Здравствуйте, дорогие друзья.

Профили злоумышленников чрезвычайно разнообразны. От волков-одиночек до команд хакеров, разработчиков и аналитиков — определенно не существует стандартного профиля, который подходил бы им всем. Однако в этом разделе я попытаюсь описать, какие профили должны быть в составе команды, проводящей наступательные операции.

Хакер

Термин «хакер» является спорным, основные СМИ используют его для описания преступников, в то время как технические специалисты используют его для описания увлеченных или любителей. В нашем контексте мы будем использовать его для описания человека с продвинутыми навыками нападения, роль которого заключается в проведении разведки и эксплуатации целей.

Автор эксплойта

Авторы эксплойта часто являются разработчиками с глубоким пониманием безопасности. Их роль заключается в создании оружия, используемого его командой для взлома сетей и машин цели. В серой зоне работают целые компании, специализирующиеся на торговле эксплойтами, такие как Vupen или Zerodium.

Разработчик

Роль разработчика заключается в создании инструментов и имплантатов, используемых во время атаки. Действительно, использование общедоступных готовых инструментов значительно увеличивает риск обнаружения. Это навыки, которые мы изучим и практикуем в следующих разделах.

Системный администратор

После первоначального взлома, роль системного администратора заключается в управлении и обеспечении безопасности инфраструктуры, используемой злоумышленниками. Их знания также могут быть использованы на этапах эксплуатации и боковых перемещений.

Аналитик

При всех видах атак требуется знание предметной области. Роль аналитика заключается либо в предоставлении глубоких знаний о том, на что конкретно нацеливаться, либо в том, чтобы разобраться в отфильтрованных данных.

Атрибуция

Атрибуция — это процесс выявления и возложения вины на операторов, стоящих за кибератакой. Как мы увидим, это чрезвычайно сложная тема: изощренные злоумышленники проходят через множество сетей и стран, прежде чем поразить свою цель.

Атрибуция атак обычно основывается на следующих технических и операционных элементах:

Датах и времени действий злоумышленников, которые могут указывать на их часовой пояс — даже несмотря на то, что это может быть легко изменено путем перемещения команды в другую страну.

Артефакты, присутствующие в используемой вредоносной программе, например строка символов в определенном алфавите или язык — хотя можно вставить другой язык, чтобы обвинить кого-то другого.

Путем контратаки или взлома инструментов и инфраструктуры злоумышленников или даже путем отправки им ложных данных, которые могут привести их к ошибкам и, следовательно, к раскрытию их личности.

Наконец, просматривая форумы. Нет ничего необычного в том, что хакеры восхваляют свои достижения на специализированных форумах, чтобы одновременно раздуть свою репутацию и самолюбие.

В контексте кибервойны важно помнить, что публичное присвоение имен злоумышленникам может иметь больше отношения к политической повестке дня, чем к конкретным действиям.

На этом все. Всем хорошего дня!

Цикл статей по курсу Black Hat Rust.