Kaspersky Threat Attribution Engine przyporządkowuje ataki do ugrupowań APT

Przeczytaj także: Jak przerwać zabójczy łańcuch, czyli o atakach APT

Rozwiązanie to zostało stworzone na podstawie wewnętrznego narzędzia wykorzystywanego przez Globalny Zespół ds. Badań i Analiz firmy Kaspersky (GreAT) – światowej klasy zespół doświadczonych ekspertów zajmujących się wyszukiwaniem zagrożeń. Kaspersky Threat Attribution Engine został użyty między innymi w dochodzeniu dotyczącym implantu iOS LightSpy oraz takich kampanii jak TajMahal, ShadowHammer, ShadowPad i Dtrack.

Aby ustalić czy dane zagrożenie jest powiązane, a jeśli tak, to z którym ugrupowaniem APT czy kampanią cyberprzestępczą, Kaspersky Threat Attribution Engine rozkłada nowo wykryty szkodliwy plik na małe elementy binarne. Następnie porównuje je z tymi znajdującymi się w kolekcji ponad 60 000 plików związanych z atakami APT, zgromadzonej przez firmę Kaspersky. W celu zapewnienia dokładniejszego przypisania autorstwa rozwiązanie wykorzystuje również obszerną bazę bezpiecznych plików (tzw. białą listę).

W zależności od stopnia podobieństwa analizowanego pliku do próbek w bazie danych Kaspersky Threat Attribution Engine kalkuluje jego wskaźnik reputacji oraz wskazuje możliwe pochodzenie oraz autora wraz z krótkim opisem oraz odsyłaczami do prywatnych i publicznych zasobów przedstawiających wcześniejsze kampanie. Subskrybenci usługi Kaspersky APT Intelligence Reporting mogą uzyskać obszerny raport na temat taktyk, technik i procedur stosowanych przez zidentyfikowane ugrupowanie cyberprzestępcze, jak również wskazówki dotyczące dalszych działań do podjęcia.

Kaspersky Threat Attribution Engine został zaprojektowany z myślą o wdrażaniu lokalnie w sieci klienta, a nie w środowisku chmury podmiotu zewnętrznego. W ten sposób klient uzyskuje kontrolę nad wymianą danych. Dodatkowo klienci mogą stworzyć własną bazę danych, wypełniając ją próbkami szkodliwego oprogramowania wykrytymi przez wewnętrznych analityków. W ten sposób Kaspersky Threat Attribution Engine nauczy się dopasowywać szkodliwe oprogramowanie do tego, które znajduje się w bazie danych klienta, zapewniając poufność tych informacji.

Istnieje kilka sposobów identyfikowania sprawcy ataku. Analitycy mogą opierać się na artefaktach w szkodliwym oprogramowaniu, które pozwolą określić ojczysty język przestępców, lub na adresach IP, które zasugerują ich lokalizację. Jednak wprawny cyberprzestępca potrafi łatwo manipulować takimi informacjami, w rezultacie czego prowadzone przez badacza dochodzenie grzęźnie w martwym punkcie, co zdarza się często. Z naszego doświadczenia wynika, że najlepszym sposobem jest szukanie podobieństw w kodzie pomiędzy badanymi próbkami a tymi, które zostały zidentyfikowane we wcześniejszych incydentach czy kampaniach. Niestety, wykonanie tego ręcznie może zająć kilka dni, a nawet miesięcy. Aby przyspieszyć to zadanie, stworzyliśmy Kaspersky Threat Attribution Engine, który jest już dostępny dla naszych klientów – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.