{"id":520,"date":"2022-02-07T18:29:33","date_gmt":"2022-02-07T17:29:33","guid":{"rendered":"https:\/\/counterintelligence.pl\/?p=520"},"modified":"2022-02-07T18:29:34","modified_gmt":"2022-02-07T17:29:34","slug":"w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence","status":"publish","type":"post","link":"https:\/\/counterintelligence.pl\/en\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/","title":{"rendered":"In the wilderness of mirrors - attribution in the context of threat intelligence"},"content":{"rendered":"\n

Jednym z najbardziej polaryzuj\u0105cych i poruszaj\u0105cych wyobra\u017anie zagadnie\u0144 w praktyce analizy wrogiej aktywno\u015bci jest atrybucja czyli pr\u00f3ba okre\u015blenia konkretnych podmiot\u00f3w, organizacji lub os\u00f3b odpowiedzialnych za operacj\u0119. Zainteresowanie tym „kto to zrobi\u0142” nie powinno dziwi\u0107 – proces analizy cyber aktywno\u015bci cz\u0119sto przybiera dok\u0142adnie odwrotny obr\u00f3t ni\u017c \u015bledztwa w sprawie „zwyk\u0142ych” przest\u0119pstw. Gdy policja i prokuratura przybywa na miejsce w\u0142amania do mieszkania, priorytetem jest zebranie dowod\u00f3w kt\u00f3re pozwol\u0105 ustali\u0107 osob\u0119 sprawcy i poci\u0105gn\u0105\u0107 j\u0105\/jego do odpowiedzialno\u015bci karnej. Gdyby mieli natomiast przyj\u0105\u0107 metodologi\u0119 zespo\u0142\u00f3w reagowania na incydenty i threat intelligence, skupiliby si\u0119 na procesie w\u0142amania do mieszkania, tym jak w\u0142amywacze pokonali zabezpieczenia i zasugerowali ofierze jakie zamki i alarmy pozwoli\u0142yby na powstrzymanie napastnika. Policjanci mogliby np.: stwierdzi\u0107 \u017ce wytrychy stosowane przez w\u0142amywacza nie b\u0119d\u0105 dzia\u0142a\u0107 na danym rodzaju zamku i zalecaj\u0105 wymian\u0119 na taki model. Ta r\u00f3\u017cnica cel\u00f3w i podej\u015b\u0107 to w mojej ocenie w\u0142a\u015bnie to dlaczego atrybucja polaryzuje spo\u0142eczno\u015b\u0107 os\u00f3b zajmuj\u0105cych si\u0119 cyberbezpiecze\u0144stwem. Z jednej strony nie trudno dziwi\u0107 si\u0119 naturalnej potrzebie zrozumienia kto sta\u0142 za skierowan\u0105 w nas aktywno\u015bci\u0105, a z drugiej strony cz\u0119sto wiedza ta realnie nie ma wi\u0119kszego wp\u0142ywu na dzia\u0142ania obro\u0144c\u00f3w – zajmuj\u0105 si\u0119 w ko\u0144cu stosowaniem \u015brodk\u00f3w obronnych na w\u0142asnym terytorium, nie posiadaj\u0105c co do zasady narz\u0119dzi umo\u017cliwiaj\u0105cych wyci\u0105gni\u0119cie konsekwencji wobec sprawc\u00f3w jak wydanie nakazu aresztowania. Sprawa ma si\u0119 oczywi\u015bcie zgo\u0142a inaczej w przypadku agencji pa\u0144stwowych czy nawet w szerszym uj\u0119ciu pa\u0144stw, kt\u00f3re to mog\u0105 korzysta\u0107 ze swojego arsena\u0142u \u015brodk\u00f3w przymusu. W takim przypadku, atrybucja mo\u017ce mie\u0107 kluczowe znaczenie gdy\u017c pozwala na podj\u0119cie dzia\u0142a\u0144 uderzaj\u0105cych wprost w sprawc\u00f3w, czasami definitywnie ko\u0144cz\u0105cych ich dzia\u0142alno\u015b\u0107 i wysy\u0142aj\u0105ca sygna\u0142, \u017ce dzia\u0142ania zaczepne nie s\u0105 warte potencjalnych konsekwencji. O atrybucji w kontek\u015bcie jej u\u017cyteczno\u015bci porozmawiamy jeszcze troch\u0119 w dalszej cz\u0119\u015bci, teraz przyjrzyjmy si\u0119 jakie w og\u00f3le s\u0105 sposoby jej przeprowadzania. <\/p>\n\n\n\n

W po\u015bcie na temat wykorzystania modeli do analizy threat intelligence wspomnia\u0142em o koncepcji „threat actor” i „activity group<\/a>” odnosz\u0105cej si\u0119 do tego jak definiujemy naszych adwersarzy – zale\u017cnie od tego czy skupiamy si\u0119 na konkretnych osobach\/organizacjach stoj\u0105cych za atakami czy grupami zachowa\u0144.<\/p>\n\n\n\n

  1. Atrybucja do threat actora b\u0119dzie oznacza\u0142a pr\u00f3b\u0119 ustalenia konkretnych podmiot\u00f3w odpowiedzialnych za operacj\u0119 konkretnej grupy jak organizacji przest\u0119pczej czy jednostki wojskowej.<\/li>
  2. Je\u017celi z kolei przypisujemy operacj\u0119 do activity group to \u015bledzimy powtarzaj\u0105cy si\u0119 wz\u00f3r zachowania niezale\u017cnie od to\u017csamo\u015bci odpowiedzialnych za nie.<\/li><\/ol>\n\n\n\n

    W powszechnym rozumieniu, atrybucja oznacza najcz\u0119\u015bciej pierwszy kontekst – o atrybucji s\u0142yszmy bowiem najcz\u0119\u015bciej w kontek\u015bcie agencji rz\u0105dowych, lub prywatnych organizacji wywiadowczych og\u0142aszaj\u0105cych, \u017ce np.: Chiny stoj\u0105 za operacjami APT10<\/a>. I w\u0142a\u015bnie tym rodzajem atrybucji b\u0119dziemy si\u0119 zajmowa\u0107 teraz. <\/p>\n\n\n\n

    Jak wi\u0119c w og\u00f3le mo\u017cemy ustali\u0107 kto stoi za operacjami? W ko\u0144cu pomi\u0119dzy osob\u0105 za klawiatur\u0105, a celem jest co najmniej kilka stopni separacji – operator korzysta z komputera, ten \u0142\u0105czy si\u0119 z Internetem za po\u015brednictwem ISP, tak operator \u0142\u0105czy si\u0119 z serwerem C2, a ten serwer z wybranym hostem w infrastrukturze ofiary. A m\u00f3wimy tutaj ju\u017c o interaktywnej fazie operacji, kiedy atakuj\u0105cy wchodzi w interakcje z zasobami ofiary. Wcze\u015bniejsze fazy jak rekonesans czy dostarczenie maili phishingowych mo\u017ce rozdziela\u0107 jeszcze wi\u0119cej stopni abstrakcji. Aby usystematyzowa\u0107 proces atrybucji, powsta\u0142o kilka koncept\u00f3w. Jedn\u0105 z pierwszych pr\u00f3b stworzenia metodologii uj\u0119t\u0105 w ramy artyku\u0142u naukowego jest „Attributing Cyber Attacks” autorstwa Thomas Rida i Bena Buchanana<\/a>. Autorzy stworzyli rozbudowany model uwzgl\u0119dniaj\u0105cy techniczne, operacyjne, strategiczne i komunikacyjne aspekty w\u0142amania z podzia\u0142em na wiele szczeg\u00f3\u0142owych element\u00f3w opisuj\u0105cych ca\u0142o\u015b\u0107 operacji:<\/p>\n\n\n\n

    \"\"<\/figure><\/div>\n\n\n\n

    Obrazek z pewno\u015bci\u0105 nie jest czytelny w tej formie – tutaj znajdziecie orygina\u0142.<\/a><\/p>\n\n\n\n

    Tak szczeg\u00f3\u0142owe uj\u0119cie ataku uwzgl\u0119dniaj\u0105ce sposoby uzyskania dost\u0119pu, modularno\u015b\u0107 implant\u00f3w, a nawet zachowanie napastnik\u00f3w po publikacji informacji o ataku z pewno\u015bci\u0105 zapewnia bardzo dok\u0142adne spojrzenie na operacj\u0119, mo\u017ce jednak r\u00f3wnie\u017c przyt\u0142acza\u0107 swoj\u0105 granularno\u015bci\u0105. Du\u017co bardziej og\u00f3lny model zosta\u0142 zaprezentowany przez Biuro Dyrektora Wywiadu Narodowego USA (ODNI)<\/a>. Wymienionych w nim jest pi\u0119\u0107 g\u0142\u00f3wnych czynnik\u00f3w kt\u00f3re nale\u017cy wzi\u0105\u0107 pod uwag\u0119:<\/p>\n\n\n\n

    1. Spos\u00f3b dzia\u0142ania (tradecraft) – og\u00f3\u0142 zachowa\u0144 i technik, kt\u00f3re zosta\u0142y wykorzystane do przeprowadzenia operacji. Zawieraj\u0105 si\u0119 tutaj wszelkie metody dzia\u0142ania – TTP – kt\u00f3re charakteryzuj\u0105 zachowanie napastnika prowadz\u0105ce do osi\u0105gni\u0119cia celu. Zdaniem ODNI najwa\u017cniejszy element, gdy\u017c zachowania s\u0105 du\u017co trudniejsze do zmiany ni\u017c narz\u0119dzia.<\/li>
    2. Infrastruktura – fizyczne i wirtualne zasoby wykorzystane do dostarczenia mo\u017cliwo\u015bci do ofiary i kontrolowania dzia\u0142a\u0144 w \u015brodowisku – Command and Control. ODNI wskazuje tutaj na mo\u017cliwe sposoby tworzenia infrastruktury jak korzystanie z dostawc\u00f3w us\u0142ug chmurowych, przejmowanie infrastruktury danych organizacji, a tak\u017ce na r\u00f3\u017cnice pomi\u0119dzy grupami kt\u00f3re szybko zmieniaj\u0105 swoj\u0105 infrastruktur\u0119, a tymi korzystaj\u0105 przez d\u0142u\u017cszy czas z tych samych zasob\u00f3w.<\/li>
    3. Malware – narz\u0119dzia i implanty dostarczone do ofiar w celu osi\u0105gni\u0119cia cel\u00f3w takich jak pozyskiwanie informacji czy kontrola urz\u0105dze\u0144 w \u015brodowisku ofiary. Tutaj ponownie ODNI zwraca uwag\u0119 na r\u00f3\u017cnic\u0119 pomi\u0119dzy grupami kt\u00f3re przez d\u0142u\u017cszy czas korzystaj\u0105 z tych samych narz\u0119dzi, a tymi kt\u00f3rzy bardzo szybko zmieniaj\u0105 malware pomi\u0119dzy operacjami.<\/li>
    4. Intencje – zaanga\u017cowanie napastnika w realizacje okre\u015blonych cel\u00f3w wynikaj\u0105ce z kontekstu operacji. Wskazane s\u0105 tutaj przyk\u0142ady operacji prowadzonych podczas przygotowania do konfliktu lub atakuj\u0105cych osoby niewygodne dla w\u0142adz.<\/li>
    5. Zewn\u0119trzne \u017ar\u00f3d\u0142a informacji – analizy o\u015brodk\u00f3w analitycznych, zespo\u0142\u00f3w threat intelligence i doniesienia prasowe kt\u00f3re mog\u0105 dostarczy\u0107 dodatkowych informacji.<\/li><\/ol>\n\n\n\n

      Dodatkowo ODNI wskazuje na trzy dobre praktyki pomagaj\u0105ce w atrybucji – poszukiwanie ludzkich b\u0142\u0119d\u00f3w, wymiana informacji z innymi podmiotami i rygor analityczny przy ocenie dowod\u00f3w. W ko\u0144cu podana jest przyk\u0142adowa tabelka pokazuj\u0105ca metodologi\u0119 w kontek\u015bcie analizy hipotez wykluczaj\u0105cych si\u0119:<\/p>\n\n\n\n

      \"\"<\/figure><\/div>\n\n\n\n

      W przeciwie\u0144stwie do koncepcji Rida i Buchanana, ODNI zostawia wi\u0119c du\u017co swobody analitykom w kwestii opisu poszczeg\u00f3lnych element\u00f3w – w modelu „Q” spos\u00f3b dzia\u0142ania by\u0142 rozdzielony na elementy takie jak fazy w\u0142amania, wymagane umiej\u0119tno\u015bci czy sposoby zacierania \u015blad\u00f3w. ODNI wyr\u00f3\u017cnia natomiast spos\u00f3b dzia\u0142ania, malware i infrastruktur\u0119, korzystaj\u0105c bardziej z ramowego uj\u0119cia aktywno\u015bci tak\u0105 jak prezentuje np.: Diamond Model. W ko\u0144cu ostatni\u0105 metodologi\u0119 kt\u00f3r\u0105 chcia\u0142em przedstawi\u0107 to ta autorstwa Timo Steffensa z ksi\u0105\u017cki „Attribution of Advanced Persistent Threats How to Identify the Actors Behind Cyber-Espionage<\/a>„. Zainteresowanym atrybucj\u0105 zdecydowanie polecam t\u0119 lektur\u0119, gdy\u017c jest chyba pierwszym opracowaniem kt\u00f3re tak kompleksowo podesz\u0142o do zagadnienia. Atrybucja w modelu Steffensa zak\u0142ada sze\u015b\u0107 element\u00f3w:<\/p>\n\n\n\n

      1. Malware – analiza implant\u00f3w i narz\u0119dzi wykorzystanych do ataku.<\/li>
      2. Infrastruktura – analiza charakterystyki tworzenia i utrzymania infrastruktury Command and Control w kontek\u015bcie „zewn\u0119trznego” \u015bladu jak dane rejestracji domen.<\/li>
      3. Serwery kontrolne (Control server) – techniczna analiza charakterystyk serwer\u00f3w C2 uwzgl\u0119dniaj\u0105ca dane pozyskane w porozumieniu z dostawcami us\u0142ug – jak przechwytywanie ruchu i analiza dysk\u00f3w serwer\u00f3w.<\/li>
      4. Telemetria – profil aktywno\u015bci jak godziny aktywno\u015bci, adresy IP, rodziny malware’u.<\/li>
      5. Dane wywiadowcze (Intelligence) – dane na temat aktywno\u015bci pochodz\u0105ce z dzia\u0142alno\u015bci wywiadowczej – pozyskiwanie i analiza OSINTu, SIGINtu, czy HUMINTu.<\/li>
      6. Cui bono – kontekst geopolityczny i sytuacyjny aktywno\u015bci. Ocena operacji przez pryzmat wydarze\u0144 politycznych, ekonomicznych jak i charakterystyki dzia\u0142ania podmiot\u00f3w takich jak agencje wywiadowcze.<\/li><\/ol>\n\n\n\n

        Steffens przyj\u0105\u0142 wi\u0119c z grubsza podobny zestaw aspekt\u00f3w jak ODNI. Poniewa\u017c Attribution of Advanced Persistent Threats to du\u017co bardziej szczeg\u00f3\u0142owe opracowanie, to naturalnie znajdziemy w nim du\u017co wi\u0119cej szczeg\u00f3\u0142\u00f3w odno\u015bnie tego jak analizowa\u0107 poszczeg\u00f3lne aspekty i jakie \u017ar\u00f3d\u0142a powinni\u015bmy wzi\u0105\u0107 pod uwag\u0119.<\/p>\n\n\n\n

        To jednak teoretyczne modele, kt\u00f3re mog\u0105 pom\u00f3c nam w dobraniu odpowiednich element\u00f3w do analizy. Teraz przyjrzymy si\u0119 jak mo\u017ce wygl\u0105da\u0107 atrybucja \u0142\u0105cz\u0105ca techniczne, polityczne i geograficzne aspekty. Pos\u0142u\u017cymy si\u0119 raportem autorstwa analityk\u00f3w z ThreatConnect zatytu\u0142owanym „CameraShy Closing the Aperture on China’s Unit 78020”<\/a>. Raport ten opisuje jak przebiega\u0142a atrybucja aktywno\u015bci grupy APT Naikon do oddzia\u0142u Armii Ludowo Wyzwole\u0144czej, a konkretniej Drugiego Biura Rekonesansu Technicznego Regionu Wojskowego Chengdu i oficera tej jednostki Ge Xing. Aby da\u0107 pogl\u0105d aktywno\u015bci, mo\u017cemy przytoczy\u0107 przedstawienie napastnika na schemacie Diamond Model:<\/p>\n\n\n\n

        \"\"<\/figure><\/div>\n\n\n\n

        Przechodz\u0105c do tre\u015bci, w pierwszym rozdziale ThreatConnect przedstawia geopolityczny aspekt dzia\u0142a\u0144 – czyli cz\u0119\u015b\u0107, kt\u00f3r\u0105 mogliby\u015bmy okre\u015bli\u0107 jako cui bono, intencje czy tutaj socio-polityczna o\u015b Diamond Model. Konflikt o kontrol\u0119 terytorium na Morzu Po\u0142udniowochi\u0144skim zostaje tutaj na\u0142o\u017cony na profil dzia\u0142alno\u015bci grupy Naikon. Wiktymologia wskazuje bowiem na ataki przeciwko pa\u0144stwom w regionie jak Wietnam, Singapur, Laos czy Filipiny, a w\u015br\u00f3d atakowanych organizacji znajduj\u0105 si\u0119 agencje wojskowe i rz\u0105dowe. Dalej autorzy opisuj\u0105 struktur\u0119 PLA w kontek\u015bcie odpowiedzialno\u015bci za poszczeg\u00f3lne regiony i wskazuj\u0105 oddzia\u0142 (o oznaczeniu 78020) kt\u00f3ry ich zdaniem odpowiada profilem aktywno\u015bci Naikon, ze wzgl\u0119du na funkcje (operacje komputerowe, kryptografia, SIGINT, analizy ekonomiczne) i przypisanie regionalne.<\/p>\n\n\n\n

        W drugim rozdziale przedstawiona jest techniczna analiza infrastruktury, kt\u00f3ra \u0142\u0105czy dzia\u0142ania Naikon z oddzia\u0142em 78020. Analitycy na podstawie rekord\u00f3w DNS i adres\u00f3w IP element\u00f3w wykorzystanych do stworzenia infrastruktury C2, analitycy powi\u0105zali je z miastem Kunming, siedzib\u0105 oddzia\u0142u 78020.<\/p>\n\n\n\n

        \"\"<\/figure><\/div>\n\n\n\n

        Analiza infrastruktury zosta\u0142a oparta o domen\u0119 greensky27.vicp[.]net, kt\u00f3ra zosta\u0142a znaleziona w co najmniej o\u015bmiu pr\u00f3bkach malware’u. Nast\u0119pnie poprzez obserwacj\u0119, \u017ce Naikon wykorzystywa\u0142 dynamiczny DNS, zmapowano powi\u0105zane z domen\u0105 adresy IP i ASN.<\/p>\n\n\n\n

        W rozdziale trzecim analitycy prezentuj\u0105 w ko\u0144cu jak uda\u0142o si\u0119 ustali\u0107 to\u017csamo\u015b\u0107 oficera odpowiedzialnego za stworzenie infrastruktury i jego powi\u0105zania z Chi\u0144skim wojskiem. ThreatConnect wychodzi tutaj ju\u017c wyra\u017anie poza analiz\u0119 incydent\u00f3w\/aktywno\u015bci ofensywnej i przechodzi na OSINTowe rozszerzanie dochodzenia o zewn\u0119trzne \u017ar\u00f3d\u0142a. W metodologii Timo Steffensa zahaczamy wi\u0119c teraz o element danych wywiadowczych i \u0142\u0105czymy wiedz\u0119 pozyskan\u0105 z obserwacji operacji Naikon z pozyskiwaniem i analiz\u0105 informacji z portali spo\u0142eczno\u015bciowych i serwis\u00f3w oferuj\u0105cych dane geograficzne. Analitycy wykorzystali do dochodzenia do\u015b\u0107 klasyczny b\u0142\u0105d bezpiecze\u0144stwa operacyjnego polegaj\u0105cy na braku separacji pomi\u0119dzy aktywno\u015bci\u0105 prywatn\u0105 i zawodow\u0105. Odkryli bowiem, \u017ce „greensky27” to pseudonim z kt\u00f3rego Ge Xing korzysta na portalach spo\u0142eczno\u015bciowych jak QQ Weibo. Oczywi\u015bcie sam zbieg tego zwrotu nie by\u0142by przekonuj\u0105cym dowodem, dlatego analitycy powi\u0105zali go z jednostk\u0105 wojskow\u0105 na podstawie materia\u0142\u00f3w zamieszczanych w mediach spo\u0142eczno\u015bciowych. Uda\u0142o si\u0119 ustali\u0107, \u017ce mieszka w Kunming, bywa na wydarzeniach organizowanych przez PLA i jest autorem publikacji naukowych w kt\u00f3rych jako jego afiliacje wymieniony jest oddzia\u0142 78020. W ko\u0144cu na podstawie zdj\u0119\u0107 satelitarnych z poziomu ulicy, analitycy ustalili, \u017ce parkowa\u0142 w siedzibie jednostki.<\/p>\n\n\n\n

        Jako dodatkowe dowody potwierdzaj\u0105ce tez\u0119, ThreatConnect przeanalizowa\u0142o telemetri\u0119 dzia\u0142a\u0144 Naikon, kt\u00f3ra koreluje wydarzenia z \u017cycia Ge Xing z aktywno\u015bci\u0105 cyber operacji. Tak wi\u0119c spadek aktywno\u015bci pokrywa\u0142 si\u0119 z wa\u017cnymi wydarzeniami rodzinnymi jak narodziny dziecka, wakacje czy wizycie w rodzinnym miejscu pami\u0119ci. Atrybucja zosta\u0142a wsparta r\u00f3wnie\u017c o do\u015b\u0107 klasyczn\u0105 technik\u0119 zestawiaj\u0105c\u0105 godziny aktywno\u015bci operacji z godzinami pracy w danej strefie czasowej – co wskaza\u0142o na stref\u0119 +0800 kt\u00f3ra obowi\u0105zuje w Kunming.<\/p>\n\n\n\n

        Naturalnie zach\u0119cam do lektury ca\u0142ego raportu, kt\u00f3ry szczeg\u00f3\u0142owo opisuje jak wyci\u0105gni\u0119to wnioski bardzo pokr\u00f3tce podsumowane przeze mnie w po\u015bcie. Wr\u00f3cmy jednak do metodologii atrybucji i sp\u00f3jrzmy z jakich element\u00f3w skorzystali analitycy ThreatConnect:<\/p>\n\n\n\n

        1. Malware – tak, na podstawie analizy implant\u00f3w uda\u0142o si\u0119 uzyska\u0107 adres serwera C2 kt\u00f3ry wi\u0105za\u0142 aktywno\u015bci ofensywne z wnioskami na temat infrastruktury.<\/li>
        2. Infrastruktura – tak, analiza wykorzystania dynamicznego DNS pozwoli\u0142a na sprofilowanie geograficzne aktywno\u015bci grupy i potencjalnej lokalizacji geograficznej.<\/li>
        3. Serwery kontrolne (Control server) – nie, nic w raporcie nie wskazuje aby analitycy mieli dost\u0119p do przechwyconego ruchu sieciowego, a tym bardziej samych serwer\u00f3w.<\/li>
        4. Telemetria – tak, godziny i daty aktywno\u015bci Naikon pozwoli\u0142y powi\u0105za\u0107 Ge Xing z nimi przez analiz\u0119 godzin pracy i wydarze\u0144 w \u017cyciu prywatnym.<\/li>
        5. Dane wywiadowcze (Intelligence) -tak, analitycy pos\u0142u\u017cyli si\u0119 OSINTem aby zebra\u0107 informacje na temat pseudonimu „greensky27” i powi\u0105za\u0107 go z konkretn\u0105 osob\u0105, a nast\u0119pnie ustali\u0107 gdzie pracuje.<\/li>
        6. Cui bono – tak, atrybucja zacz\u0119\u0142a si\u0119 od umieszczenia dzia\u0142alno\u015bci Naikon w kontek\u015bcie sytuacji na Morzu Po\u0142udniowochi\u0144skim, stronach zaanga\u017cowanych w trwaj\u0105ce tam spory i rol\u0119 PLA w operacjach w regionie.<\/li><\/ol>\n\n\n\n

          Jak widzimy wi\u0119c zastosowano tutaj szereg \u017ar\u00f3de\u0142 i technik analizy aby dotrze\u0107 do osoby sprawcy i oddzia\u0142u wojska odpowiedzialnego za ataki. Warto to podkre\u015bli\u0107, gdy\u017c niekt\u00f3rzy mogliby stwierdzi\u0107, \u017ce atrybucja tak naprawd\u0119 opiera\u0142a si\u0119 jedynie na powi\u0105zaniu zwrotu „greensky27” z osob\u0105, kt\u00f3ra u\u017cywa takiego pseudonimy na portalach spo\u0142eczno\u015bciowych. W istocie jednak, aby wnioski by\u0142 wiarygodne, nale\u017cy wzi\u0105\u0107 pod uwag\u0119 ca\u0142y kontekst aktywno\u015bci i mo\u017cliwie jak najwi\u0119cej rodzaj\u00f3w analizy. Je\u017celi mia\u0142bym pokusi\u0107 si\u0119 o uwag\u0119 krytyczn\u0105 do raportu, to z analitycznego punktu widzenia nie jest mo\u017ce najszcz\u0119\u015bliwszym zaczynanie od geopolitycznego kontekstu kampanii. Jest to bowiem mocno ocenny element i w por\u00f3wnaniu z analiz\u0105 techniczn\u0105 artefakt\u00f3w pozostawia du\u017co wi\u0119kszy margines interpretacji. W rezultacie raport mo\u017ce sprawia\u0107 wra\u017cenie pisanego pod tez\u0119, z dopasowaniem reszty dowod\u00f3w pod kontekst konfliktu na Morzu Po\u0142udniowochi\u0144skim. Analitycy zapewne zacz\u0119li od mapowania infrastruktury wykorzystanej do atak\u00f3w, i na podstawie tej analizy mogli wskaza\u0107 na regionalny aspekt operacji. Rozumiem te\u017c jednak, \u017ce z punktu widzenia raportu jako publikacji, przedstawienie aspekt\u00f3w geopolitycznych w pierwszym rozdziale bardziej osadza czytelnika w szerszym kontek\u015bcie analizy i pozwala na lepsze przedstawienie narracji. <\/p>\n\n\n\n

          Sp\u00f3jrzmy w ko\u0144cu na zastosowany model analityczny. Spojrzeli\u015bmy na raport pod k\u0105tem metodologii zaproponowanej przez Timo Steffensa, jednak podstawowym narz\u0119dziem by\u0142 tutaj Diamond Model. Nie powinno to dziwi\u0107, bowiem jeden z tw\u00f3rc\u00f3w modelu, Andrew Pendergast, pracuje w ThreatConnect. Atrybucja przeprowadzona zosta\u0142a tutaj analizuj\u0105c aktywno\u015b\u0107 w kontek\u015bcie osi modelu – socio-politycznej ustalaj\u0105c kontekst dzia\u0142a\u0144 Naikon i technicznej znajduj\u0105c powi\u0105zania stosowanych implant\u00f3w i infrastruktury z konkretn\u0105 osob\u0105. Nie zapominajmy, \u017ce Diamond Model niejako sam z siebie zak\u0142ada atrybucj\u0119 – g\u00f3rny wierzcho\u0142ek to napastnik. Praktyka threat intelligence w zakresie grupowania aktywno\u015bci nie zawsze wymaga jego ustalenia, cz\u0119st\u0105 praktyk\u0105 jest tworzenie grup w oparciu o dwa zgodne wierzcho\u0142ki diamentu. Je\u017celi nasze potrzeby tego wymagaj\u0105 mo\u017cemy z powodzeniem szczeg\u00f3\u0142owo przeanalizowa\u0107 aktywno\u015b\u0107 a\u017c do atrybucji do konkretnych organizacji. Nale\u017cy tylko mie\u0107 na uwadze, \u017ce o ile mo\u017cliwo\u015bci, infrastruktura i ofiary mo\u017cemy opisa\u0107 obiektywnie, analizuj\u0105c \u015blady techniczne, to oznaczenie napastnika zawsze b\u0119dzie ocenne.<\/p>\n\n\n\n

          Przytoczony przyk\u0142ad opiera\u0142 si\u0119 ca\u0142kowicie o analiz\u0119 wrogiej aktywno\u015bci, sp\u00f3jrzmy jednak na inne \u017ar\u00f3d\u0142a danych kt\u00f3re mog\u0105 nam pomo\u0107.<\/p>\n\n\n\n

          Zacznijmy od do\u015b\u0107 oczywistego – przyznanie si\u0119 do operacji. Powodem mo\u017ce by\u0107 wykorzystanie operacji jako \u015brodka odstraszania lub w mniej oficjalnym kontek\u015bcie, mo\u017ce mie\u0107 miejsce gdy swobodniej podchodz\u0105cy do klauzul tajno\u015bci urz\u0119dnicy udzielaj\u0105 wywiad\u00f3w lub nieoficjalnie rozmawiaj\u0105 z pras\u0105. W pierwszym kontek\u015bcie mo\u017cemy przytoczy\u0107 Ameryka\u0144skie Cybercommand, kt\u00f3re potwierdzi\u0142o, \u017ce przeprowadzi\u0142o operacj\u0119 przeciwko operatorom ransomware’u.<\/a> A z drugiej strony James Cartwright w 2016 roku przyzna\u0142 si\u0119 do tego, \u017ce ok\u0142amywa\u0142 FBI <\/a>ukrywaj\u0105c swoj\u0105 rol\u0119 jako \u017ar\u00f3d\u0142a w artyku\u0142ach o Stuxnetcie.<\/p>\n\n\n\n

          Kontynuuj\u0105c w tym klimacie, \u017ar\u00f3d\u0142em mog\u0105 by\u0107 r\u00f3wnie\u017c przecieki. W ostatnich latach bardzo popularne \u017ar\u00f3d\u0142o wspominaj\u0105c cho\u0107by Edwarda Snowdena czy WikiLeaks. Szczeg\u00f3lnie przyk\u0142ad Snowdena jest tutaj adekwatny, poniewa\u017c „przy okazji” wyciek\u00f3w o w\u0105tpliwych moralnie praktykach w ujawnionych materia\u0142ach mogli\u015bmy znale\u017a\u0107 informacje o Kanadyjskich i Francuskich operacjach<\/a> czy dzia\u0142alno\u015bci TAO – wydzia\u0142u NSA odpowiedzialnego za ofensywne operacje cyber<\/a>.<\/p>\n\n\n\n

          Nie mo\u017cemy zapomina\u0107 te\u017c o \u017ar\u00f3dle niedost\u0119pnym dla zwyk\u0142ych \u015bmiertelnik\u00f3w ale niezwykle istotnym – bezpo\u015brednim dost\u0119pie do system\u00f3w napastnika uzyskanym w wyniku operacji wywiadowczych – czy to cyber czy klasycznych. Cz\u0119sto mo\u017cemy spotka\u0107 si\u0119 z rz\u0105dem deklaruj\u0105cym, \u017ce okre\u015blona operacja by\u0142a przeprowadzona przez dany kraj bez podawania dalszych szczeg\u00f3\u0142\u00f3w. Tak by\u0142o w przypadku ataku na Olimpiad\u0119 w 2018 kiedy wkr\u00f3tce po ataku rz\u0105d USA og\u0142osi\u0142, \u017ce odpowiedzialna by\u0142a Rosja<\/a>. I o ile sceptycyzm wobec deklaracji ze strony agencji rz\u0105dowych nie popartych dowodami jest zdrowym zjawiskiem, to nale\u017cy mie\u0107 jednak na uwadze, \u017ce ujawnienie \u017ar\u00f3d\u0142a informacji mo\u017ce zaszkodzi\u0107 trwaj\u0105cym operacjom i nie zawsze jest mo\u017cliwe. Czasem jednak pa\u0144stwa decyduj\u0105 si\u0119 na zgo\u0142a inn\u0105 drog\u0119 i w szczeg\u00f3\u0142ach publikuj\u0105 to jak operatorzy zostali z\u0142apani. Tak by\u0142o, kiedy Holenderski rz\u0105d z\u0142apa\u0142 funkcjonariuszy GRU prowadz\u0105cych operacje przeciwko OPCW i w publicznej prezentacji ujawni\u0142 ich to\u017csamo\u015b\u0107 jak i szczeg\u00f3\u0142y zatrzymania<\/a>. Pozostaj\u0105c jeszcze przy mo\u017cliwo\u015bciach Holenderskich s\u0142u\u017cb w 2018 prasa ujawni\u0142a informacj\u0119, \u017ce s\u0142u\u017cby tego kraju w\u0142ama\u0142y si\u0119 do infrastruktury s\u0142u\u017cb Rosyjskich i korzystaj\u0105c z kamer w budynkach ogl\u0105da\u0142y ich prac\u0119<\/a>. Jest to \u015bwietny przyk\u0142ad dost\u0119pu, kt\u00f3ry mog\u0105 uzyska\u0107 tylko agencje rz\u0105dowe, a z drugiej strony ujawnienie szczeg\u00f3\u0142\u00f3w tego jak dost\u0119p zosta\u0142 uzyskany, utrudni\u0142oby dzia\u0142ania funkcjonariuszy.<\/p>\n\n\n\n

          Na koniec chcia\u0142bym jeszcze wspomnie\u0107 o zagadnieniu, kt\u00f3re cz\u0119sto rozpala wyobra\u017anie i bywa u\u017cywane jako argument, \u017ce atrybucja jest niemo\u017cliwa – operacjach false flag. W ko\u0144cu jak mo\u017cemy ustali\u0107 sprawc\u0119 ataku, skoro mo\u017ce on celowo pozostawia\u0107 \u015blady prowadz\u0105ce do innych grup? Taka mo\u017cliwo\u015b\u0107 powinna by\u0107 brana pod uwag\u0119 analizie, jednak w\u0142a\u015bnie dlatego atrybucja powinna by\u0107 poparta szeregiem dowod\u00f3w pochodz\u0105cych z r\u00f3\u017cnych \u017ar\u00f3de\u0142 aby mo\u017cliwie utrudni\u0107 zast\u0105pienie wszystkich prawdziwych \u015blad\u00f3w w\u0142amania, tymi spreparowanymi przez napastnika. Dodatkowo sam proces podszywania si\u0119 pod innego napastnika nie jest trywialny i poprzez dodatkowe komplikacje, kt\u00f3re wprowadza do operacji mo\u017ce doprowadzi\u0107 do b\u0142\u0119d\u00f3w w bezpiecze\u0144stwie operacji. Przytoczmy cho\u0107by atak z wykorzystaniem malware’u Olympic Destroyer, gdzie tw\u00f3rcy bardzo starali si\u0119 upodobni\u0107 do malware’u stosowanego przez grup\u0119 Lazarus, jednak wysi\u0142ki te zosta\u0142y wykryte przez analityk\u00f3w Kasperky<\/a>. Podsumowuj\u0105c wi\u0119c, pr\u00f3ba ataku pod fa\u0142szyw\u0105 flag\u0105 mo\u017ce utrudni\u0107 prac\u0119 analityk\u00f3w, jednak to, czy ostatecznie atrybucja zostanie poprawnie przeprowadzona zale\u017ce\u0107 b\u0119dzie od poziomu umiej\u0119tno\u015bci napastnik\u00f3w i analityk\u00f3w jak w ka\u017cdym innym przypadku.<\/p>\n\n\n\n

          Jak wida\u0107 atrybucja to z\u0142o\u017cone zagadnienie, by\u0142bym jednak daleki od defetyzmu, kt\u00f3ry mo\u017cemy cz\u0119sto obserwowa\u0107 w\u015br\u00f3d komentator\u00f3w twierdz\u0105cych, \u017ce w zakresie operacji cyber nigdy nic nie wiadomo i nie da si\u0119 ustali\u0107 odpowiedzialnych. Jest to trudny i skomplikowany proces, wymagaj\u0105cy wielu \u017ar\u00f3de\u0142 danych, cz\u0119sto pozostaj\u0105cych poza zasi\u0119giem wi\u0119kszo\u015bci zespo\u0142\u00f3w. Przytaczaj\u0105c jednak przyk\u0142ady prywatnych zespo\u0142\u00f3w threat intelligence, kt\u00f3rym uda\u0142o si\u0119 ustali\u0107 sprawc\u00f3w (cofaj\u0105c si\u0119 do 2014 kiedy Mandiant opublikowa\u0142 raport o APT1<\/a>) czy wielu <\/a>akt\u00f3w<\/a> oskar\u017cenia wydanyc<\/a>h przez Departament Sprawiedliwo\u015bci USA mo\u017cemy zobaczy\u0107 jak dok\u0142adna analiza aktywno\u015bci i \u0142\u0105czenie danych pozwala na ustalenie sprawc\u00f3w.<\/p>\n","protected":false},"excerpt":{"rendered":"

          Jednym z najbardziej polaryzuj\u0105cych i poruszaj\u0105cych wyobra\u017anie zagadnie\u0144 w praktyce analizy wrogiej aktywno\u015bci jest atrybucja czyli pr\u00f3ba okre\u015blenia konkretnych podmiot\u00f3w, organizacji lub os\u00f3b odpowiedzialnych za operacj\u0119. Zainteresowanie tym „kto to zrobi\u0142” nie powinno dziwi\u0107 – proces analizy cyber aktywno\u015bci cz\u0119sto przybiera dok\u0142adnie odwrotny obr\u00f3t ni\u017c \u015bledztwa w sprawie „zwyk\u0142ych” przest\u0119pstw. […]<\/p>\n","protected":false},"author":2,"featured_media":530,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"cybocfi_hide_featured_image":"yes","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[2,6],"tags":[47,48,38,49,41],"class_list":["post-520","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-osint","category-threat-intelligence","tag-atribution","tag-ddns","tag-diamond-model","tag-malware-analysis","tag-threat-intelligence"],"yoast_head":"\nW labiryncie luster - atrybucja w kontek\u015bcie threat intelligence<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/counterintelligence.pl\/en\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"W labiryncie luster - atrybucja w kontek\u015bcie threat intelligence\" \/>\n<meta property=\"og:description\" content=\"Jednym z najbardziej polaryzuj\u0105cych i poruszaj\u0105cych wyobra\u017anie zagadnie\u0144 w praktyce analizy wrogiej aktywno\u015bci jest atrybucja czyli pr\u00f3ba okre\u015blenia konkretnych podmiot\u00f3w, organizacji lub os\u00f3b odpowiedzialnych za operacj\u0119. Zainteresowanie tym „kto to zrobi\u0142” nie powinno dziwi\u0107 – proces analizy cyber aktywno\u015bci cz\u0119sto przybiera dok\u0142adnie odwrotny obr\u00f3t ni\u017c \u015bledztwa w sprawie „zwyk\u0142ych” przest\u0119pstw. […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/counterintelligence.pl\/en\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/\" \/>\n<meta property=\"og:site_name\" content=\"counterintelligence.pl\" \/>\n<meta property=\"article:published_time\" content=\"2022-02-07T17:29:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-02-07T17:29:34+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2022\/02\/Zrzut-ekranu-2022-02-04-194130.png\" \/>\n\t<meta property=\"og:image:width\" content=\"766\" \/>\n\t<meta property=\"og:image:height\" content=\"647\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kamil Bojarski\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:site\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kamil Bojarski\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"13 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/\"},\"author\":{\"name\":\"Kamil Bojarski\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"headline\":\"W labiryncie luster – atrybucja w kontek\u015bcie threat intelligence\",\"datePublished\":\"2022-02-07T17:29:33+00:00\",\"dateModified\":\"2022-02-07T17:29:34+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/\"},\"wordCount\":3373,\"commentCount\":2,\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/02\\\/Zrzut-ekranu-2022-02-04-194130.png?fit=766%2C647&ssl=1\",\"keywords\":[\"atribution\",\"DDNS\",\"diamond model\",\"malware analysis\",\"threat intelligence\"],\"articleSection\":[\"OSINT\",\"Threat Intelligence\"],\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/\",\"name\":\"W labiryncie luster - atrybucja w kontek\u015bcie threat intelligence\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/02\\\/Zrzut-ekranu-2022-02-04-194130.png?fit=766%2C647&ssl=1\",\"datePublished\":\"2022-02-07T17:29:33+00:00\",\"dateModified\":\"2022-02-07T17:29:34+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/02\\\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/counterintelligence.pl\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"W labiryncie luster – atrybucja w kontek\u015bcie threat intelligence\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/\",\"name\":\"counterintelligence.pl\",\"description\":\"Threat Inteliigence \\\/ OSINT \\\/ NETSEC \\\/ NATSEC\",\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/counterintelligence.pl\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\",\"name\":\"Kamil Bojarski\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"url\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"contentUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"width\":1521,\"height\":721,\"caption\":\"Kamil Bojarski\"},\"logo\":{\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\"},\"sameAs\":[\"https:\\\/\\\/counterintelligence.pl\",\"https:\\\/\\\/www.linkedin.com\\\/in\\\/kamil-bojarski\\\/\",\"https:\\\/\\\/x.com\\\/lawsecnet\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"In the Mirror Maze - Attribution in the Context of Threat Intelligence","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/counterintelligence.pl\/en\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/","og_locale":"en_US","og_type":"article","og_title":"W labiryncie luster - atrybucja w kontek\u015bcie threat intelligence","og_description":"Jednym z najbardziej polaryzuj\u0105cych i poruszaj\u0105cych wyobra\u017anie zagadnie\u0144 w praktyce analizy wrogiej aktywno\u015bci jest atrybucja czyli pr\u00f3ba okre\u015blenia konkretnych podmiot\u00f3w, organizacji lub os\u00f3b odpowiedzialnych za operacj\u0119. Zainteresowanie tym „kto to zrobi\u0142” nie powinno dziwi\u0107 – proces analizy cyber aktywno\u015bci cz\u0119sto przybiera dok\u0142adnie odwrotny obr\u00f3t ni\u017c \u015bledztwa w sprawie „zwyk\u0142ych” przest\u0119pstw. […]","og_url":"https:\/\/counterintelligence.pl\/en\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/","og_site_name":"counterintelligence.pl","article_published_time":"2022-02-07T17:29:33+00:00","article_modified_time":"2022-02-07T17:29:34+00:00","og_image":[{"width":766,"height":647,"url":"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2022\/02\/Zrzut-ekranu-2022-02-04-194130.png","type":"image\/png"}],"author":"Kamil Bojarski","twitter_card":"summary_large_image","twitter_creator":"@lawsecnet","twitter_site":"@lawsecnet","twitter_misc":{"Written by":"Kamil Bojarski","Est. reading time":"13 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#article","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/"},"author":{"name":"Kamil Bojarski","@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"headline":"W labiryncie luster – atrybucja w kontek\u015bcie threat intelligence","datePublished":"2022-02-07T17:29:33+00:00","dateModified":"2022-02-07T17:29:34+00:00","mainEntityOfPage":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/"},"wordCount":3373,"commentCount":2,"publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"image":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/02\/Zrzut-ekranu-2022-02-04-194130.png?fit=766%2C647&ssl=1","keywords":["atribution","DDNS","diamond model","malware analysis","threat intelligence"],"articleSection":["OSINT","Threat Intelligence"],"inLanguage":"en-US","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/","url":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/","name":"In the Mirror Maze - Attribution in the Context of Threat Intelligence","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/#website"},"primaryImageOfPage":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#primaryimage"},"image":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/02\/Zrzut-ekranu-2022-02-04-194130.png?fit=766%2C647&ssl=1","datePublished":"2022-02-07T17:29:33+00:00","dateModified":"2022-02-07T17:29:34+00:00","breadcrumb":{"@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/counterintelligence.pl\/2022\/02\/w-labiryncie-luster-atrybucja-w-kontekscie-threat-intelligence\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/counterintelligence.pl\/"},{"@type":"ListItem","position":2,"name":"W labiryncie luster – atrybucja w kontek\u015bcie threat intelligence"}]},{"@type":"WebSite","@id":"https:\/\/counterintelligence.pl\/#website","url":"https:\/\/counterintelligence.pl\/","name":"counterintelligence.pl","description":"Threat Inteliigence \/ OSINT \/ NETSEC \/ NATSEC","publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/counterintelligence.pl\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":["Person","Organization"],"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba","name":"Kamil Bojarski","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","contentUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","width":1521,"height":721,"caption":"Kamil Bojarski"},"logo":{"@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1"},"sameAs":["https:\/\/counterintelligence.pl","https:\/\/www.linkedin.com\/in\/kamil-bojarski\/","https:\/\/x.com\/lawsecnet"]}]}},"jetpack_featured_media_url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/02\/Zrzut-ekranu-2022-02-04-194130.png?fit=766%2C647&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/comments?post=520"}],"version-history":[{"count":17,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/520\/revisions"}],"predecessor-version":[{"id":542,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/520\/revisions\/542"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media\/530"}],"wp:attachment":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media?parent=520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/categories?post=520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/tags?post=520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}