28.06.2018

А вы сталкивались когда-нибудь с ливийским скорпионом?

Что меня всегда поражало в атрибуции киберугроз и приписывание тех или иных кибернападений тем или иным государствам и группировкам, так это четыре вещи:
  1. Потрясающие названия. Ну только вслушайтесь: "Ливийские скорпионы", "Пыльная буря", "Хищная панда", "Тропический кавалерист", "Ночной дракон", "Цветочная леди", "Ледяной туман", "Панда со скрипкой", "Обрезанный котенок", "Шакал повстанцев", "Скрытый ястреб" и т.п. Такое впечатление, что все усилия эксперты по ИБ тратят на придумывание названий, а не добычу доказательств и нормальную атрибуцию. Но надо признать, что выглядят такие высосанные из пальца названия хакерских групп солидно. Всегда приятно осознавать, что тебя атаковал какой-нибудь "Летучий кедр" (сразу вспоминается диалог из фильма "Операция "Ы"" про "...а чтоб никто не догадался"), а "группа неизвестных лиц неопределенной национальности" :-)
  2. Красивая визуализация.  Вторая половина усилий тратится на то, чтобы отрисовать комиксоподобные изображения хакерских группировок. Это выглядит красиво, но бессмысленно. Особенно когда натыкаешься на перечень всей "сувенирки", которая создается вокруг бездоказательных заявлений - футболки, брошюры, стикеры, скринсейверы, картины, календари


  3. Отсутствие доказательств. Потратив все силы на название и картинки, ИБ-компании уже почти не имеют ресурсов на то, чтобы представить сколь-нибудь серьезные доказательства национальной или государственной принадлежности хакерских групп. Одно дело представить набор индикаторов компрометации (и это очень полезно) и совсем другое дело - связать эти IoC с конкретной страной. Как эксперты умудряюются это делать, я не представляю. Точнее представляю, но к реальной экспертизе это не имеет никакого отношения.


  4. Почти полное отсутствие хакерских групп в США. Вот смотришь на разоблачения какого-нибудь Fireeye или CrowdStrike и думаешь, а почему в ваших списках APTxxx есть все геополитические противники США (Китай, Северная Корея, Иран, Ливия, Сирия), но нет ни одной американской группы хакеров? Их там нет? Или про них запрещают писать (не этим ли объясняется пропуски в нумерации групп, названия которы начинается с APTххх)?
В общем, атрибуция киберугроз вещь безусловно важная и нужная, но сегодня слишком политизированная и не имеющая ничего общего с реальной ИБ. Единственный плюс, который я вижу в том, что сегодня некоторые компании излишне усердствуют в придумывании "страшных" названий хакерских групп - это PR, внутренний и внешний. Согласитесь, гораздо круче выглядит, если вывести на карту атак не просто IP-адрес атакующего, а его название, и сообщить руководству, что компания была атакована "Обрезанным котенком", "Срущим слоном" или, что еще ужаснее, "Ливийскими скорпионами" :-)

Для тех, кому интересен список всех известных сегодня хакерских групп, могу посоветовать воспользоваться вчера анонсированным сайтом APTMAP:


2 коммент.:

Александр Германович комментирует...

Как это "отсутствие доказательств"??
В международной практике принято признавать за доказательство железный аргумент: highly likely.
А вообще-то, джентльменам нужно на слово верить.

Евгений комментирует...

«Англичане во всём мире известны отсутствием совести в политике. Они знатоки искусства прятать свои преступления за фасадом приличия. Так они поступали веками, и это настолько стало частью их натуры, что они сами больше не замечают этой черты. Они действуют с таким благонравным выражением и такой абсолютной серьёзностью, что убеждают даже самих себя, что они служат примером политической невинности. Они не признаются себе в своём лицемерии. Никогда один англичанин не подмигнёт другому и не скажет: „но мы понимаем, что имеем в виду“. Они не только ведут себя как образец чистоты и непорочности — они себе верят. Это и смешно, и опасно» (c)