מחקר: ההאקרים משתכללים ונוקטים בטקטיקות הטעיה לטשטוש זהותם

האקרים העומדים מאחורי התקפות ממוקדות משתמשים בטווח הולך ומתרחב של טכניקות הטעיה (False Flags), על מנת לטשטש את מקור ההתקפה, כך קובעים חוקרי קספרסקי (Kaspersky Lab) בדו"ח חדש שהנפיקו.

ההאקרים עושים זאת, בין היתר, בכך שהם שותלים חותמות זמן מזויפות, קוד זדוני ומחרוזות בשפות שונות, או מציגים פעילות בכיסוי של קבוצות שאינן קיימות, קובעים חוקרי האבטחה הבכירים בריאן ברת'ולומיו וחואן אנדרס גאוררו-סייד.

לדבריהם, "זהותה של הקבוצה העומדת מאחורי מתקפת סייבר ממוקדת היא אחת השאלות המרכזיות שכולם רוצים לענות עליה – למרות העובדה שקשה, אם לא בלתי אפשרי, להצביע במדויק על הגורם היוזם". השניים כתבו כי "ההאקרים התקדמו בשימוש ברמזים מטעים, כדי להונות את הקורבנות ואת חוקרי האבטחה".

אלה הם המאפיינים המרכזיים שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, לצד הסבר כיצד האקרים בלתי מוכרים מבצעים בהם מניפולציות: חותמות זמן, Timestamps – קבצי קוד זדוני מכילים חותמות המתעדות את הזמן בו נסגרו הקבצים. כך, ניתן לקבוע את שעות העבודה של המפתחים, ולהצביע על אזור הזמן הכללי של הפעילות שלהם.

חותמות זמן שכאלה קל מאוד לשנות; סימני שפה – קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל-Debug, היכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה, או השפות, שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה של Debug יכולות לחשוף שמות משתמש, שיטות למתן שמות פנימיים של קמפיינים או פרויקטים, או מסמכי פישינג הנושאים מטה-דטה.

עם זאת, ציינו החוקרים, "ההאקרים יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים, "סממני שפה מטעים בקוד הזדוני של Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלקברי (BlackBerry), סימנים בהודית בגרסת האנדרואיד ואת המילים johnClerk בכתובת ההפניה לפרויקט בגרסת ה-iOS – זאת בעוד שרבים חושדים כי הקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני ששימש את ההאקר המכונה Wild Neutron כולל מחרוזות שפה גם ברומנית וגם ברוסית".

תשתית וקישורים לשרתי השליטה

מציאת שרתי הפיקוד והשליטה המשמשים את התוקפים דומה למציאת כתובת הבית שלהם. התשתית יכולה להיות יקרה וקשה לתחזוקה, כך שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, אם הם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם, כשהם מחלצים מידע ממחשב נגוע או שרת דואר, או כשהם מכינים את הבמה לשרת פישינג, או מבצעים כניסה לשרת פרוץ. למרות זאת, כותבים השניים, "לעיתים, 'כשל' כזה הוא מכוון".

לגבי ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה, כותבים החוקרים כי "למרות שחלק מההאקרים מסתמכים על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות – והם שומרים עליהם בקנאות".

קורבנות המטרה

זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, כותבים חוקרי קספרסקי, "אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של Wild Neutron לדוגמה, רשימת הקורבנות הייתה כה מגוונת – שהיא רק הקשתה על ייחוס.

יתירה מכך, חלק מההאקרים מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם, כשהם פועלים במסווה של קבוצות של האקטיביסטים. כך, Lazarus group ניסתה לעשות זאת באמצעות הצגתה כ'מגני השלום', כאשר תקפה את סוני (Sony) ב-2014. ההאקר הידוע כ-Sofacy השתמש בטקטיקה דומה, כשהתחזה לכמה קבוצות האקטיביסטים".

"לא פחות חשוב", מציינים שני החוקרים, "הוא שלעיתים תוקפים ינסו להטיל את האשמה על אחרים. גישה זו אומצה על ידי ההאקר – שעדיין לא זוהה – TigerMilk, אשר חתם את הדלת האחורית שיצר באמצעות אותה תעודה גנובה ששימשה את Stuxnet".

"ייחוס של התקפות ממוקדות לתוקף הוא דבר מורכב, לא אמין וסובייקטיבי – והשחקנים בתחום מגבירים את הטיפול במאפיינים שהחוקרים מסתמכים עליהם – ובכך מטשטשים אף יותר את העקבות", מסכמים השניים. "לעיתים קרובות ייחוס מדויק הוא כמעט בלתי אפשרי. אך למודיעין איומים יש ערך עמוק ומדיד הרבה מעבר לשאלה 'מי עשה את זה' – קיים צורך להבין מי הם טורפי-העל במערכת הגלובלית של הקוד הזדוני".