At­tri­bu­ti­on: wie zit er ach­ter cy­ber­aan­val­len

De ba­sics en gren­zen bij het zoe­ken naar da­ders Het is al aar­dig nor­maal ge­wor­den dat po­li­ti­ci en me­dia bij hacks met de vin­gers wij­zen naar mo­ge­lij­ke da­ders. Om de ge­loof­waar­dig­heid van der­ge­lij­ke uit­spra­ken te kun­nen in­schat­ten moet je we­ten wat de ach

C’t Magazine - - Inhoud - Ti­mo St­ef­fens

Er wordt in de Ver­e­nig­de Sta­ten druk ge­dis­cus­si­eerd over wie er ach­ter de hack op de De­mo­cra­ti­sche Par­tij zit. Bij on­ze oos­ter­bu­ren ma­ken over­heids­in­stan­ties zich druk over groe­pen als APT28 (So­fa­cy) en hun mo­ge­lij­ke be­trok­ken­heid bij een hack bin­nen de IT-om­ge­ving van het par­le­ment. Hier­bij vraag je je af: waar ko­men de­ze at­tri­bu­ti­on-uit­spra­ken van­daan en hoe be­trouw­baar zijn ze pre­cies? Om hier ach­ter te ko­men, moet je we­ten hoe cy­ber­spi­o­na­ge-aan­val­len ver­lo­pen. Ze zijn over het al­ge­meen te be­schrij­ven aan de hand van een ide­a­le cy­ber­kill­chain. De da­ders gaan als eer­ste op ver­ken­ning uit, bij­voor­beeld door van re­le­van­te per­so­nen uit te zoe­ken waar ze wer­ken en wat hun ge­woon­tes zijn. Vaak gaat het bij de eer­ste aan­val al­leen maar om toe­gang krij­gen tot pc's of een net­werk om zo dich­ter bij het uit­ein­de­lij­ke doel te ko­men.

Hier­voor kie­zen de aan­val­lers een mal­wa­re­pro­gram­ma dat ze op de pc van het slacht­of­fer kun­nen zet­ten en zo de pc on­der con­tro­le kun­nen krij­gen. Dit doen ze bij­voor­beeld met een op maat ge­maak­te ex­ploit die ge­bruik maakt van een vei­lig­heids­lek. Vaak wordt het slacht­of­fer met trucs ver­leid om scha­de­lij­ke co­de uit te voe­ren. De be­wus­te per­so­nen ont­van­gen dan een spe­ci­fiek op hen aan­ge­pas­te mail (spear-phis­hing). An­de­re ma­nie­ren om te in­fec­te­ren zijn web­si­tes die het slacht­of­fer be­zoekt (wa­ter­ho­le-at­tack) of een zo­ge­naamd ver­lo­ren usb-stick die de per­soon vindt en in een pc stopt.

Na de in­stal­la­tie van de mal­wa­re be­gint de ver­sprei­ding bin­nen het lo­ka­le net­werk, de zo­ge­naam­de la­te­ral­mo­ve­ment. Dit ge­beurt vaak in meer­de­re stap­pen tot­dat het uit­ein­de­lij­ke doel van de aan­val wordt be­reikt. Zo­dra de aan­val­ler de ge­zoch­te da­ta heeft op­ge­dui­keld, wor­den de­ze da­ta via een ex­ter­ne ser­ver (die de da­der on­der con­tro­le heeft) weg­ge­sluisd en is de mis­sie ge­slaagd.

Spo­ren­on­der­zoek

Al de­ze ac­ties la­ten spo­ren ach­ter. De aan­vals­mail staat in de in­box van het slacht­of­fer. Bin­nen­ge­haal­de mal­wa­re en root­kits, waar­mee de da­der zich steeds ver­der in de pc nes­tel­de, en tools om bin­nen het net­werk te ver­sprei­den staan op de gein­fec­teer­de pc's. Event-logs, het re­gis­ter, scha­duw­be­stan­den, pre­fetch-fi­les: een Win­dows-sys­teem biedt veel in­for­ma­tie­bron­nen voor een fo­ren­sisch on­der­zoe­ker.

De da­ders pro­be­ren vaak spo­ren weg te poet­sen. Maar als de aan­ge­val­len in­stan­ties of per­so­nen na het ont­dek­ken van de in­braak be­dacht­zaam te werk gaan, heb­ben de da­ders vaak niet ge­noeg tijd om spo­ren te wis­sen. Soms lig­gen de spo­ren ook bui­ten het be­reik van de da­ders. Wan­neer een in­bre­ker bij­voor­beeld van­uit een pc ver­bin­ding maakt met een an­de­re pc, logt de event-log van de Ac­ti­ve Di­rec­to­ry lo­gins die na­der­hand na­ge­plo­zen kun­nen wor­den. Bij het down­lo­a­den van tools of het weg­slui­zen van be­stan­den be­lan­den de doel­adres­sen van de ex­ter­ne ser­ver in de logs van de fire­wall of proxy­ser­ver. De uit de in­box van de ge­brui­ker ge­wis­te mail zit mo­ge­lijk in de back-up van de IMAP-ser­ver. Al de­ze sys­te­men hac­ken om spo­ren te wis­sen gaat op­val­len en laat op zijn beurt ook weer spo­ren ach­ter.

Een aan­tal spo­ren zijn via ex­ter­ne sys­te­men te her­lei­den. Zo wer­ken veel an­ti­vi­rust­ools met in-the-cloud-her­ken­ning. Dat houdt in dat de an­ti­vi­rus bij het star­ten van een nieuw pro­gram­ma via de cloud checkt of hij het pro­gram­ma al eer­der heeft ge­zien. Zelfs als het pro­gram­ma op dat mo­ment nog niet op­viel, kan de ont­wik­ke­laar ach­ter­af be­pa­len wan­neer het pro­gram­ma voor het eerst op­dook en hoe het zich heeft ver­spreid. Met een beet­je ge­luk ko­men op­val­len­de za­ken bo­ven wa­ter zo­als een be­paal­de lo­ca­tie die steeds te­rug­komt of po­pu­la­ri­teit bin­nen be­paal­de bran­ches.

Als een ont­van­ger van een mail met mal­wa­re ach­ter­doch­tig wordt, wordt het ver­dach­te do­cu­ment mis­schien ge­üpload naar een dienst als Vi­rus­To­tal, dat de re­sul­ta­ten van meer dan 40 an­ti­vi­rus-scan­ners toont. Wat veel men­sen niet we­ten is dat Vi­rus­To­tal de scan­re­sul­ta­ten en de ge­üplo­a­de be­stan­den aan der­den ter be­schik­king stelt. En daar wordt flink voor be­taald. Vrij­wel elk IT-se­cu­ri­ty­be­drijf dat wat voor­stelt heeft zo'n abon­ne­ment en kan de ge­ge­vens ge­richt ana­ly­se­ren.

Voor­al spo­ren die uit­ge­breid te ana­ly­se­ren zijn, zijn erg waar­de­vol. Events met een tijd­stem­pel, zo­als je voor­al in log­be­stan­den ziet, spe­len een cen­tra­le rol. Hie­ruit kun je niet al­leen het ver­loop van een in­braak re­con­stru­e­ren, maar ook een pa­troon ont­dek­ken: wan­neer wa­ren de in­bre­kers ac­tief, zit­ten er op­mer­ke­lij­ke pau­zes in, en­zo­voorts. Ook de ma­nier waar­op de aan­val­lers te werk gaan kan een be­lang­rijk spoor zijn. Men­sen zijn ge­woon­te­die­ren en sys­te­ma­tisch te werk gaan bij een com­plexe taak is niet te ver­mij­den. Al­le hac­kers heb­ben een tool­set waar­mee ze goed uit de voe­ten kun­nen en die ze, vaak zelfs steeds op de­zelf­de ma­nier, ge­brui­ken. In het bes­te ge­val is het ge­drags­pa­troon een soort vin­ger­af­druk waar je een da­der of groep aan kunt her­ken­nen.

De com­mand­line-his­to­rie van sys­te­men waar­op is in­ge­bro­ken le­vert niet al­leen in­for­ma­tie over de ac­ti­vi­tei­ten van de aan­val­ler, maar ook over diens skills en hoe ver­trouwd hij is met het sys­teem. Met wat ge­luk vind je daar, of in een ge­heu­gen­dump, zelfs wacht­woor­den die de aan­val­lers heb­ben ge­bruikt om zich aan te mel­den via een ach­ter­deur of voor het ver­sleu­te­len van ge­ge­vens die weg wor-

den ge­sluisd. Ook hac­kers re­cy­clen hun wacht­woor­den. Als je de­zelf­de wacht­woor­den of een ver­ge­lijk­ba­re tac­tiek al eer­der hebt ge­zien, is de kans groot dat het om de­zelf­de aan­val­ler gaat.

Spo­ren in mal­wa­re

De bij de in­braak vei­lig­ge­stel­de mal­wa­re (sam­ples) is een van de meest be­lang­rij­ke in­for­ma­tie­bron­nen. Een van de be­lang­rijk­ste aan­na­mes van at­tri­bu­ti­on is dat da­ders hun tools over een lan­ge­re ter­mijn tel­kens weer ge­brui­ken. El­ke keer weer een com­ple­te tool­kit van de grond af aan op­tui­gen is veel te be­wer­ke­lijk.

Ze pas­sen hun tools steeds weer aan, ha­len er bugs uit en stop­pen er nieu­we func­ties in, net als bij nor­ma­le soft­wa­re. Ze de­len hun ei­gen re­cept niet graag en hou­den hun in ei­gen huis ge­op­ti­ma­li­seer­de tools lie­ver ge­heim. Op de­ze ma­nier zijn de tools erg han­dig te her­lei­den tot een be­paal­de per­soon of groep. De­ze aan­na­me is in de prak­tijk al be­we­zen. Zo kon Sy­man­tec de Co­ren­try-mal­wa­re aan de hand van de Vault7-leaks met zeer ho­ge waar­schijn­lijk­heid lin­ken aan de CIA. Zo­als de leaks aan­ge­ven, ge­bruik­te de CIA als eni­ge de in­tern Flux­wi­re ge­doop­te tool van 2011 tot 2015 en ont­wik­kel­de het in die tijd steeds meer.

Sam­ples ver­ra­den vaak nog veel meer. Zo be­vat­ten ze in de he­a­der, de Por­ta­ble Exe­cu­ta­ble (PE) He­a­der, het tijd­stip waar­op de mal­wa­re is ge­maakt. En daar vind je ook taal-ID's die bij het op­stel­len door het be­stu­rings­sys­teem van de ont­wik­ke­laar au­to­ma­tisch wor­den in­ge­steld op de taal­in­stel­ling van zijn pc. Uit an­de­re soor­ten be­stan­den kun je ver­ge­lijk­ba­re me­ta-in­for­ma­tie ha­len. Zo wa­ren de voor spear-phis­hing ge­bruik­te lok­do­cu­men­ten die de La­dy Boy­le-ex­ploit trig­ger­den al­le­maal in het En­gels op­ge­steld. Maar de Word-ver­sie waar­in de do­cu­men­ten wa­ren aan­ge­maakt ge­bruik­te de co­de­pa­ge Win­dows Sim­pli­fied Chi­ne­se (PRC, Singapore).

Weg­sluis­ser­vers

Om da­ta weg te slui­zen of com­man­do's bin­nen te krij­gen, legt veel mal­wa­re con­tact met een zo­ge­naam­de com­mand&control-ser­ver (c&c). Met wat ge­luk vind je het bij­be­ho­ren­de adres te­rug in de logfi­les bij de ge­hack­te be­drij­ven of or­ga­ni­sa­ties. Maar vaak kun je ook van­uit de sam­ples ip-adres­sen of ser­ver­na­men ach­ter­ha­len.

De­ze c&c-ser­vers zijn het twee­de be­lang­rij­ke spoor. Ook hier­bij wordt aan­ge­no­men dat da­ders ze ex­clu­sief en voor lan­ge tijd ge­brui­ken. Dat blijkt in de prak­tijk ook goed te klop­pen. Zo ge­bruik­te de door Man­di­ant APT1 ge­doop­te groep ve­le ja­ren het c&c-do­mein blu­ecoa­te.com, een naam die sterk lijkt op die van de IT­se­cu­ri­ty­fir­ma Blu­ecoat. So­wie­so ge­bruik­te de­ze groep graag na­men voor do­mei­nen die wa­ren af­ge­leid van IT-se­cu­ri­ty­fir­ma's.

De ge­ge­vens die voor het re­gi­stre­ren van het do­mein no­dig zijn (mail­adres, naam, tech­ni­sche con­tact­per­soon) zijn ech­ter zo goed als al­tijd nep. Maar ze wor­den wel vaak meer­de­re ke­ren ge­bruikt. Via com­mer­ci­ë­le Whois-aan­bie­ders als Do­mainTools en Pas­si­veTo­tal, die spe­ci­a­le do­main­query's toe­staan, kun je een lijst met al­le on­der een be­paal­de naam ge­re­gi­streer­de do­mei­nen op­vra­gen.

Op die ma­nier vond Crowd­stri­ke een c&c-ser­ver die door 'to­nyy star­ke' was ge­re­gi­streerd, een naam af­ge­leid van de hoofd­per­soon uit de Iron­man-co­mics. Via de re­ver­se-se­arch op de­ze naam kwam er een he­le reeks c&c-ser­vers bo­ven wa­ter, die ze in de Iron­man-cam­pag­ne stop­ten. Met be­hulp van de­ze ser­ver­na­men was het mo­ge­lijk nog meer niet eer­der op­ge­merk­te sam­ples te lo­ka­li­se­ren die con­tact leg­den.

Als IT-se­cu­ri­ty­fir­ma's of aan­kla­gers toe­gang krij­gen tot een c&c-ser­ver, is dat enorm han­dig. Want an­ders dan op vij­an­dig ter­rein (de ge­hack­te net­wer­ken) voe­len de da­ders zich daar thuis en ge­brui­ken min­der vei­lig­heids­maat­re­ge­len. Daar zijn veel ver­sies van de­zelf­de tools en soms zelfs bron­co­de te vin­den. De on­der­de­len aan de ser­ver­kant zijn over het al­ge­meen in niet com­pi­leer­de script­ta­len ge­bouwd en be­vat­ten soms han­dig com­men­taar. Zelfs voor hac­kers is het las­tig om met on­ge­do­cu­men­teer­de co­de te wer­ken.

Tij­dens het on­der­zoek van de Ghost­net-cam­pag­ne, waar­bij me­de­wer­kers van de Da­lai La­ma wer­den be­spi­o­neerd, werd op een c&c-ser­ver een ge­bruiks­vrien­de­lij­ke userin­ter­fa­ce ge­von­den. De­ze toon­de een lijst met al­le ge­ïn­fec­teer­de pc's die con­tact had­den met de ser­ver, met daar­bij het ip-adres en de laat­ste keer dat er con­tact was ge­legd. De na­men van de ko­lom­men en me­nu's wa­ren over­we­gend Chi­nees.

Aan­vals­clus­ter

Een en­ke­le aan­val aan een be­paal­de da­der lin­ken is in de mees­te ge­val­len on­mo­ge­lijk. Pro­fes­si­o­ne­le cy­ber­spi­o­na­ge­aan­val­len wor­den ech­ter meer dan één keer uit­ge­voerd. De eer­ste stap bij at­tri­bu­ti­on is het sa­men­voe­gen van meer­de­re

ver­ge­lijk­ba­re aan­val­len tot een clus­ter met ver­ge­lijk­ba­re ken­mer­ken. Ana­lis­ten ge­ven de­ze dan na­men als APT1, Hi­d­den Lynx of Pawn Storm.

Het is be­lang­rijk om zo veel mo­ge­lijk aan­wij­zin­gen uit ver­schil­len­de bron­nen te ver­za­me­len, ze te ver­ge­lij­ken en te chec­ken op te­gen­strij­dig­he­den. Hoe meer over­een­ko­men­de be­wij­zen, hoe be­trouw­baar­der de clas­si­fi­ca­tie. En de be­wij­zen wor­den ook ge­wo­gen aan de hand van hoe sterk ze zijn.

Ster­ke over­een­kom­sten zijn het ge­bruik van de­zelf­de host­na­mes voor com­mand&control-ser­vers, de­zelf­de mal­wa­re, iden­tie­ke wacht­woor­den en/of cer­ti­fi­ca­ten. Zwak­ke­re over­een­kom­sten zijn ver­ge­lijk­ba­re slacht­of­fers, stuk­ken iden­tie­ke co­de in de soft­wa­re, re­gi­stra­tie­da­ta voor c&c-do­mei­nen of een be­paal­de ma­nier van ver­sprei­den bin­nen een in­tern net­werk.

In een re­cent ge­a­na­ly­seerd ge­val wer­den in het net­werk waar­op was in­ge­bro­ken de down­lo­a­ders Co­res­hell en DownRa­ge en vpn-tool X-Tun­nel vei­lig­ge­steld. De­ze leg­den con­tact met de al be­ken­de c&c-ser­ver azu­re­on-li­ne.com. De eer­ste in­fec­tie ge­beur­de via een link naar een nep-nieuws­si­te, die de be­zoe­kers na het on­ge­merkt star­ten van de mal­wa­re door­stuur­de naar het ech­te ar­ti­kel op de BBC-web­si­te.

De­ze in­di­ca­to­ren pas­sen goed bij een ma­nier van wer­ken van een al be­ken­de groep met de naam APT28. De groep ge­bruikt zo­wel de tools die zijn ge­von­den en de c&c-ser­ver als ver­ge­lijk­ba­re in­fec­tie­me­tho­des. Dus de nieu­we aan­val kon vrij­wel ze­ker aan APT28 toe­ge­schre­ven wor­den.

Het komt voor dat iets wordt toe­ge­schre­ven aan een da­der op ba­sis van min­der ster­ke in­di­ca­to­ren. Dat le­vert ver­war­ring op. Een aan­tal maan­den ge­le­den werd bij de oos­ter­bu­ren be­weerd dat de hac­ker­groep Win­n­ti de Duit­se in­du­strie be­spi­o­neer­de. Bij een in­braak op het net­werk van het tech­no­lo­gie­be­drijf Thys­senKrupp werd de back­door- en re­mo­te­ac­cess-tool Win­n­ti ont­dekt. Ook bij an­de­re spi­o­na­ge-aan­val­len op Duit­se be­drij­ven dook de­ze op. Oor­spron­ke­lijk werd Win­n­ti zeer ge­richt in­ge­zet voor aan­val­len op ga­me­be­drij­ven – niet om te spi­o­ne­ren, maar voor fi­nan­ci­eel ge­win. De naam van de mal­wa­re werd ge­maks­hal­ve ook ge­bruikt als naam voor de ver­ant­woor­de­lij­ke hac­kers­groep. En die groep zou nu over­ge­stapt zijn op het aan­val­len van sys­te­men bin­nen de Duit­se in­du­strie. Maar om­dat er geen ver­de­re over­een­kom­sten met het Win­n­ti­clus­ter te vin­den wa­ren, bij­voor­beeld qua c&c-ser­vers, geeft on­der an­de­re het Duit­se BSI CERT (mi­nis­te­rie van IT-vei­lig­heid, Com­pu­ter Emer­g­en­cy Re­spon­se Team) dui­de­lijk aan dat het mo­ge­lijk is dat een an­de­re groep toe­gang heeft we­ten te krij­gen tot de­ze tool.

Land van her­komst

De twee­de stap in at­tri­bu­ti­on is het clus­ter her­lei­den tot een be­paal­de lo­ca­tie. De cui bo­no of­te­wel wie er pro­fijt van heeft is vaak een eer­ste hint. In wel­ke re­gio zit het slacht­of­fer? Wie heeft daar mo­ge­lijk baat bij? En in wel­ke bran­che zit de ge­trof­fen or­ga­ni­sa­tie en wie kan ge­ge­vens uit de­ze bran­che goed ge­brui­ken?

Maar het komt voor dat cui bo­no niks op­le­vert. Een groep als Am­ne­sty In­ter­na­ti­o­nal heeft zo­veel mach­ti­ge vij­an­den dat aan­val­len van­uit meer­de­re fron­ten mo­ge­lijk zijn. Cui bo­no kan nooit de eni­ge ba­sis voor at­tri­bu­ti­on zijn.

De her­komst van de da­ders is vaak te ach­ter­ha­len door dui­de­lij­ke aan­wij­zin­gen in de taal­in­stel­lin­gen. De­ze dui­ken ook op on­ver­wach­te plek­ken op. Veel groe­pen ge­brui­ken Re­mo­te Desktop (RDP) om op de pc's van slacht­of­fers in te log­gen. De client stelt aan de hand van het sys­teem waar­op hij draait au­to­ma­tisch de toet­sen­bord­in­stel­lin­gen in. Een ana­list kan zo via het RDP-pro­to­col ach­ter­ha­len dat de da­der op zijn ei­gen pc de taal­in­stel­lin­gen op Ko­re­aans heeft staan.

De­ze in­for­ma­tie over de taal wordt vaak aan­ge­vuld door stan­daard speur­werk waar­bij pa­tro­nen wor­den her­kend, de zo­ge­naam­de Pat­terns of Li­fe. Zo­dra je tien­tal­len ver­sies van mal­wa­re ana­ly­seert en hebt be­paald dat ze net als bij Re­dLe­a­ves nooit in het week­end of op vrije da­gen wor­den ge­com­pi­led, maar al­leen op nor­ma­le werk­da­gen tus­sen 8:00 en 18:00 in een Azi­a­ti­sche tijd­zo­ne, is dat zeer nut­ti­ge in­for­ma­tie.

Ook de week­da­gen waar­op aan de mal­wa­re wordt ge­sleu­teld kun­nen hints op­le­ve­ren. De mal­wa­re van de groe­pen Ca­del­le en Cha­fer werd bij­voor­beeld steeds tus­sen za­ter­dag en don­der­dag ge­maakt. De­ze ver­scho­ven werk­week kan dui­den op Iran. Dit werd ver­sterkt door de da­tum­weer­ga­ve in het pad van het da­ta­ba­se­be­stand (PDB) die over­een­kwam met de Iraan­se zon­ne­ka­len­der.

Geen ac­ti­vi­teit op be­paal­de land­spe­ci­fie­ke feest­da­gen kan een at­tri­bu­ti­on-

Het is be­lang­rijk om zo veel mo­ge­lijk aan­wij­zin­gen uit ver­schil­len­de bron­nen te ver­za­me­len, ze te ver­ge­lij­ken en te

chec­ken op te­gen­strij­dig­he­den

hy­po­the­se on­der­steu­nen. Pau­zes ge­du­ren­de de zeer lang­du­ri­ge fes­ti­vi­tei­ten van Chi­nees Nieuw­jaar zijn aan de ene kant een dui­de­lij­ke clue, maar aan de an­de­re kant ook mak­ke­lijk te fa­ken door niet-Chi­ne­se hac­ker­groe­pen. Het is be­ter om een cross-check te ge­brui­ken. Zo­dra er op lo­ka­le vrije da­gen veel ac­ti­vi­teit is, zijn de lan­den die dan een vrije dag heb­ben eer­der ver­dacht. Over het al­ge­meen moet je net als bij de taal­in­stel­lin­gen de pa­tro­nen van een clus­ter uit ver­schil­len­de bron­nen met el­kaar ver­ge­lij­ken en op te­gen­strij­dig­he­den con­tro­le­ren.

Bij het pin­poin­ten tot een be­paal­de lo­ca­tie wordt vaak ook au­to­ma­tisch de bij­be­ho­ren­de re­ge­ring ver­dacht of door hen ge­steun­de (pa­ra)mi­li­tai­re een­he­den en in­lich­tin­gen­dien­sten. Dit houdt ech­ter geen re­ke­ning met dat spi­o­na­ge ook door lo­ka­le ge­or­ga­ni­seer­de mis­daad uit­ge­voerd kan zijn. Een on­der­scheid ma­ken op ba­sis van puur tech­ni­sche ken­mer­ken is vrij­wel niet te doen.

Per­soon­lijk

Slechts in zeld­za­me ge­val­len lukt stap drie bij at­tri­bu­ti­on: de con­clu­sie dat een aan­val af­kom­stig is van een spe­ci­fiek be­drijf of spe­ci­fie­ke in­lich­tin­gen­dienst. En de be­wus­te per­so­nen ach­ter­ha­len is al he­le­maal zeld­zaam. Maar het is haal­baar, bij­voor­beeld bij fou­ten bij het re­gi­stre­ren van een do­mein. Zelfs be­hoor­lijk ge­a­van­ceer­de aan­val­lers en hac­ker­groe­pen waar­van je denkt dat ze een goed draai­boek heb­ben voor hun aan­val­len en het on­der­hou­den van hun in­fra­struc­tuur, ma­ken soms fou­ten.

Een van de meest be­ken­de ge­val­len is de ana­ly­se van APT1 door Man­di­ant. De ana­lis­ten von­den meer­de­re ke­ren het pseu­do­niem UglyGo­ril­la in de mal­wa­re Ma­ni­tsme of bij de re­gi­stra­tie van een do­mein met het mail­adres UglyGo­ril­la@163. com. Door wat ver­der speur­werk kwa­men ze ou­de­re, maar qua in­houd pas­sen­de fo­rum-ac­counts te­gen met de­zelf­de ali­as. De­ze wa­ren ge­kop­peld aan een pro­fiel­si­te met de naam Wang Dong.

Een bij­zon­der spre­kend voor­beeld is Crowd­stri­kes be­richt rich­ting Put­ter Pan­da. De ge­brui­kers­naam cppy die door de ver­moe­de­lij­ke da­der werd ge­bruikt voor het re­gi­stre­ren van c&c-do­mei­nen, dook ook op op ver­schil­len­de fo­ra en fo­to­dien­sten. Aan de hand van een mi­li­tair hoofd­dek­sel op de ach­ter­grond van een foto, werd ie­mand met mi­li­tair ken­merk 61486 ge­ï­den­ti­fi­ceerd. Bo­ven­dien schoot cppy foto's van­uit het raam van zijn kan­toor. De daar­op af­ge­beel­de gi­gan­ti­sche scho­tel­an­ten­nes en de ori­ën­ta­tie van de kan­toor­ge­bou­wen kwa­men over­een met een ge­bou­wen­com­plex van het Volks­be­vrij­dings­le­ger in Shang­hai. De zwak­te van dit soort doxing-me­tho­des is dat je nooit kunt uit­slui­ten dat ver­schil­len­de per­so­nen ge­brui­kers­na­men als UglyGo­ril­la en cppy ge­brui­ken. Het is en blijft dan ook hard no­dig om de sa­men­hang tus­sen de fo­ra-ac­counts na te gaan, bij­voor­beeld via ver­schil­len­de aan­wij­zin­gen over het stu­de­ren aan de­zelf­de uni­ver­si­teit, een ver­blijf in het buitenland op de­zelf­de tij­den en het zich be­zig­hou­den met de­zelf­de the­ma's.

Ook doxing kan niet als de eni­ge ma­nier voor at­tri­bu­ti­on wor­den ge­bruikt. Vaak kan het wel het on­der­zoek in een be­paal­de rich­ting stu­ren, waar­na dan meer­de­re spo­ren en hints bo­ven wa­ter ko­men. Het Ame­ri­kaan­se ge­rechts­hof vond de op die ma­nier ach­ter­haal­de in­for­ma­tie over­tui­gend ge­noeg om in 2014 de of­fi­cie­ren ach­ter de pseu­do­nie­men UglyGo­ril­la en cppy bij ver­stek voor cy­ber­spi­o­na­ge te ver­oor­de­len.

Dwaal­spoor

De groot­ste uit­da­ging bij at­tri­bu­ti­on is het feit dat je vrij­wel ze­ker met pro­fes­si­o­nals van doen hebt. En daar moet je van ver­wach­ten dat ze je op een dwaal­spoor wil­len bren­gen. Niet al­leen om zich­zelf bui­ten schot te hou­den, maar ook om an­de­ren on­te­recht de schuld in de schoe­nen pro­be­ren te schui­ven. Dat geldt nog ster­ker als er mi­li­tai­re tak­ken en ge­hei­me

dien­sten bij be­trok­ken zijn. Hier­bij is ca­mou­fla­ge en ver­war­ring zaai­en vrij­wel stan­daard. Het is niet zon­der re­den dat de term Fal­se Flag Ope­ra­ti­ons uit de ma­ri­tie­me oor­logs­voe­ring komt, waar­bij het to­nen van een val­se vlag voor de aan­val lan­ge tijd als slim­me en le­gi­tie­me oor­log­s­truc gold.

Goe­de ana­lis­ten leg­gen om die re­den al­tijd nieu­we be­vin­din­gen uit ver­schil­len­de bron­nen naast el­kaar. Bij za­ken die el­kaar te­gen­spre­ken wor­den ze ex­tra kri­tisch. Klop­pen bij­voor­beeld de spraak­in­stel­lin­gen van de ge­von­den ex­ploits niet met die op de c&c-ser­ver dan is er al snel het ver­moe­den dat het om een dwaal­spoor gaat.

Er zijn al meer­de­re ge­val­len be­kend waar­in de da­ders over­dui­de­lijk dwaal­spo­ren ach­ter­lie­ten. Zo ge­bruik­te de groep Cloud At­las voor­al ser­vers met ip-adres­sen uit Zuid-Ko­rea. Een la­te­re ana­ly­se liet zien dat het voor­al om ge­ïn­fec­teer­de con­su­men­ten­rou­ters ging die slechts als proxy dienst de­den.

De door Cloud At­las in­ge­zet­te mal­wa­re om An­droid-ap­pa­ra­ten te be­smet­ten be­vat te­kens uit het Hin­di. Toen de aan­val­lers op het punt ston­den ont­dekt te wor­den, haal­den ze nog snel een tool bin­nen die duid­de op Chi­ne­se af­komst. On­der­tus­sen heb­ben ana­lis­ten het ver­moe­den dat de groep op ba­sis van an­de­re aan­wij­zin­gen af­kom­stig is uit een Rus­sisch spre­ken­de re­gio.

Rol van de me­dia

At­tri­bu­ti­on heeft te kam­pen met de kri­tiek dat het vaak gaat om stem­ming­ma­ke­rij te­gen bij­voor­beeld een be­paal­de po­li­tie­ke te­gen­stan­der. Een paar jaar ge­le­den was een me­me over at­tri­bu­ti­on po­pu­lair, waar­bij al­le zij­des van een dob­bel­steen het woord China be­vat­ten. In­mid­dels lijkt de­ze trend om China de schuld te ge­ven te zijn ver­an­derd in het wij­zen naar Rus­land.

De­ze na­druk heeft ge­deel­te­lijk ook te ma­ken met de ma­nier waar­op de me­dia te werk gaat. Je ziet veel sta­te­ments over cam­pag­nes die met ver­schil­len­de ma­te van over­tui­ging In­dia, Pa­k­is­tan, Noor­dKo­rea, Iran, Is­ra­ël, Tur­kije, Ha­mas, Frank­rijk, Oe­kra­ï­ne en de Fi­ve Ey­es als schul­di­ge aan­wij­zen.

Veel van dit soort cam­pag­nes zijn in Eu­ro­pa nau­we­lijks re­le­vant, zijn tech­nisch niet be­paald hoog­staand en be­lan­den niet zo snel op de voor­pa­gi­na. Dit heeft weer als ge­volg dat IT-se­cu­ri­ty­fir­ma's die graag hun naam in de me­dia te­rug­zien, min­der over de­ze cam­pag­nes be­kend­ma­ken. Met een ana­ly­se over de nieuw­ste Rus­si­sche APT28-cam­pag­ne haal je ge­ga­ran­deerd meer ex­po­su­re bin­nen.

En at­tri­bu­ti­on houdt in dat een in­braak wordt er­kend. Maar de spi­o­na­ge­pro­gram­ma's van het Wes­ten zijn over het al­ge­meen ge­a­van­ceerd of op zijn minst las­tig te door­zien. En zo­als we al aan­ge­ven gaat het om heel veel ver­schil­len­de da­ta die sa­men dui­de­lijk een da­der bo­ven wa­ter moe­ten krij­gen. Hier­door is uit­spra­ken doen die door be­wijs wor­den ge­staafd niet mak­ke­lijk. Uit­spra­ken over uit­ge­brei­de spi­o­na­ge­tools als Rem­sec, dat op­dook bij Rus­si­sche in­stan­ties, zijn daar­door vrij­wel niet te doen.

Con­clu­sie

At­tri­bu­ti­on is meest­al niet com­pleet over­tui­gend of he­le­maal wa­ter­dicht. Maar vaak is er spra­ke van een aar­di­ge hoe­veel­heid dui­de­lij­ke in­di­ca­to­ren, die ge­fun­deerd en dui­de­lijk be­wijs le­ve­ren voor waar de aan­val van­daan komt. Om de be­trouw­baar­heid te kun­nen na­gaan, moet er trans­pa­rant wor­den be­richt over de in­for­ma­tie en me­tho­des waar­mee is ge­werkt. Dat ge­beurt juist bij nog­al spec­ta­cu­lai­re aan­val­len met een po­li­tiek tin­tje slechts zel­den. IT-se­cu­ri­ty­fir­ma's zijn wat meer trans­pa­rant dan in­lich­tin­gen­dien­sten, maar al­le­bei heb­ben ze zo hun ei­gen agen­da.

Een sim­pel kwa­li­teits­stem­pel voor uit­spra­ken over da­ders zijn clas­si­fi­ca­ties op ba­sis van be­trouw­baar­heid. Ex­perts op dit ge­bied zul­len hun ana­ly­se al­tijd voor­zien van een dui­de­lijk 'on­der voor­be­houd' in de vorm van 'vrij waar­schijn­lijk' of 'vrij­wel ze­ker'. Maar dat blijft vaak ach­ter­we­ge in de com­mu­ni­ca­tie van­uit de ana­list rich­ting zijn of haar lei­ding­ge­ven­de of naar de me­dia. On­ge­nu­an­ceer­de uit­spra­ken die al­leen China of Rus­land als da­der aan­wij­zen moet je dan ook met een flin­ke kor­rel zout ne­men. (avs)

Ach­ter­ge­la­ten de­bug-in­for­ma­tie le­vert hints op over de in­ter­ne naam van een pro­ject.

Om een aan­val tot een re­gio te kun­nen her­lei­den, ana­ly­seer­de Th­re­a­tCon­nect vijf jaar lang de DNS-re­quests voor het do­mein greens­ky27.vcip.net. De oor­sprong van de ope­ra­tie werd ge­tra­ceerd: Kun­ming (China).

Ook pro­fes­si­o­ne­le hac­kers ge­brui­ken so­ci­a­le me­dia. Th­re­a­tCon­nect leg­de de link tus­sen greens­ky27 op QQ Wei­bo en het ja­ren­lang voor aan­val­len ge­bruik­te do­mein greens­ky27.vcip.net.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.