#3 Black Hat Rust. Профили злоумышленников.
Здравствуйте, дорогие друзья.
Профили злоумышленников чрезвычайно разнообразны. От волков-одиночек до команд хакеров, разработчиков и аналитиков — определенно не существует стандартного профиля, который подходил бы им всем. Однако в этом разделе я попытаюсь описать, какие профили должны быть в составе команды, проводящей наступательные операции.
Хакер
Термин «хакер» является спорным, основные СМИ используют его для описания преступников, в то время как технические специалисты используют его для описания увлеченных или любителей. В нашем контексте мы будем использовать его для описания человека с продвинутыми навыками нападения, роль которого заключается в проведении разведки и эксплуатации целей.
Автор эксплойта
Авторы эксплойта часто являются разработчиками с глубоким пониманием безопасности. Их роль заключается в создании оружия, используемого его командой для взлома сетей и машин цели. В серой зоне работают целые компании, специализирующиеся на торговле эксплойтами, такие как Vupen или Zerodium.
Разработчик
Роль разработчика заключается в создании инструментов и имплантатов, используемых во время атаки. Действительно, использование общедоступных готовых инструментов значительно увеличивает риск обнаружения. Это навыки, которые мы изучим и практикуем в следующих разделах.
Системный администратор
После первоначального взлома, роль системного администратора заключается в управлении и обеспечении безопасности инфраструктуры, используемой злоумышленниками. Их знания также могут быть использованы на этапах эксплуатации и боковых перемещений.
Аналитик
При всех видах атак требуется знание предметной области. Роль аналитика заключается либо в предоставлении глубоких знаний о том, на что конкретно нацеливаться, либо в том, чтобы разобраться в отфильтрованных данных.
Атрибуция
Атрибуция — это процесс выявления и возложения вины на операторов, стоящих за кибератакой. Как мы увидим, это чрезвычайно сложная тема: изощренные злоумышленники проходят через множество сетей и стран, прежде чем поразить свою цель.
Атрибуция атак обычно основывается на следующих технических и операционных элементах:
Датах и времени действий злоумышленников, которые могут указывать на их часовой пояс — даже несмотря на то, что это может быть легко изменено путем перемещения команды в другую страну.
Артефакты, присутствующие в используемой вредоносной программе, например строка символов в определенном алфавите или язык — хотя можно вставить другой язык, чтобы обвинить кого-то другого.
Путем контратаки или взлома инструментов и инфраструктуры злоумышленников или даже путем отправки им ложных данных, которые могут привести их к ошибкам и, следовательно, к раскрытию их личности.
Наконец, просматривая форумы. Нет ничего необычного в том, что хакеры восхваляют свои достижения на специализированных форумах, чтобы одновременно раздуть свою репутацию и самолюбие.
В контексте кибервойны важно помнить, что публичное присвоение имен злоумышленникам может иметь больше отношения к политической повестке дня, чем к конкретным действиям.
На этом все. Всем хорошего дня!