Вервольф в тайфуне: классификация и анализ хакерских группировок

erid: 2SDnjchA7sG
Вервольф в тайфуне: классификация и анализ хакерских группировок
Вервольф в тайфуне: классификация и анализ хакерских группировок
17.01.2024

В мире цифровых технологий, где данные играют ключевую роль, хакерские группировки уже давно стали неотъемлемой частью. Их деятельность охватывает самые разные сферы – от корпоративного мира и государственных структур до индивидуальных пользователей. Для того чтобы отслеживать деятельность разных групп, изучать их и обогащать знания о группировке, изучать ее тактики и техники, многие компании используют свои системы классификации хакерских объединений.

В этой статье расскажем о том, как формируются классификации хакерских групп, какие классификации используются зарубежными и российскими компаниями. Также порассуждаем, зачем они нужны компаниям и чем могут помочь ИБ-специалистам в отражении атак и борьбе с киберпреступлениями.

Как формируются классификации

Киберпреступники, как и их «аналоговые» коллеги, имеют свой почерк: характерные действия, используемый инструментарий и т. д. И даже самая анонимная группировка оставляет следы в атакуемой инфраструктуре, которые могут изучить и систематизировать специалисты по кибербезопасности.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

На хакерские группировки следует смотреть скорее как на кластеры активности, нежели как на группы злоумышленников. У таких кластеров будет уникальный набор методов и инструментов, а также инфраструктура. Такая совокупность позволяет отличать один такой кластер от другого. Им мы и даем имена.

Это позволяет выделить кластеры, которые актуальны для определенной отрасли и географии, понять используемые ими методы и убедиться, что ваша организация защищена от реальных угроз.

Кроме того, классификация – это способ получить дополнительный контекст. Например, мы видим сетевую коммуникацию с IP-адресом, который связан с определенным кластером, например, Cobalt Werewolf. Привязка к кластеру дает нам много дополнительной информации: об индикаторах компрометации, о тактиках, техниках и процедурах, инструментах. Эта информация позволит нам быстро и эффективно отреагировать на инцидент, так как мы заранее будем знать, на что обращать внимание. Кроме того, персонал может осуществить проактивный поиск применения похожих методов. Это позволит убедиться, что в инфраструктуре не осталось никаких следов обнаруженной вредоносной активности.

Понимая актуальные кластеры, можно сфокусироваться на сложных атаках, требующих внимания персонала, а не на шумных массовых, которые без труда будут заблокированы даже базовыми техническими средствами защиты.

Ну и, разумеется, всегда интереснее разбираться и противостоять загадочному «оборотню», нежели смотреть на очередную бездушную сработку средства защиты. Что касается раскрытия преступлений: в некоторых случаях такая атрибуция может помочь, например, объединить несколько эпизодов в один.

Внутри классификации лежит большой пласт знаний, однако присвоение имени, чаще всего, происходит на основании двух факторов:

  • вероятная страна, к которой исследователь приписывает группировку;\
  • мотивация группировки (финансовая, прогосударственный шпионаж, хактивизм и т. д.).

Такой подход обусловлен прежде всего простотой восприятия и доступностью широкой аудитории, поскольку «иранская прогосударственная группировка» с большей вероятностью попадет на страницы СМИ, чем «группировка, использующая техники группы A, вредоносные программы групп B-С и атакующая преимущественно компании финансового сектора».

Поскольку для создания классификации нужен большой объем данных, в том числе и непосредственно из скомпрометированных злоумышленниками систем, ведут их крупные компании и объединения. Далее о некоторых классификациях, которые используются в России и других странах.

Западные классификации

Microsoft

Свой вариант классификации хакерских группировок уже давно ведет Microsoft. Это обусловлено сложностью, масштабом и объем угроз, с которыми ежедневно сталкиваются как сотрудники компании, так и многочисленные пользователи их продуктов.

Ранее Microsoft использовала для обозначения групп злоумышленников химические элементы, но в прошлом году внедрила новую систему. В апреле 2023 года Microsoft изменила таксономию наименований, используя названия погодных явлений. В целом, новая классификация делит все группировки, за которыми наблюдает Microsoft, по ключевым группам и национальной принадлежности. Ниже в таблице привели примеры названий из новой таксономии Microsoft.

По ключевым группам

По национальной принадлежности

Финансовая мотивация

Tempest (буря)

Россия

Blizzard (метель)

Атаки на частный сектор (PSOAs)

Tsunami (цунами)

Китай

Typhoon (тайфун)

Операции влияния

Flood (наводнение)

Турция

Dust (пыль)

Группы в разработке

Storm (шторм)

Вьетнам

Cyclone (циклон)


Субъектам угроз в рамках одного погодного явления присваивается прилагательное, позволяющее различать группы участников, которые имеют разные TTP, инфраструктуру, цели или другие идентифицированные шаблоны.

Также у Microsoft есть сводная таблица, в которой представлены классифицируемые ими группировки с их названиях в старой версии и в некоторых других западных классификациях.

CrowdStrike

В отличие от Майкрософта, CrowdStrike сосредоточились не на природных явлениях, а на анималистике, объединив наименования, используемые крупными вендорами.

Финансово-мотивированные преступники в их классификации называются «пауками» (Scattered Spider), хактивисты – «шакалами» (Ghost Jackal).

А вот прогосударственные хакеры подразделяются еще и по странам. К примеру, хакеры из Ирана у них «котята» (Static Kitten), а из Китая – «панды» (Sunrise Panda).

Mandiant

Куда менее креативную, зато весьма простую и понятную классификацию использует американская ИТ-компания Mandiant. В ее рамках все киберпреступные сообщества делятся на две категории:

  • APT – прогосударственные группы;
  • FIN – финансово-мотивированные группировки.

Далее группировке присваивается номер в соответствии с ее обнаружением. Например, APT1, APT2, APT3 и т. д.

Никита Леокумович

Руководитель отдела реагирования и цифровой криминалистики Angara Security

APT (advanced persistent threat, nation-state actors) – постоянная серьезная (продвинутая) угроза. Группа лиц, обладающая специальными знаниями в области информационных технологий и имеющая на балансе ресурсы, которые в совокупности могут создавать или создают угрозу опасных кибератак.

Нет четкого правила следовать данной таксономии, поэтому у крупных компаний в области информационной безопасности чаще всего своя классификация хакерских группировок на основе каких-то выделенных признаков или правил. Но это зачастую приводит к путанице. Особенно когда сами группировки придумывают себе названия и публикуют их в открытых источниках. Например, группировка APT28 имеет еще несколько названий (IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127).


Эту классификацию часто используют российские и зарубежные компании для упрощения идентификации и запоминания субъектов угроз. А термин APT-группа прочно вошел в обиход ИБ-специалистов как синоним прогосударственной хакерской группировки.

Российские классификации

Солар

В компании Солар кибергруппировки классифицируют по уровню их квалификации. Таксономия Солар интересна тем, что в нее попали не только хакеры, но и роботы, а точнее – автоматизированные системы:

  1. Автоматизированные системы – используются в массовых атаках, а также для взлома устройств и инфраструктур с низким уровнем защиты.
  2. Киберхулиганы – энтузиасты-одиночки, проявляющие себя в основном в мелком хулиганстве и нарушении целостности инфраструктуры.
  3. Киберкриминал – организованные группировки, специализирующиеся на преступлениях, связанных с шифрованием, майнингом, выводом денежных средств.
  4. Кибернаемники – продвинутые группировки, нацеленные за заказные атаки, шпионаж, хактивизм.
  5. Кибервойска – прогосударственные группировки, специализирующиеся на кибершпионаже, полном захвате инфраструктуры для возможности контроля и применения любых действий и подходов.

В классификации Солар особенно интересна градация по возможностям нарушителя и возможным инцидентам, которые он может реализовать, оказавшись внутри инфраструктуры компании.

BI.ZONE

BI.ZONE, как и ранее упомянутая CrowdStrike, в своей классификации используют образы животных. Но сосредоточились на семействе псовых.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

В BI.ZONE мы используем собственную классификацию группировок, которая базируется на основной мотивации того или иного кластера активности. Так, кластеры, чья основная мотивация – финансовая, мы называем «волками», например, Red Wolf. Кластеры, основной мотивацией которых является шпионаж, – «оборотнями», например, Core Werewolf. Наконец, хактивистов мы классифицируем как «гиен», например, Gambling Hyena. Мы именуем как обнаруженные нами кластеры, так и уже известные, но отслеживаемые нами.

Наша классификация началась с «волков». Название нашей компании, BI.ZONE, созвучно со словом «бизон», а основными противниками бизонов в дикой природе являются именно волки. Да и в отечественной культуре волки зачастую ассоциируются со злодеями. За ними появились «оборотни» – это название показалось подходящим для прогосударственных хакеров, а позже мы отделили и хактивистов.

Далее группировке, отнесенной к той или иной группе, присваивается прилагательное, которое отражает мотивы злоумышленников, особенности их поведения, ТТР и прочее. Например, в Wolves за период 2022–2023 гг. прибавилось как минимум три преступные группы – Battle Wolf, Twelfth Wolf и Shadow Wolf.

Стоит отдельно сказать, что звание «вервольфов» идеально подходит прогосударственным группам – о них говорят по телевизору, но их существование отрицают. И вместе с тем, ликантропия присутствует в медицинских справочниках, как и киберразведка – существующее направление деятельности любой развитой страны.

Помогает ли классификация хакерских групп ИБ-специалистам и нужно ли создавать единую международную таксономию

Мнения специалистов в области информационной безопасности о важности классификации хакерских группировок разнятся. Одни считают, что это необходимый инструмент для эффективной борьбы с киберпреступностью. Ведь определение, к какой группировке принадлежит конкретная атака, позволяет лучше понять ее характеристики, особенности используемых методов и целевые объекты. Это может помочь в разработке соответствующих стратегий и мер безопасности, направленных на предотвращение подобных атак в будущем.

Андрей Ефимов

Инженер департамента информационной безопасности ИМБА ИТ

Эффективная классификация хакерских группировок играет ключевую роль в борьбе с кибератаками. Она позволяет лучше понять характер угрозы, прогнозировать будущие атаки и разрабатывать соответствующие стратегии защиты. Например, зная, что группировка фокусируется на финансовых институтах, соответствующие компании могут улучшить свои системы безопасности с учетом имеющейся информации об этой группировки.

Однако другие специалисты сомневаются в практической ценности классификации хакерских группировок. Ведь важны не названия группировок, а данные, что под ними скрыты. В то же время сам нейминг, который используют компании в своих классификациях, не имеет решающего значения: будет ли группировка называться «Злые коты» или «Взрывные ромашки». Названия группировок и принцип их разделения по кластерам говорят скорее о взгляде конкретной компании на наиболее актуальные угрозы.

Также в используемых для группировок названиях есть определенная доля самовыражения компаний и команд исследователей, которые занимаются разбором инцидентов и изучением хакерской активности.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Нужно понимать, что в отражении кибератак и раскрытии киберпреступлений помогает не классификация, а понимание того, какими техниками пользуется та или иная группировка, и на какие цели она направлена. Как правило, группировки используют какой-то небольшой спектр тактик и инструментов, и направлены на конкретные цели. Обычно в качестве целей выступают конкретные органы государственной власти, особенно если группировка как-то связана с правительством другой страны. Или, что бывает чаще, направлены на конкретные индустрии – финансы, нефтегаз, атомная промышленность.

Отсутствие единого классификатора хакерских группировок имеет под собой объективное обоснование, связанное с невозможностью объединения всех данных, которые есть у разных компаний, в единую общую базу. По той же причине не существует и единой TI-платформы.

Есть и субъективная причина, связанная с тем, что многие компании не сходятся во взглядах относительно значимости критериев, по которым хакерские группировки должны быть разделены на кластеры.

И в этом есть свои плюсы. Например, с уверенностью можно прогнозировать, что разного рода Тайфунов, Пауков, Котят и других креативных названий в мире кибербезопасности будет больше.


Популярные публикации

Читайте также


Комментарии 0