Изучение АРТ-кампаний схоже с палеонтологическими изысканиями
После публикации нашего отчета о системе кибершпионажа Regin, созданной при государственной поддержке, возник вопрос о том, не скрывали ли антивирусные компании информацию об этой угрозе (и не блокировали ли они ее детектирование) намеренно по просьбе своих правительств и клиентов. Подобный вопрос уже поднимался в 2013 году американским экспертом по IT-безопасности Брюсом Шнайером (Bruce Schneier).
Давайте сразу расставим все точки над i. Ни клиенты, ни правительственные органы никогда не просили нас добавлять в списки разрешенных или прекращать детектирование какого-либо конкретного образца вредоносного ПО. Мы бы никогда не стали выполнять такое требование, от кого бы оно ни исходило.
Это просто невозможно. В некоторых случаях при исследовании сложных целевых атак с клиентами заключается договор о неразглашении, и тогда мы обязаны сохранять конфиденциальность. Однако это никогда не приводит к отказу от детектирования тех или иных угроз и защиты от них всех пользователей наших решений.
Тогда почему нам потребовалось целых два года на то, чтобы опубликовать отчет о Regin? Без соответствующего контекста может показаться, что аналитики действительно в течение долгого времени скрывали что-то очень важное. Однако исследования в области безопасности, как и расследование преступлений, требуют тщательной проверки и анализа, а во многих случаях для воссоздания полной картины атаки важно проследить за тем, как она разворачивается в режиме реального времени.
В нашем случае в отсутствие неограниченного количества ресурсов и при том, что мы отслеживаем одновременно множество APT-группировок (Careto/Mask, EpicTurla, Darkhotel, Miniduke/Cosmicduke, и это далеко не весь список), для воссоздания полной картины киберпреступной кампании могут потребоваться месяцы, а то и годы.
Шон Салливан (Sean Sullivan) из компании F-Secure дал очень точное описание исследования АРТ-атак, сравнив его с работой палеонтологов, нашедших несколько костей динозавра. Каждый из них держит в руках отдельную кость, но сложить весь скелет у них нет возможности.
Применительно к Regin то, что мы обнаружили в 2012 году, можно сравнить со слегка поврежденной костью неизвестной части тела монстра, жившего в таинственном горном озере.
(любезно предоставлено southampton.ac.uk)
Тот, кто находит кость, может отбросить ее и идти дальше; мы же в своих исследованиях в области безопасности сохраняем все, что находим. Первая наша находка, касающаяся Regin, пополнила коллекцию вещей, хранившихся в чулане. Мы храним множество обломков костей загадочных монстров или, может быть, вполне безобидных существ. Иногда мы узнаем о фрагментах костей, найденных другими исследователями, и это заставляет нас вновь обратить внимание на наши собственные находки. Но на ранних стадиях при отсутствии достаточного количества фактических данных для серьезных выводов нет смысла обнародовать находки, пока не будет подтверждено, что монстры, большие и ужасные, действительно существуют.
Мы продолжаем работу, используя различные каналы для сбора артефактов, которые могут соответствовать (а могут и не соответствовать) отдельным фрагментам нашей коллекции. Иногда мы объединяем усилия с другими «палеонтологами» и делимся нашими открытиями. Как только мы найдем столько костей монстра, сколько необходимо для понимания его потенциального размера, степени опасности и возможной среды обитания, мы можем перейти к следующему этапу – активному исследованию, которое, возможно, приведет нас к таинственному горному озеру.
Проект всестороннего исследования АРТ-кампании состоит из нескольких этапов:
- Добавление детектирования для известных модулей.
- Сбор образцов.
- Воссоздание исходного кода имеющихся образцов.
- Расшифровка сложных схем шифрования и сжатия.
- Анализ механизмов распространения вредоносного ПО по сети.
- Определение этапов атаки и их порядка.
- Составление карты инфраструктуры командных серверов.
- Настройка sinkhole-маршрутизаторов.
- Анализ собранной информации по трафику и протоколам передачи данных.
- Поиск других хостов, использующих те же протоколы.
- Отключение командных серверов и получение их образов.
- Идентификация жертв, рассылка уведомлений жертвам и центрам CERT (Computer Emergency Response Team) в разных странах.
- Применение методов криминалистического анализа и извлечение логов, похищенных файлов и других компонентов.
- Сбор и анализ данных, полученных из KSN, с командных серверов, от отдельных жертв, готовых сотрудничать с нами, с sinkhole-маршрутизаторов, поисковых агентов и т.д.
- Написание подробного отчета.
Если нам повезет, мы сможем обнаружить монстра в дикой среде, что является самым хорошим источником для научного исследования. В большинстве случаев, в том числе и в случае с Regin, мы наблюдаем и изучаем поведение живого монстра. И мы записываем каждый его шаг и каждое намерение.
В то же время, мы можем разобрать его по косточкам и изучать в лаборатории, как это делают зоологи. Однако во многих своих расследованиях мы видим только скелет монстра. Нам нужно объединить все имеющиеся у нас сведения, чтобы реконструировать его движения, повадки, понять, на каких животных он охотился и как его охота была организована. Для всего этого необходимо время и терпение.
Кроме того, анализируя особенности каждого конкретного экземпляра, мы понимаем, что эволюция продолжается и что есть другие похожие особи, которые где-то совершенно незаметно живут и развиваются.
Образцы Regin попали в поле нашего зрения давно, и в процессе исследования мы продолжали находить все новые образцы и артефакты, однако мы убеждены, что неизвестных и необнаруженных остается еще много. Об их существовании и активности в прошлом нам известно мало, но мы знаем о них по крошечным фрагментам, которые мы находим время от времени. И опять уместно провести параллель с палеонтологией: мы нашли только маленькую часть зверя, но мы уже знаем о нем достаточно, чтобы сообщить об опасности.
Как и в случае с Regin, иногда на протяжении нескольких лет мы обнаруживаем отдельные фрагменты вредоносной программы и лишь позже понимаем, что это часть глобальной компании кибершпионажа. Пример тому – история обнаружения RedOctober. Компоненты этой вредоносной программы встречались нам задолго до того, как мы выяснили, что она используется для целевых атак на дипломатические, правительственные и научные организации.
В «Лаборатории Касперского» ежедневно обрабатываются сотни тысяч образцов. Искусство определять, какие из них могут оказаться значимыми, более того — какие из них связаны между собой и являются частью крупной АРТ-кампании, похоже на поиск иголок в огромном стоге сена и затем выяснение, какие из них входят в один и тот же набор для шитья. Мы рады каждой найденной нами иголке, потому что эта находка делает мир чуть-чуть безопаснее.
Искусство поиска скелетов кибердинозавров