211service.com
Ķīniešu hakeri maskējās par Irānu, lai mērķētu uz Izraēlu
AP foto/Ng Han Guan
Kad 2019. un 2020. gadā hakeri ielauzās datoros Izraēlas valdības un tehnoloģiju uzņēmumos, izmeklētāji meklēja norādes, lai noskaidrotu, kurš ir atbildīgs. Pirmie pierādījumi tieši norādīja uz Irānu, Izraēlas strīdīgāko ģeopolitisko sāncensi. Hakeri izvietoja rīkus, kas parasti ir saistīti, piemēram, ar irāņiem, un rakstīja persiešu valodā.
Taču pēc pierādījumu turpmākas pārbaudes un informācijas, kas iegūta no citiem kiberspiegošanas gadījumiem Tuvajos Austrumos, analītiķi saprata, ka tā nav Irānas operācija. Tā vietā to veica Ķīnas darbinieki, uzdodoties par hakeru komandu no Teherānas.
Hakeri veiksmīgi uzbruka Izraēlas valdībai, tehnoloģiju uzņēmumiem un telekomunikāciju firmām, un šķiet, ka, izvietojot viltus karogus, viņi cerēja maldināt analītiķus, liekot tiem domāt, ka uzbrucēji ir no Izraēlas reģionālā ienaidnieka.
Jauns pētījumiem no amerikāņu kiberdrošības firmas FireEye, sadarbojoties ar Izraēlas militārpersonām, atklāj neveiksmīgo maldināšanu un apraksta paņēmienus, ko izmantojuši hakeri, cenšoties novelt vainu citur.
Saistīts stāsts
Ķīniešu hakeri, kas uzdodas par ANO Cilvēktiesību padomi, uzbrūk uiguriem Ķīniešu valodā runājošie hakeri vēršas pret uiguru musulmaņiem ar viltotiem Apvienoto Nāciju Organizācijas ziņojumiem un viltus atbalsta organizācijām, liecina jauns ziņojums.
Saskaņā ar pētījumu, daudzas viņu taktikas bija diezgan rupji mēģinājumi likt domāt, ka viņi ir Irānas spiegi, piemēram, izmantojot failu ceļus, kuros bija vārds Irāna. Taču uzbrucēji arī centās aizsargāt savu patieso identitāti, samazinot kriminālistikas pierādījumu skaitu, ko viņi atstāja uz kompromitētiem datoriem, un slēpjot infrastruktūru, ko viņi izmantoja, lai ielauztos Izraēlas mašīnās.
Taču viņu viltība rādīt ar pirkstu uz Irānu cieta neveiksmi. Hakeri, kurus FireEye dēvē par UNC215, pieļāva vairākas būtiskas tehniskas kļūdas, kas sabojāja viņu vāku un cieši saistīja tos ar viņu iepriekšējo darbu. Piemēram, viņi izmantoja līdzīgus failus, infrastruktūru un taktiku vairākās darbībās Tuvajos Austrumos.
Ir detaļas, kas atšķirs operatoru vai viņu sponsoru, saka Džons Hultkvists, FireEye draudu izlūkošanas viceprezidents. Viņi asiņos, veicot vairākas operācijas neatkarīgi no maldināšanas.
Papildus vairākām tehniskajām dāvanām vēl viens svarīgs pavediens ir informācija vai upuri, uz kuriem vērsās hakeri. UNC215 atkārtoti uzbrūk tāda paša veida mērķiem Tuvajos Austrumos un Āzijā, un tie visi ir tieši saistīti ar Ķīnas politiskajām un finansiālajām interesēm. Grupas mērķi pārklājas ar citu Ķīnas hakeru grupu mērķiem, kas ne vienmēr sakrīt ar zināmo Irānas hakeru interesēm.
Jūs varat radīt ievērojamu maldināšanu, bet galu galā jums ir jākoncentrējas uz to, kas jūs interesē, saka Hultkvists. Tas sniegs informāciju par to, kas jūs esat, jo ir jūsu intereses.
Vienīgais acīmredzamais risinājums šai problēmai ir novērst izmeklētājus, meklējot mērķus, kas patiesībā neinteresē. Bet tas rada savas problēmas: darbības apjoma palielināšana ievērojami palielina iespēju tikt pieķertam.
Uzbrucēju atstātie pirkstu nospiedumi bija pietiekami, lai galu galā pārliecinātu Izraēlas un Amerikas izmeklētājus, ka vainīgs ir Ķīnas grupējums, nevis Irāna. Tā pati hakeru grupa jau iepriekš ir izmantojusi līdzīgu maldinošu taktiku. Faktiski tas pat varēja uzlauzt pašu Irānas valdību 2019. gadā, pievienojot maldināšanai papildu slāni.
Tas ir pirmais piemērs liela mēroga ķīniešu uzlaušanai pret Izraēlu, un tas notiek pēc a vairāku miljardu dolāru Ķīnas investīciju kopums Izraēlas tehnoloģiju nozarē. Tie tika izstrādāti kā daļa no Pekinas Belt and Road iniciatīvas, kas ir ekonomikas stratēģija, kas paredzēta strauji paplašina Ķīnas ietekmi un sasniedziet skaidru pāri Eirāzijai līdz Atlantijas okeānam. ASV brīdināja pret ieguldījumus, pamatojoties uz to, ka tie apdraudētu drošību.
Nepareiza virzība un nepareiza attiecināšana
UNC215 maldināšana pret Izraēlu nebija īpaši sarežģīta vai veiksmīga, taču tas parāda, cik svarīga var būt attiecināšana un nepareiza attiecināšana kiberspiegošanas kampaņās. Tas ir ne tikai potenciāls uzbrukuma grēkāzis, bet arī sniedz diplomātisku aizsegu uzbrucējiem: saskaroties ar spiegošanas pierādījumiem, Ķīnas amatpersonas regulāri iebilst, ka hakerus ir grūti vai pat neiespējami izsekot. Ķīnas vēstniecības Vašingtonā pārstāvis sacīja, ka valsts 'stingri iebilst pret visa veida kiberuzbrukumiem un cīnās pret tiem'.
Un mēģinājums nepareizi novirzīt izmeklētājus rada vēl lielāku jautājumu: cik bieži viltus karoga mēģinājumi apmāna izmeklētājus un upurus? Ne tik bieži, saka Hultkvists.
Šie maldināšanas centieni ir tādi, ka, ja paskatās uz incidentu caur šauru atvērumu, tas var būt ļoti efektīvs, viņš saka. Bet pat tad, ja atsevišķs uzbrukums ir veiksmīgi nepareizi attiecināts, Atsevišķs uzbrukums var tikt sekmīgi nepareizi attiecināts, taču daudzu uzbrukumu gaitā kļūst arvien grūtāk un grūtāk saglabāt šarādu. Tas attiecas uz ķīniešu hakeriem, kas 2019. un 2020. gadā mērķēja uz Izraēlu.
'Ir ļoti grūti noturēt maldināšanu vairākās operācijās.'
Džons Hultkvists, FireEye
Kad jūs sākat to saistīt ar citiem incidentiem, maldināšana zaudē savu efektivitāti, Hultquist skaidro. Ir ļoti grūti noturēt maldināšanu vairāku darbību laikā.
Pazīstamākais mēģinājums plkst nepareiza attiecināšana kibertelpā bija Krievijas kiberuzbrukums 2018. gada ziemas olimpisko spēļu atklāšanas ceremonijai Dienvidkorejā, dublēts Olimpiskais iznīcinātājs . Krievi mēģināja atstāt norādes uz Ziemeļkorejas un Ķīnas hakeriem — ar pretrunīgiem pierādījumiem, kas šķietami izstrādāti, lai neļautu izmeklētājiem nonākt pie skaidra secinājuma.
Olympic Destroyer ir pārsteidzošs viltus karogu un attiecinājuma murga piemērs, saka Kostins Raiu, Kaspersky Lab globālās izpētes un analīzes komandas direktors, tvītoja tajā laikā.
Galu galā pētnieki un valdības šajā incidentā vainoja Krievijas valdību un pagājušajā gadā ASV. apsūdzēts seši Krievijas izlūkdienesta virsnieki par uzbrukumu.
Tiem Ziemeļkorejas hakeriem, kuri sākotnēji tika turēti aizdomās par Olympic Destroyer uzlaušanu, ir paši nokrita viltus karogi savas darbības laikā. Taču galu galā tos arī noķēra un identificēja gan privātā sektora pētnieki, gan ASV valdība, kas apsūdzēts trīs Ziemeļkorejas hakeri šā gada sākumā.
Vienmēr ir bijis nepareizs uzskats, ka attiecināšana ir neiespējamāka nekā tā ir, saka Hultkvists. Mēs vienmēr domājām, ka sarunā iesaistīsies viltus karodziņi un sagraus visu mūsu argumentu, ka attiecināšana ir iespējama. Bet mēs vēl neesam tur. Tie joprojām ir nosakāmi mēģinājumi izjaukt attiecināšanu. Mēs joprojām to uztveram. Viņi vēl nav šķērsojuši robežu.