Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

«Лаборатория Касперского» рассказала, как киберпреступники пытаются обмануть аналитиков



Новости    Безопасность




«Лаборатория Касперского» рассказала американцам о том, как киберпреступники пытаются обмануть аналитиков.

«Организаторы целевых атак все чаще используют различные обманные техники, чтобы сбить аналитиков с верного следа. Злоумышленники нередко оставляют ложные временные и языковые метки, используют специфическое вредоносное ПО и прикрываются «фальшивым флагом» хакерских группировок, иногда даже несуществующих. Об этом эксперты «Лаборатории Касперского» рассказали на форуме Virus Bulletin, который проходит в американском Денвере с 5 по 7 октября.

Идентификация группировок, которые стоят за целевыми и АРТ-атаками, – вопрос, вызывающий большой интерес как у исследователей угроз, так и у жертв, пострадавших от этих атак. Однако выяснить, кем на самом деле являются злоумышленники, крайне сложно, а зачастую даже невозможно. В немалой степени этому способствуют сами атакующие, тщательно «заметающие» свои следы. На примере некоторых индикаторов атак эксперты «Лаборатории Касперского» объясняют, как они это делают.

Временные метки

Вредоносное ПО содержит временные метки, которые указывают на то, когда был создан код. Анализ этих данных помогает вычислить рабочее время злоумышленников и определить часовой пояс, в котором они работают. Однако этот метод нельзя назвать хоть сколько-нибудь надежным, поскольку временные метки легко заменить и подделать.

Языковые метки

Во вредоносных файлах имеются строчки, написанные на определенном языке или языках. Также они могут содержать имена пользователей и внутренние названия операций и кампаний. Казалось бы, сам факт наличия конкретного языка позволяет сделать определенные выводы. Однако ничто не мешает злоумышленникам манипулировать этими уликами и вводить исследователей в заблуждение. Например, во вредоносном ПО, использовавшемся в атаках Cloud Atlas, имелись строки на арабском языке (в версии для BlackBerry) и хинди (для Android). При этом аналитики склонны предполагать, что группировка имеет восточноевропейское происхождение.

Инфраструктура и серверы

Найти командно-контрольный сервер злоумышленников – все равно что узнать их домашний адрес. Сделать это можно, например, в том случае, если атакующие предприняли недостаточно мер для сокрытия интернет-соединений при отправке данных на сервер или при получении от него команд. Но иногда эти «просчеты» злоумышленники совершают намеренно – так, в той же операции Cloud Atlas с целью запутать аналитиков использовались южнокорейские IP-адреса.

Инструментарий: вредоносное ПО, коды, пароли, эксплойты

Несмотря на то, что все больше АРТ-группировок полагаются на уже готовое вредоносное ПО, значительная доля злоумышленников предпочитает создавать свои собственные инструменты: бэкдоры, программы слежения, эксплойты и т.п. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на поле целевых атак. Однако и эту ситуацию атакующие могут использовать для прикрытия. Так, в ходе операции Turla злоумышленники столкнулись с тем, что загнали себя в угол внутри зараженной системы. И вместо того, чтобы в спешке начать сворачивать свое вредоносное ПО, они установили очень редкий зловред китайского происхождения, нити которого вели к серверам в Пекине, что не имело никакого отношения к Turla. В то время, пока аналитики распутывали этот ложный след, атакующие незаметно удалили свои программы и стерли все следы присутствия в системе.

Цели и жертвы

Иногда понять, кто стоит за атакой, помогает анализ ее жертв и целей. И злоумышленники прекрасно об этом знают. Именно поэтому они могут работать под ложным флагом, прикрываясь именем какой-либо хакерской группировки, необязательно даже реально существующей. Так, в атаках на Sony Pictures Entertainment в 2014 году группа Lazarus пыталась выдать себя за Guardians of Peace. А организаторы атак Sofacy делали все, чтобы их деятельность приписывали сразу нескольким хактивистам. Наконец, до сих пор еще не до конца изученная группировка TigerMilk подписывала свои бэкдоры тем же украденным сертификатом, которым ранее пользовались организаторы атак Stuxnet.

«Выяснение происхождения атаки – сложная задача, результаты которой всегда ненадежны и субъективны. А поскольку злоумышленники старательно манипулируют индикаторами атак и заметают следы, то о каких-либо конкретных выводах в плане атрибуции угрозы, на наш взгляд, говорить невозможно. Однако это обстоятельство вовсе не снижает ценность расследований кибератак – рядовые пользователи и специалисты по информационной безопасности должны знать, где и с какими именно угрозами они могут столкнуться и каковы будут их последствия. А мы, в свою очередь, должны предложить им надежную защиту. И в данном случае чем больше мы знаем о методах и целях атакующих, тем лучше мы будем распознавать и предотвращать угрозы», – отметил Брайан Бартоломью, антивирусный эксперт «Лаборатории Касперского».


Автор: Softodrom.ru
Дата:

26.11.2024 21:32

В МВД выявили новую мошенническую схему взлома iPhone

Мошенники массово взламывают айфоны под видом установки удаленных из App Store приложений


26.11.2024 02:16

Разработчиков антивирусов предложили штрафовать за утечки данных

Минэкономразвития и ФСТЭК предлагают распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информационной безопасности


21.11.2024 20:13

Роскомнадзор раскрыл, какую информацию о VPN запретит в России

С 30 ноября в России вступают в силу новые ограничения, касающиеся распространения информации о VPN


06.11.2024 20:44

VK впервые проводит месяц борьбы с кибербуллингом

VK запускает «Месяц борьбы с кибербуллингом» — информационную кампанию, посвященную борьбе с травлей в интернете и за его пределами


23.10.2024 19:52

Роскомнадзор пригрозил блокировкой звонков в мессенджерах

В России будет разработан комплекс требований к иностранными мессенджерам


Популярное: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


15.01.2023 09:34

15 бесплатных антивирусов для компьютера на Windows

Софтодром составил подборку из 15 бесплатных антивирусных программ для компьютера на Windows


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 23:52

Как защитить файл или папку паролем в Windows

Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится


20.06.2008 22:23

Самые популярные антивирусы в России по версии Comcon

Компания Comcon провела исследование распространения антивирусных решений среди российских пользователей



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (1343 / 171):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта