В мире цифровых технологий, где данные играют ключевую роль, хакерские группировки уже давно стали неотъемлемой частью. Их деятельность охватывает самые разные сферы – от корпоративного мира и государственных структур до индивидуальных пользователей. Для того чтобы отслеживать деятельность разных групп, изучать их и обогащать знания о группировке, изучать ее тактики и техники, многие компании используют свои системы классификации хакерских объединений.
В этой статье расскажем о том, как формируются классификации хакерских групп, какие классификации используются зарубежными и российскими компаниями. Также порассуждаем, зачем они нужны компаниям и чем могут помочь ИБ-специалистам в отражении атак и борьбе с киберпреступлениями.
Киберпреступники, как и их «аналоговые» коллеги, имеют свой почерк: характерные действия, используемый инструментарий и т. д. И даже самая анонимная группировка оставляет следы в атакуемой инфраструктуре, которые могут изучить и систематизировать специалисты по кибербезопасности.
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
На хакерские группировки следует смотреть скорее как на кластеры активности, нежели как на группы злоумышленников. У таких кластеров будет уникальный набор методов и инструментов, а также инфраструктура. Такая совокупность позволяет отличать один такой кластер от другого. Им мы и даем имена.
Это позволяет выделить кластеры, которые актуальны для определенной отрасли и географии, понять используемые ими методы и убедиться, что ваша организация защищена от реальных угроз.
Кроме того, классификация – это способ получить дополнительный контекст. Например, мы видим сетевую коммуникацию с IP-адресом, который связан с определенным кластером, например, Cobalt Werewolf. Привязка к кластеру дает нам много дополнительной информации: об индикаторах компрометации, о тактиках, техниках и процедурах, инструментах. Эта информация позволит нам быстро и эффективно отреагировать на инцидент, так как мы заранее будем знать, на что обращать внимание. Кроме того, персонал может осуществить проактивный поиск применения похожих методов. Это позволит убедиться, что в инфраструктуре не осталось никаких следов обнаруженной вредоносной активности.
Понимая актуальные кластеры, можно сфокусироваться на сложных атаках, требующих внимания персонала, а не на шумных массовых, которые без труда будут заблокированы даже базовыми техническими средствами защиты.
Ну и, разумеется, всегда интереснее разбираться и противостоять загадочному «оборотню», нежели смотреть на очередную бездушную сработку средства защиты. Что касается раскрытия преступлений: в некоторых случаях такая атрибуция может помочь, например, объединить несколько эпизодов в один.
Внутри классификации лежит большой пласт знаний, однако присвоение имени, чаще всего, происходит на основании двух факторов:
Такой подход обусловлен прежде всего простотой восприятия и доступностью широкой аудитории, поскольку «иранская прогосударственная группировка» с большей вероятностью попадет на страницы СМИ, чем «группировка, использующая техники группы A, вредоносные программы групп B-С и атакующая преимущественно компании финансового сектора».
Поскольку для создания классификации нужен большой объем данных, в том числе и непосредственно из скомпрометированных злоумышленниками систем, ведут их крупные компании и объединения. Далее о некоторых классификациях, которые используются в России и других странах.
Свой вариант классификации хакерских группировок уже давно ведет Microsoft. Это обусловлено сложностью, масштабом и объем угроз, с которыми ежедневно сталкиваются как сотрудники компании, так и многочисленные пользователи их продуктов.
Ранее Microsoft использовала для обозначения групп злоумышленников химические элементы, но в прошлом году внедрила новую систему. В апреле 2023 года Microsoft изменила таксономию наименований, используя названия погодных явлений. В целом, новая классификация делит все группировки, за которыми наблюдает Microsoft, по ключевым группам и национальной принадлежности. Ниже в таблице привели примеры названий из новой таксономии Microsoft.
По ключевым группам |
По национальной принадлежности |
||
Финансовая мотивация |
Tempest (буря) |
Россия |
Blizzard (метель) |
Атаки на частный сектор (PSOAs) |
Tsunami (цунами)
|
Китай |
Typhoon (тайфун) |
Операции влияния |
Flood (наводнение) |
Турция |
Dust (пыль) |
Группы в разработке |
Storm (шторм) |
Вьетнам |
Cyclone (циклон) |
Субъектам угроз в рамках одного погодного явления присваивается прилагательное, позволяющее различать группы участников, которые имеют разные TTP, инфраструктуру, цели или другие идентифицированные шаблоны.
Также у Microsoft есть сводная таблица, в которой представлены классифицируемые ими группировки с их названиях в старой версии и в некоторых других западных классификациях.
В отличие от Майкрософта, CrowdStrike сосредоточились не на природных явлениях, а на анималистике, объединив наименования, используемые крупными вендорами.
Финансово-мотивированные преступники в их классификации называются «пауками» (Scattered Spider), хактивисты – «шакалами» (Ghost Jackal).
А вот прогосударственные хакеры подразделяются еще и по странам. К примеру, хакеры из Ирана у них «котята» (Static Kitten), а из Китая – «панды» (Sunrise Panda).
Куда менее креативную, зато весьма простую и понятную классификацию использует американская ИТ-компания Mandiant. В ее рамках все киберпреступные сообщества делятся на две категории:
Далее группировке присваивается номер в соответствии с ее обнаружением. Например, APT1, APT2, APT3 и т. д.
Никита Леокумович
Руководитель отдела реагирования и цифровой криминалистики Angara Security
APT (advanced persistent threat, nation-state actors) – постоянная серьезная (продвинутая) угроза. Группа лиц, обладающая специальными знаниями в области информационных технологий и имеющая на балансе ресурсы, которые в совокупности могут создавать или создают угрозу опасных кибератак.
Нет четкого правила следовать данной таксономии, поэтому у крупных компаний в области информационной безопасности чаще всего своя классификация хакерских группировок на основе каких-то выделенных признаков или правил. Но это зачастую приводит к путанице. Особенно когда сами группировки придумывают себе названия и публикуют их в открытых источниках. Например, группировка APT28 имеет еще несколько названий (IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127).
Эту классификацию часто используют российские и зарубежные компании для упрощения идентификации и запоминания субъектов угроз. А термин APT-группа прочно вошел в обиход ИБ-специалистов как синоним прогосударственной хакерской группировки.
В компании Солар кибергруппировки классифицируют по уровню их квалификации. Таксономия Солар интересна тем, что в нее попали не только хакеры, но и роботы, а точнее – автоматизированные системы:
В классификации Солар особенно интересна градация по возможностям нарушителя и возможным инцидентам, которые он может реализовать, оказавшись внутри инфраструктуры компании.
BI.ZONE, как и ранее упомянутая CrowdStrike, в своей классификации используют образы животных. Но сосредоточились на семействе псовых.
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
В BI.ZONE мы используем собственную классификацию группировок, которая базируется на основной мотивации того или иного кластера активности. Так, кластеры, чья основная мотивация – финансовая, мы называем «волками», например, Red Wolf. Кластеры, основной мотивацией которых является шпионаж, – «оборотнями», например, Core Werewolf. Наконец, хактивистов мы классифицируем как «гиен», например, Gambling Hyena. Мы именуем как обнаруженные нами кластеры, так и уже известные, но отслеживаемые нами.
Наша классификация началась с «волков». Название нашей компании, BI.ZONE, созвучно со словом «бизон», а основными противниками бизонов в дикой природе являются именно волки. Да и в отечественной культуре волки зачастую ассоциируются со злодеями. За ними появились «оборотни» – это название показалось подходящим для прогосударственных хакеров, а позже мы отделили и хактивистов.
Далее группировке, отнесенной к той или иной группе, присваивается прилагательное, которое отражает мотивы злоумышленников, особенности их поведения, ТТР и прочее. Например, в Wolves за период 2022–2023 гг. прибавилось как минимум три преступные группы – Battle Wolf, Twelfth Wolf и Shadow Wolf.
Стоит отдельно сказать, что звание «вервольфов» идеально подходит прогосударственным группам – о них говорят по телевизору, но их существование отрицают. И вместе с тем, ликантропия присутствует в медицинских справочниках, как и киберразведка – существующее направление деятельности любой развитой страны.
Мнения специалистов в области информационной безопасности о важности классификации хакерских группировок разнятся. Одни считают, что это необходимый инструмент для эффективной борьбы с киберпреступностью. Ведь определение, к какой группировке принадлежит конкретная атака, позволяет лучше понять ее характеристики, особенности используемых методов и целевые объекты. Это может помочь в разработке соответствующих стратегий и мер безопасности, направленных на предотвращение подобных атак в будущем.
Андрей Ефимов
Инженер департамента информационной безопасности ИМБА ИТ
Эффективная классификация хакерских группировок играет ключевую роль в борьбе с кибератаками. Она позволяет лучше понять характер угрозы, прогнозировать будущие атаки и разрабатывать соответствующие стратегии защиты. Например, зная, что группировка фокусируется на финансовых институтах, соответствующие компании могут улучшить свои системы безопасности с учетом имеющейся информации об этой группировки.
Однако другие специалисты сомневаются в практической ценности классификации хакерских группировок. Ведь важны не названия группировок, а данные, что под ними скрыты. В то же время сам нейминг, который используют компании в своих классификациях, не имеет решающего значения: будет ли группировка называться «Злые коты» или «Взрывные ромашки». Названия группировок и принцип их разделения по кластерам говорят скорее о взгляде конкретной компании на наиболее актуальные угрозы.
Также в используемых для группировок названиях есть определенная доля самовыражения компаний и команд исследователей, которые занимаются разбором инцидентов и изучением хакерской активности.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»
Нужно понимать, что в отражении кибератак и раскрытии киберпреступлений помогает не классификация, а понимание того, какими техниками пользуется та или иная группировка, и на какие цели она направлена. Как правило, группировки используют какой-то небольшой спектр тактик и инструментов, и направлены на конкретные цели. Обычно в качестве целей выступают конкретные органы государственной власти, особенно если группировка как-то связана с правительством другой страны. Или, что бывает чаще, направлены на конкретные индустрии – финансы, нефтегаз, атомная промышленность.
Отсутствие единого классификатора хакерских группировок имеет под собой объективное обоснование, связанное с невозможностью объединения всех данных, которые есть у разных компаний, в единую общую базу. По той же причине не существует и единой TI-платформы.
Есть и субъективная причина, связанная с тем, что многие компании не сходятся во взглядах относительно значимости критериев, по которым хакерские группировки должны быть разделены на кластеры.
И в этом есть свои плюсы. Например, с уверенностью можно прогнозировать, что разного рода Тайфунов, Пауков, Котят и других креативных названий в мире кибербезопасности будет больше.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться