Meseria de cercetător în securitate cibernetică este atât de palpitantă pentru că are câte puţin din toate: programator, matematician, criminalist, istoric, arheolog şi, uneori, psiholog. Cea mai frumoasă parte - şi cea care ridică cele mai multe provocări este investigarea atacurilor APT - cele mai complexe, mai persistente şi mai ascunse atacuri.
Când ne confruntăm cu un astfel de atac - şi noi facem asta de peste 20 de ani, aşa că avem o experienţă bogată şi diversă - sunt trei întrebări principale pe care ni le punem: "ce s-a întâmplat?", "putem găsi o rezolvare?" şi cea mai intrigantă întrebare dintre toate: "cine este autorul?". Răspunsul la ultima întrebare reprezintă ceea ce numim "atribuire", iar uneori este ca şi cum ai căuta acul în carul cu fân - şi nu într-unul obişnuit, ci un car plin cu capcane puse de atacatori pentru a-i deturna pe cercetători de la drumul cel bun.
Să începem, însă, cu începutul. În GReAT (Global Research and Analysis Team) - ca şi în alte echipe de cercetare din industria de securitate IT - ne bazăm pe indicii, atunci când avem de-a face cu atacuri APT ale căror origini încercăm să le identificăm. Aceste indicii sunt erori operaţionale pe care le fac atacatorii atunci când îşi pun planurile în acţiune.
Se spune că nu există crimă perfectă şi acest lucru este valabil şi pentru infracţiunile cibernetice. Oricât de tare ar încerca atacatorii să nu lase nicio urmă, unele lucruri sunt inevitabile: uită anumite cuvinte cheie în cod, copiază fragmente de cod din alte operaţiuni sau îşi folosesc contul personal în atacuri. Pentru a ne face sarcina mai dificilă, unele nu sunt indicii reale, ci capcane plantate special pentru a induce investigatorii în eroare: cuvinte într-o altă limbă decât cea a atacatorilor sau utilizarea de cod din alte campanii, cu intenţia de a arăta cu degetul spre alte grupări APT. Însă, a pretinde că ai o altă limbă maternă poate duce la greşeli - un cuvânt care nu este scris corect oferă un indiciu valoros, în locul celui fals, aşa cum era intenţia.
Unul dintre cele mai complexe indicii false cu care am avut de-a face vreodată a fost în cazul Olympic Destroyer - infractorii au falsificat un element care este foarte greu de falsificat şi chiar mai greu de dovedit: e aproape ca şi cum ar fi fost furat ADN-ul cuiva şi lăsat la locul crimei de adevăratul făptaş. Cu toate acestea, am reuşit să demonstrăm că artefactul nu era autentic - cu alte cuvinte, era un indiciu fals.
Oricât de mult s-ar strădui, atacatorii cibernetici sunt oameni şi nu pot falsifica orice. De obicei, graficele cu fluxurile de lucru - la ce oră încep, când iau o pauză, câte ore pe zi muncesc - oferă informaţii valoroase. Analizând cu atenţie indiciile disponibile - de obicei cele de limbă şi intervalele orare, putem afirma că un grup APT este vorbitor de limbă chineză/rusă/coreeană/engleză şi aşa mai departe.
Considerăm că responsabilitatea noastră este să răspundem la primele două întrebări şi să lăsăm atribuirea exactă organismelor de aplicare a legii, care au o perspectivă mai largă decât companiile private. De asemenea, credem că este esenţială cooperarea dintre autorităţi şi jucătorii din securitatea cibernetică pentru ca mai mulţi atacatori să fie aduşi în faţa justiţiei. De aceea, susţinem iniţiative care promovează transparenţa şi încrederea în acest domeniu, Apelul de la Paris pentru încredere şi securitate în spaţiul cibernetic fiind un pas important în această direcţie.
Cooperarea este cu atât mai importantă în prezent, când spaţiul virtual devine mai periculos ca oricând, pentru că războiul cibernetic nu cunoaşte reguli sau graniţe. Cred că armele cibernetice vor juca un rol din ce în ce mai important în capacitatea ofensivă a unui stat, iar atacurile viitoare vor viza din ce în ce mai mult infrastructura critică - am văzut deja astfel de exemple în Ucraina, Arabia Saudită sau Venezuela.
Având o privire de ansamblu asupra complexităţii atacurilor cibernetice şi a evoluţiei continue a numărului lor se poate vedea cu uşurinţă de ce atacatorii rămân necunoscuţi în majoritatea cazurilor şi doar o mică parte dintre atacuri pot fi atribuite. Dacă investigarea atacurilor cibernetice ar fi un puzzle, atunci înţelegerea a ceea ce s-a întâmplat ar completa primul nivel al puzzle-ului, iar rezolvarea lui - cu o cheie de decriptare, de exemplu - ar fi al doilea nivel. În sfârşit, legarea unui atac de o grupare aproape că ar completa puzzle-ul - cu nume de grupări APT ca Equation, Desert Falcons sau Lazarus. Cazul rar şi norocos când puzzle-ul este complet ar fi acela când investigatorii cibernetici şi organismele de aplicare a legii colaborează, pentru a reuşi să prindă, efectiv, atacatorii - CoinVault, de exemplu.
Un lucru e cert: misiunea noastră este de a pune laolaltă cât mai multe piese din puzzle, dar doar cooperarea dintre companiile de securitate cibernetică şi autorităţi îl pot completa, ori de câte ori este posibil.