מבזקים

להלן המאפיינים המרכזיים שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, והסבר כיצד מספר  שחקני איום בלתי מוכרים מבצעים בהם מניפולציות:

?          חותמות זמן - Timestamps

קבצי קוד זדוני מכילים חותמות זמן המתעדות את הזמן בו נסגרו הקבצים. אם נאספות מספיק דוגמיות כאלו,  ניתן לקבוע את שעות העבודה של המפתחים, והדבר יכול להצביע על אזור הזמן הכללי של הפעילות שלהם. עם זאת, חותמות זמן שכאלה קל מאוד לשנות.

?          סימני שפה

קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל- Debug, ואלה יכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה או השפות שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה של Debug יכולות לחשוף שמות משתמש וכן שיטות למתן שמות פנימיים של קמפיינים או פרויקטים. בנוסף, מסמכי פישינג עלולים לשאת מטה-דאטה אשר יכול בטעות לשמור פרטים המצביעים על המחשב האמיתי של הכותב.

עם זאת, השחקנים בתחום יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים. סממני שפה מטעים בקוד הזדוני של Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלאקברי, סימנים בהודית בגרסת האנדרואיד ואת המילים johnClerk בכתובת ההפניה לפרויקט בגרסת ה-  iOS -זאת בעוד שרבים חושדים כי הקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני ששימש את השחקן Wild Neutron כולל מחרוזות שפה גם ברומנית וגם ברוסית.

?          תשתית וקישורים לשרתי השליטה

מציאת שרתי הפיקוד והשליטה המשמשים את התוקפים דומה למציאת כתובת הבית שלהם. תשתית פיקוד ושליטה יכולה להיות יקרה וקשה לתחזוקה, כך שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, במידה והם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם כאשר הם מחלצים מידע ממחשב נגוע או שרת דואר, או כאשר הם מכינים את הבמה לשרת פישינג או מבצעים כניסה לשרת פרוץ.

עם זאת, לעיתים "כשל" כזה הוא מכוון: תוקפי Cloud Atlas ניסו לבלבל את החוקרים באמצעות שימוש בכתובות IP שמקורן בדרום קוריאה.

?          ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה

למרות שחלק מהשחקנים מסתמכים כעת על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות, והם שומרים עליהם בקנאות. לכן ההופעה של משפחה מסוימת של קוד זדוני יכולה לגרום לחוקרים להתביית על שחקן מסוים.

הגורם שמאחורי Turla החליט לנצל את ההשערה הזו כאשר הוא מצא את עצמו מכותר בתוך מערכת נגועה. במקום למשוך את הקוד הזדוני שלו, הוא התקין קוד זדוני סיני נדיר שיצר קשר עם תשתית הממוקמת בבייג'ין -שאינה קשורה כלל ל- Turla. בעוד צוות התגובה של הקורבן רדף אחר קוד הפתיון הזדוני, Turla הסירו בשקט את הקוד הזדוני שלהם ומחקו כל זכר ממנו במערכות הקורבן.

?          קורבנות המטרה

זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של Wild Neutron, לדוגמא, רשימת הקורבנות הייתה כה מגוונת שהיא רק הקשתה על ייחוס.

יותר מכך, חלק מגורמי האיום מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם כשהם פועלים במסווה של קבוצות האקטיביסטים. זה מה ש-Lazarus group ניסתה לעשות באמצעות הצגתה כ"מגני השלום" כאשר תקפה את סוני ב- 2014. רבים מאמינים כי שחקן האיום הידוע כ- Sofacyהשתמש בטקטיקה דומה, כשהוא מתחזה למספר קבוצות האקטיביסטים.

לסיום, אך לא פחות חשוב, לעיתים תוקפים ינסו להטיל את האשמה על שחקן אחר. גישה זו אומצה על ידי השחקן שעדיין לא זוהה TigerMilk, אשר חתם את הדלת האחורית שיצר באמצעות אותה תעודה גנובה ששימשה את סטוקסנט.

"ייחוס של התקפות ממוקדות לתוקף הוא דבר מורכב, לא אמין וסובייקטיבי -והשחקנים בתחום מגבירים את הטיפול במאפיינים שהחוקרים מסתמכים עליהם - ובכך מטשטשים אף יותר את העקבות. אנו מאמינים כי לעיתים קרובות ייחוס מדויק הוא כמעט בלתי אפשרי. אך למודיעין איומים יש ערך עמוק ומדיד הרבה מעבר לשאלה 'מי עשה את זה?' קיים צורך להבין מי הם טורפי העל במערכת הגלובלית של הקוד הזדוני, ואנו מספקים מודיעין עוצמתי המאפשר פעולה לארגונים המעוניינים בכך", אמר בריאן ברת'ולומיו, חוקר אבטחה בכיר במעבדת קספרסקי.

מידע נוסף אודות False Flags ניתן לקרוא ב-Securelist.com.