเมริกันไม่ได้ให้อะไรเลย (กริซลี่สเตปป์- และด้วยเหตุผลที่ดี การระบุแหล่งที่มานี้น่าจะขึ้นอยู่กับเทคนิคการเฝ้าระวังที่ไม่ควรถูกบุกรุก ในฐานะพลเมืองเราจึงยังคงหิวโหย และองค์กรชี้ให้เห็นสามารถปฏิเสธข้อสรุปของการวิเคราะห์ดังกล่าวได้อย่างง่ายดาย (ซึ่งรัสเซียทำ) แต่สิ่งนี้ไม่จำเป็นต้องจริงจังมากนัก เนื่องจากวัตถุประสงค์ที่ดำเนินการอยู่เหนือสิ่งอื่นใดทางการเมือง: ไม่ใช่คำถามของการแจ้งหรือโน้มน้าวความคิดเห็นของสาธารณะ แต่เป็นการเพิ่มแรงกดดันทางการทูตต่อฝ่ายตรงข้าม
ท้ายที่สุดแล้ว เราจะเห็นว่าการระบุแหล่งที่มานั้นเป็นศิลปะเชิงเทคนิคและยังเป็นศิลปะเชิงศิลปะเป็นส่วนใหญ่ มันมีประโยชน์มากสำหรับนักวิจัยด้านความปลอดภัยเพราะช่วยให้เข้าใจตรรกะของผู้โจมตีได้ดีขึ้น และปรับปรุงผลิตภัณฑ์ด้านความปลอดภัย แต่เมื่อถูกผลักดันจนสุดขอบเขตโดยมีข้อกล่าวหาจากทางการก็อาจกลายเป็นอาวุธทางการเมืองได้เช่นกัน
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
