Jednym z najbardziej polaryzujących i poruszających wyobraźnie zagadnień w praktyce analizy wrogiej aktywności jest atrybucja czyli próba określenia konkretnych podmiotów, organizacji lub osób odpowiedzialnych za operację. Zainteresowanie tym „kto to zrobił” nie powinno dziwić – proces analizy cyber aktywności często przybiera dokładnie odwrotny obrót niż śledztwa w sprawie „zwykłych” przestępstw. Gdy policja i prokuratura przybywa na miejsce włamania do mieszkania, priorytetem jest zebranie dowodów które pozwolą ustalić osobę sprawcy i pociągnąć ją/jego do odpowiedzialności karnej. Gdyby mieli natomiast przyjąć metodologię zespołów reagowania na incydenty i threat intelligence, skupiliby się na procesie włamania do mieszkania, tym jak włamywacze pokonali zabezpieczenia i zasugerowali ofierze jakie zamki i alarmy pozwoliłyby na powstrzymanie napastnika. Policjanci mogliby np.: stwierdzić że wytrychy stosowane przez włamywacza nie będą działać na danym rodzaju zamku i zalecają wymianę na taki model. Ta różnica celów i podejść to w mojej ocenie właśnie to dlaczego atrybucja polaryzuje społeczność osób zajmujących się cyberbezpieczeństwem. Z jednej strony nie trudno dziwić się naturalnej potrzebie zrozumienia kto stał za skierowaną w nas aktywnością, a z drugiej strony często wiedza ta realnie nie ma większego wpływu na działania obrońców – zajmują się w końcu stosowaniem środków obronnych na własnym terytorium, nie posiadając co do zasady narzędzi umożliwiających wyciągnięcie konsekwencji wobec sprawców jak wydanie nakazu aresztowania. Sprawa ma się oczywiście zgoła inaczej w przypadku agencji państwowych czy nawet w szerszym ujęciu państw, które to mogą korzystać ze swojego arsenału środków przymusu. W takim przypadku, atrybucja może mieć kluczowe znaczenie gdyż pozwala na podjęcie działań uderzających wprost w sprawców, czasami definitywnie kończących ich działalność i wysyłająca sygnał, że działania zaczepne nie są warte potencjalnych konsekwencji. O atrybucji w kontekście jej użyteczności porozmawiamy jeszcze trochę w dalszej części, teraz przyjrzyjmy się jakie w ogóle są sposoby jej przeprowadzania.
W poście na temat wykorzystania modeli do analizy threat intelligence wspomniałem o koncepcji „threat actor” i „activity group” odnoszącej się do tego jak definiujemy naszych adwersarzy – zależnie od tego czy skupiamy się na konkretnych osobach/organizacjach stojących za atakami czy grupami zachowań.
- Atrybucja do threat actora będzie oznaczała próbę ustalenia konkretnych podmiotów odpowiedzialnych za operację konkretnej grupy jak organizacji przestępczej czy jednostki wojskowej.
- Jeżeli z kolei przypisujemy operację do activity group to śledzimy powtarzający się wzór zachowania niezależnie od tożsamości odpowiedzialnych za nie.
W powszechnym rozumieniu, atrybucja oznacza najczęściej pierwszy kontekst – o atrybucji słyszmy bowiem najczęściej w kontekście agencji rządowych, lub prywatnych organizacji wywiadowczych ogłaszających, że np.: Chiny stoją za operacjami APT10. I właśnie tym rodzajem atrybucji będziemy się zajmować teraz.
Jak więc w ogóle możemy ustalić kto stoi za operacjami? W końcu pomiędzy osobą za klawiaturą, a celem jest co najmniej kilka stopni separacji – operator korzysta z komputera, ten łączy się z Internetem za pośrednictwem ISP, tak operator łączy się z serwerem C2, a ten serwer z wybranym hostem w infrastrukturze ofiary. A mówimy tutaj już o interaktywnej fazie operacji, kiedy atakujący wchodzi w interakcje z zasobami ofiary. Wcześniejsze fazy jak rekonesans czy dostarczenie maili phishingowych może rozdzielać jeszcze więcej stopni abstrakcji. Aby usystematyzować proces atrybucji, powstało kilka konceptów. Jedną z pierwszych prób stworzenia metodologii ujętą w ramy artykułu naukowego jest „Attributing Cyber Attacks” autorstwa Thomas Rida i Bena Buchanana. Autorzy stworzyli rozbudowany model uwzględniający techniczne, operacyjne, strategiczne i komunikacyjne aspekty włamania z podziałem na wiele szczegółowych elementów opisujących całość operacji:
Obrazek z pewnością nie jest czytelny w tej formie – tutaj znajdziecie oryginał.
Tak szczegółowe ujęcie ataku uwzględniające sposoby uzyskania dostępu, modularność implantów, a nawet zachowanie napastników po publikacji informacji o ataku z pewnością zapewnia bardzo dokładne spojrzenie na operację, może jednak również przytłaczać swoją granularnością. Dużo bardziej ogólny model został zaprezentowany przez Biuro Dyrektora Wywiadu Narodowego USA (ODNI). Wymienionych w nim jest pięć głównych czynników które należy wziąć pod uwagę:
- Sposób działania (tradecraft) – ogół zachowań i technik, które zostały wykorzystane do przeprowadzenia operacji. Zawierają się tutaj wszelkie metody działania – TTP – które charakteryzują zachowanie napastnika prowadzące do osiągnięcia celu. Zdaniem ODNI najważniejszy element, gdyż zachowania są dużo trudniejsze do zmiany niż narzędzia.
- Infrastruktura – fizyczne i wirtualne zasoby wykorzystane do dostarczenia możliwości do ofiary i kontrolowania działań w środowisku – Command and Control. ODNI wskazuje tutaj na możliwe sposoby tworzenia infrastruktury jak korzystanie z dostawców usług chmurowych, przejmowanie infrastruktury danych organizacji, a także na różnice pomiędzy grupami które szybko zmieniają swoją infrastrukturę, a tymi korzystają przez dłuższy czas z tych samych zasobów.
- Malware – narzędzia i implanty dostarczone do ofiar w celu osiągnięcia celów takich jak pozyskiwanie informacji czy kontrola urządzeń w środowisku ofiary. Tutaj ponownie ODNI zwraca uwagę na różnicę pomiędzy grupami które przez dłuższy czas korzystają z tych samych narzędzi, a tymi którzy bardzo szybko zmieniają malware pomiędzy operacjami.
- Intencje – zaangażowanie napastnika w realizacje określonych celów wynikające z kontekstu operacji. Wskazane są tutaj przykłady operacji prowadzonych podczas przygotowania do konfliktu lub atakujących osoby niewygodne dla władz.
- Zewnętrzne źródła informacji – analizy ośrodków analitycznych, zespołów threat intelligence i doniesienia prasowe które mogą dostarczyć dodatkowych informacji.
Dodatkowo ODNI wskazuje na trzy dobre praktyki pomagające w atrybucji – poszukiwanie ludzkich błędów, wymiana informacji z innymi podmiotami i rygor analityczny przy ocenie dowodów. W końcu podana jest przykładowa tabelka pokazująca metodologię w kontekście analizy hipotez wykluczających się:
W przeciwieństwie do koncepcji Rida i Buchanana, ODNI zostawia więc dużo swobody analitykom w kwestii opisu poszczególnych elementów – w modelu „Q” sposób działania był rozdzielony na elementy takie jak fazy włamania, wymagane umiejętności czy sposoby zacierania śladów. ODNI wyróżnia natomiast sposób działania, malware i infrastrukturę, korzystając bardziej z ramowego ujęcia aktywności taką jak prezentuje np.: Diamond Model. W końcu ostatnią metodologię którą chciałem przedstawić to ta autorstwa Timo Steffensa z książki „Attribution of Advanced Persistent Threats How to Identify the Actors Behind Cyber-Espionage„. Zainteresowanym atrybucją zdecydowanie polecam tę lekturę, gdyż jest chyba pierwszym opracowaniem które tak kompleksowo podeszło do zagadnienia. Atrybucja w modelu Steffensa zakłada sześć elementów:
- Malware – analiza implantów i narzędzi wykorzystanych do ataku.
- Infrastruktura – analiza charakterystyki tworzenia i utrzymania infrastruktury Command and Control w kontekście „zewnętrznego” śladu jak dane rejestracji domen.
- Serwery kontrolne (Control server) – techniczna analiza charakterystyk serwerów C2 uwzględniająca dane pozyskane w porozumieniu z dostawcami usług – jak przechwytywanie ruchu i analiza dysków serwerów.
- Telemetria – profil aktywności jak godziny aktywności, adresy IP, rodziny malware’u.
- Dane wywiadowcze (Intelligence) – dane na temat aktywności pochodzące z działalności wywiadowczej – pozyskiwanie i analiza OSINTu, SIGINtu, czy HUMINTu.
- Cui bono – kontekst geopolityczny i sytuacyjny aktywności. Ocena operacji przez pryzmat wydarzeń politycznych, ekonomicznych jak i charakterystyki działania podmiotów takich jak agencje wywiadowcze.
Steffens przyjął więc z grubsza podobny zestaw aspektów jak ODNI. Ponieważ Attribution of Advanced Persistent Threats to dużo bardziej szczegółowe opracowanie, to naturalnie znajdziemy w nim dużo więcej szczegółów odnośnie tego jak analizować poszczególne aspekty i jakie źródła powinniśmy wziąć pod uwagę.
To jednak teoretyczne modele, które mogą pomóc nam w dobraniu odpowiednich elementów do analizy. Teraz przyjrzymy się jak może wyglądać atrybucja łącząca techniczne, polityczne i geograficzne aspekty. Posłużymy się raportem autorstwa analityków z ThreatConnect zatytułowanym „CameraShy Closing the Aperture on China’s Unit 78020”. Raport ten opisuje jak przebiegała atrybucja aktywności grupy APT Naikon do oddziału Armii Ludowo Wyzwoleńczej, a konkretniej Drugiego Biura Rekonesansu Technicznego Regionu Wojskowego Chengdu i oficera tej jednostki Ge Xing. Aby dać pogląd aktywności, możemy przytoczyć przedstawienie napastnika na schemacie Diamond Model:
Przechodząc do treści, w pierwszym rozdziale ThreatConnect przedstawia geopolityczny aspekt działań – czyli część, którą moglibyśmy określić jako cui bono, intencje czy tutaj socio-polityczna oś Diamond Model. Konflikt o kontrolę terytorium na Morzu Południowochińskim zostaje tutaj nałożony na profil działalności grupy Naikon. Wiktymologia wskazuje bowiem na ataki przeciwko państwom w regionie jak Wietnam, Singapur, Laos czy Filipiny, a wśród atakowanych organizacji znajdują się agencje wojskowe i rządowe. Dalej autorzy opisują strukturę PLA w kontekście odpowiedzialności za poszczególne regiony i wskazują oddział (o oznaczeniu 78020) który ich zdaniem odpowiada profilem aktywności Naikon, ze względu na funkcje (operacje komputerowe, kryptografia, SIGINT, analizy ekonomiczne) i przypisanie regionalne.
W drugim rozdziale przedstawiona jest techniczna analiza infrastruktury, która łączy działania Naikon z oddziałem 78020. Analitycy na podstawie rekordów DNS i adresów IP elementów wykorzystanych do stworzenia infrastruktury C2, analitycy powiązali je z miastem Kunming, siedzibą oddziału 78020.
Analiza infrastruktury została oparta o domenę greensky27.vicp[.]net, która została znaleziona w co najmniej ośmiu próbkach malware’u. Następnie poprzez obserwację, że Naikon wykorzystywał dynamiczny DNS, zmapowano powiązane z domeną adresy IP i ASN.
W rozdziale trzecim analitycy prezentują w końcu jak udało się ustalić tożsamość oficera odpowiedzialnego za stworzenie infrastruktury i jego powiązania z Chińskim wojskiem. ThreatConnect wychodzi tutaj już wyraźnie poza analizę incydentów/aktywności ofensywnej i przechodzi na OSINTowe rozszerzanie dochodzenia o zewnętrzne źródła. W metodologii Timo Steffensa zahaczamy więc teraz o element danych wywiadowczych i łączymy wiedzę pozyskaną z obserwacji operacji Naikon z pozyskiwaniem i analizą informacji z portali społecznościowych i serwisów oferujących dane geograficzne. Analitycy wykorzystali do dochodzenia dość klasyczny błąd bezpieczeństwa operacyjnego polegający na braku separacji pomiędzy aktywnością prywatną i zawodową. Odkryli bowiem, że „greensky27” to pseudonim z którego Ge Xing korzysta na portalach społecznościowych jak QQ Weibo. Oczywiście sam zbieg tego zwrotu nie byłby przekonującym dowodem, dlatego analitycy powiązali go z jednostką wojskową na podstawie materiałów zamieszczanych w mediach społecznościowych. Udało się ustalić, że mieszka w Kunming, bywa na wydarzeniach organizowanych przez PLA i jest autorem publikacji naukowych w których jako jego afiliacje wymieniony jest oddział 78020. W końcu na podstawie zdjęć satelitarnych z poziomu ulicy, analitycy ustalili, że parkował w siedzibie jednostki.
Jako dodatkowe dowody potwierdzające tezę, ThreatConnect przeanalizowało telemetrię działań Naikon, która koreluje wydarzenia z życia Ge Xing z aktywnością cyber operacji. Tak więc spadek aktywności pokrywał się z ważnymi wydarzeniami rodzinnymi jak narodziny dziecka, wakacje czy wizycie w rodzinnym miejscu pamięci. Atrybucja została wsparta również o dość klasyczną technikę zestawiającą godziny aktywności operacji z godzinami pracy w danej strefie czasowej – co wskazało na strefę +0800 która obowiązuje w Kunming.
Naturalnie zachęcam do lektury całego raportu, który szczegółowo opisuje jak wyciągnięto wnioski bardzo pokrótce podsumowane przeze mnie w poście. Wrócmy jednak do metodologii atrybucji i spójrzmy z jakich elementów skorzystali analitycy ThreatConnect:
- Malware – tak, na podstawie analizy implantów udało się uzyskać adres serwera C2 który wiązał aktywności ofensywne z wnioskami na temat infrastruktury.
- Infrastruktura – tak, analiza wykorzystania dynamicznego DNS pozwoliła na sprofilowanie geograficzne aktywności grupy i potencjalnej lokalizacji geograficznej.
- Serwery kontrolne (Control server) – nie, nic w raporcie nie wskazuje aby analitycy mieli dostęp do przechwyconego ruchu sieciowego, a tym bardziej samych serwerów.
- Telemetria – tak, godziny i daty aktywności Naikon pozwoliły powiązać Ge Xing z nimi przez analizę godzin pracy i wydarzeń w życiu prywatnym.
- Dane wywiadowcze (Intelligence) -tak, analitycy posłużyli się OSINTem aby zebrać informacje na temat pseudonimu „greensky27” i powiązać go z konkretną osobą, a następnie ustalić gdzie pracuje.
- Cui bono – tak, atrybucja zaczęła się od umieszczenia działalności Naikon w kontekście sytuacji na Morzu Południowochińskim, stronach zaangażowanych w trwające tam spory i rolę PLA w operacjach w regionie.
Jak widzimy więc zastosowano tutaj szereg źródeł i technik analizy aby dotrzeć do osoby sprawcy i oddziału wojska odpowiedzialnego za ataki. Warto to podkreślić, gdyż niektórzy mogliby stwierdzić, że atrybucja tak naprawdę opierała się jedynie na powiązaniu zwrotu „greensky27” z osobą, która używa takiego pseudonimy na portalach społecznościowych. W istocie jednak, aby wnioski był wiarygodne, należy wziąć pod uwagę cały kontekst aktywności i możliwie jak najwięcej rodzajów analizy. Jeżeli miałbym pokusić się o uwagę krytyczną do raportu, to z analitycznego punktu widzenia nie jest może najszczęśliwszym zaczynanie od geopolitycznego kontekstu kampanii. Jest to bowiem mocno ocenny element i w porównaniu z analizą techniczną artefaktów pozostawia dużo większy margines interpretacji. W rezultacie raport może sprawiać wrażenie pisanego pod tezę, z dopasowaniem reszty dowodów pod kontekst konfliktu na Morzu Południowochińskim. Analitycy zapewne zaczęli od mapowania infrastruktury wykorzystanej do ataków, i na podstawie tej analizy mogli wskazać na regionalny aspekt operacji. Rozumiem też jednak, że z punktu widzenia raportu jako publikacji, przedstawienie aspektów geopolitycznych w pierwszym rozdziale bardziej osadza czytelnika w szerszym kontekście analizy i pozwala na lepsze przedstawienie narracji.
Spójrzmy w końcu na zastosowany model analityczny. Spojrzeliśmy na raport pod kątem metodologii zaproponowanej przez Timo Steffensa, jednak podstawowym narzędziem był tutaj Diamond Model. Nie powinno to dziwić, bowiem jeden z twórców modelu, Andrew Pendergast, pracuje w ThreatConnect. Atrybucja przeprowadzona została tutaj analizując aktywność w kontekście osi modelu – socio-politycznej ustalając kontekst działań Naikon i technicznej znajdując powiązania stosowanych implantów i infrastruktury z konkretną osobą. Nie zapominajmy, że Diamond Model niejako sam z siebie zakłada atrybucję – górny wierzchołek to napastnik. Praktyka threat intelligence w zakresie grupowania aktywności nie zawsze wymaga jego ustalenia, częstą praktyką jest tworzenie grup w oparciu o dwa zgodne wierzchołki diamentu. Jeżeli nasze potrzeby tego wymagają możemy z powodzeniem szczegółowo przeanalizować aktywność aż do atrybucji do konkretnych organizacji. Należy tylko mieć na uwadze, że o ile możliwości, infrastruktura i ofiary możemy opisać obiektywnie, analizując ślady techniczne, to oznaczenie napastnika zawsze będzie ocenne.
Przytoczony przykład opierał się całkowicie o analizę wrogiej aktywności, spójrzmy jednak na inne źródła danych które mogą nam pomoć.
Zacznijmy od dość oczywistego – przyznanie się do operacji. Powodem może być wykorzystanie operacji jako środka odstraszania lub w mniej oficjalnym kontekście, może mieć miejsce gdy swobodniej podchodzący do klauzul tajności urzędnicy udzielają wywiadów lub nieoficjalnie rozmawiają z prasą. W pierwszym kontekście możemy przytoczyć Amerykańskie Cybercommand, które potwierdziło, że przeprowadziło operację przeciwko operatorom ransomware’u. A z drugiej strony James Cartwright w 2016 roku przyznał się do tego, że okłamywał FBI ukrywając swoją rolę jako źródła w artykułach o Stuxnetcie.
Kontynuując w tym klimacie, źródłem mogą być również przecieki. W ostatnich latach bardzo popularne źródło wspominając choćby Edwarda Snowdena czy WikiLeaks. Szczególnie przykład Snowdena jest tutaj adekwatny, ponieważ „przy okazji” wycieków o wątpliwych moralnie praktykach w ujawnionych materiałach mogliśmy znaleźć informacje o Kanadyjskich i Francuskich operacjach czy działalności TAO – wydziału NSA odpowiedzialnego za ofensywne operacje cyber.
Nie możemy zapominać też o źródle niedostępnym dla zwykłych śmiertelników ale niezwykle istotnym – bezpośrednim dostępie do systemów napastnika uzyskanym w wyniku operacji wywiadowczych – czy to cyber czy klasycznych. Często możemy spotkać się z rządem deklarującym, że określona operacja była przeprowadzona przez dany kraj bez podawania dalszych szczegółów. Tak było w przypadku ataku na Olimpiadę w 2018 kiedy wkrótce po ataku rząd USA ogłosił, że odpowiedzialna była Rosja. I o ile sceptycyzm wobec deklaracji ze strony agencji rządowych nie popartych dowodami jest zdrowym zjawiskiem, to należy mieć jednak na uwadze, że ujawnienie źródła informacji może zaszkodzić trwającym operacjom i nie zawsze jest możliwe. Czasem jednak państwa decydują się na zgoła inną drogę i w szczegółach publikują to jak operatorzy zostali złapani. Tak było, kiedy Holenderski rząd złapał funkcjonariuszy GRU prowadzących operacje przeciwko OPCW i w publicznej prezentacji ujawnił ich tożsamość jak i szczegóły zatrzymania. Pozostając jeszcze przy możliwościach Holenderskich służb w 2018 prasa ujawniła informację, że służby tego kraju włamały się do infrastruktury służb Rosyjskich i korzystając z kamer w budynkach oglądały ich pracę. Jest to świetny przykład dostępu, który mogą uzyskać tylko agencje rządowe, a z drugiej strony ujawnienie szczegółów tego jak dostęp został uzyskany, utrudniłoby działania funkcjonariuszy.
Na koniec chciałbym jeszcze wspomnieć o zagadnieniu, które często rozpala wyobraźnie i bywa używane jako argument, że atrybucja jest niemożliwa – operacjach false flag. W końcu jak możemy ustalić sprawcę ataku, skoro może on celowo pozostawiać ślady prowadzące do innych grup? Taka możliwość powinna być brana pod uwagę analizie, jednak właśnie dlatego atrybucja powinna być poparta szeregiem dowodów pochodzących z różnych źródeł aby możliwie utrudnić zastąpienie wszystkich prawdziwych śladów włamania, tymi spreparowanymi przez napastnika. Dodatkowo sam proces podszywania się pod innego napastnika nie jest trywialny i poprzez dodatkowe komplikacje, które wprowadza do operacji może doprowadzić do błędów w bezpieczeństwie operacji. Przytoczmy choćby atak z wykorzystaniem malware’u Olympic Destroyer, gdzie twórcy bardzo starali się upodobnić do malware’u stosowanego przez grupę Lazarus, jednak wysiłki te zostały wykryte przez analityków Kasperky. Podsumowując więc, próba ataku pod fałszywą flagą może utrudnić pracę analityków, jednak to, czy ostatecznie atrybucja zostanie poprawnie przeprowadzona zależeć będzie od poziomu umiejętności napastników i analityków jak w każdym innym przypadku.
Jak widać atrybucja to złożone zagadnienie, byłbym jednak daleki od defetyzmu, który możemy często obserwować wśród komentatorów twierdzących, że w zakresie operacji cyber nigdy nic nie wiadomo i nie da się ustalić odpowiedzialnych. Jest to trudny i skomplikowany proces, wymagający wielu źródeł danych, często pozostających poza zasięgiem większości zespołów. Przytaczając jednak przykłady prywatnych zespołów threat intelligence, którym udało się ustalić sprawców (cofając się do 2014 kiedy Mandiant opublikował raport o APT1) czy wielu aktów oskarżenia wydanych przez Departament Sprawiedliwości USA możemy zobaczyć jak dokładna analiza aktywności i łączenie danych pozwala na ustalenie sprawców.
Jedna myśl na temat „