А вы сталкивались когда-нибудь с ливийским скорпионом?

А вы сталкивались когда-нибудь с ливийским скорпионом?
Что меня всегда поражало в атрибуции киберугроз и приписывание тех или иных кибернападений тем или иным государствам и группировкам, так это четыре вещи:
  1. Потрясающие названия. Ну только вслушайтесь: "Ливийские скорпионы", "Пыльная буря", "Хищная панда", "Тропический кавалерист", "Ночной дракон", "Цветочная леди", "Ледяной туман", "Панда со скрипкой", "Обрезанный котенок", "Шакал повстанцев", "Скрытый ястреб" и т.п. Такое впечатление, что все усилия эксперты по ИБ тратят на придумывание названий, а не добычу доказательств и нормальную атрибуцию. Но надо признать, что выглядят такие высосанные из пальца названия хакерских групп солидно. Всегда приятно осознавать, что тебя атаковал какой-нибудь "Летучий кедр" (сразу вспоминается диалог из фильма "Операция "Ы"" про "...а чтоб никто не догадался"), а "группа неизвестных лиц неопределенной национальности" :-)
  2. Красивая визуализация.  Вторая половина усилий тратится на то, чтобы отрисовать комиксоподобные изображения хакерских группировок. Это выглядит красиво, но бессмысленно. Особенно когда натыкаешься на перечень всей "сувенирки", которая создается вокруг бездоказательных заявлений - футболки, брошюры, стикеры, скринсейверы, картины, календари


  3. Отсутствие доказательств. Потратив все силы на название и картинки, ИБ-компании уже почти не имеют ресурсов на то, чтобы представить сколь-нибудь серьезные доказательства национальной или государственной принадлежности хакерских групп. Одно дело представить набор индикаторов компрометации (и это очень полезно) и совсем другое дело - связать эти IoC с конкретной страной. Как эксперты умудряюются это делать, я не представляю. Точнее представляю, но к реальной экспертизе это не имеет никакого отношения.


  4. Почти полное отсутствие хакерских групп в США. Вот смотришь на разоблачения какого-нибудь Fireeye или CrowdStrike и думаешь, а почему в ваших списках APTxxx есть все геополитические противники США (Китай, Северная Корея, Иран, Ливия, Сирия), но нет ни одной американской группы хакеров? Их там нет? Или про них запрещают писать (не этим ли объясняется пропуски в нумерации групп, названия которы начинается с APTххх)?
В общем, атрибуция киберугроз вещь безусловно важная и нужная, но сегодня слишком политизированная и не имеющая ничего общего с реальной ИБ. Единственный плюс, который я вижу в том, что сегодня некоторые компании излишне усердствуют в придумывании "страшных" названий хакерских групп - это PR, внутренний и внешний. Согласитесь, гораздо круче выглядит, если вывести на карту атак  не просто IP-адрес атакующего, а его название, и сообщить руководству, что компания была атакована "Обрезанным котенком", "Сброшенным слоном" или, что еще ужаснее, "Ливийскими скорпионами" :-)

Для тех, кому интересен список всех известных сегодня хакерских групп, могу посоветовать воспользоваться вчера анонсированным сайтом APTMAP :


Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену