Che aspetto ha esattamente il codice "Nation-State"?

10

Juniper Networks ha scoperto codice non autorizzato sembra essere stato piantato da un aggressore di uno stato nazionale nei loro firewall.

Una simile affermazione è stata fatta su Stuxnet, Duqu, Flame, Gauss e probabilmente su altri che probabilmente erano tutti scritti da stati-nazione. Qualunque sia la prova che può o non può supportare l'idea ora, i media hanno iniziato a diffondere l'idea molto presto dopo le loro scoperte.

Quando pezzi di codice malevolo vengono scoperti in natura senza che nessuno si faccia credito, quali indicatori indicano che il codice malevolo è stato nazione e non crimine organizzato o piccoli gruppi di hacker (Anonymous, LOLSEC, altri gruppi non associati)? Ci sono odori di codice che dipingono un obiettivo o sono più le circostanze intorno a ciò che il codice ha un impatto e chi era l'obiettivo previsto? O è solo un po 'di paura?

    
posta Corey Ogburn 21.12.2015 - 18:28
fonte

2 risposte

8

what indicators point to the malicious code being nation-state and not organized crime or small hacking groups (Anonymous, LOLSEC, other unassociated groups)?

In questo caso specifico , le persone che conoscono gli indicatori, non lo dicono (ancora).

Ci sono un certo numero di indicatori che possono entrare in gioco, come ad esempio:

Provenienza , o, da dove proviene -

È stato fatto un lavoro significativo per legare attori e campagne analizzando l'uso di codice inedito. Ad esempio:

In 2015 Kaspersky's research findings on the Equation Group noted that its loader, "Grayfish", had similarities to a previously discovered loader "Gauss" from another attack series, and separately noted that the Equation Group used two zero-day attacks later used in Stuxnet; the researchers concluded that "the similar type of usage of both exploits together in different computer worms, at around the same time, indicates that the EQUATION group and the Stuxnet developers are either the same or working closely together". (Wikipedia)

Se l'attacco Juniper condivide alcune caratteristiche con altri attacchi APT noti, è probabile che si tratti di un attacco APT. Sfortunatamente - di nuovo - le uniche persone che saprebbero effettivamente quali sono queste caratteristiche, a questo punto, sono i soccorritori degli incidenti e non stanno parlando.

Scopo o, cosa si può fare con il materiale -

Una backdoor su un firewall è geniale e utile per qualsiasi utente malintenzionato. L'indebolimento della crittografia in un modo che può avvantaggiare gli intercettatori senza richiedere l'accesso endpoint è più vantaggioso per i gruppi APT, poiché più probabilmente hanno accesso alle acquisizioni di rete a livello di provider di servizi Internet , Anonimo.

Nel tuo commento qui sopra lo chiami "soggettivo e circostanziale", ma in realtà non lo è. La vulnerabilità descritta ha il vantaggio di essere in gran parte non rilevabile (rispetto al compromesso endpoint e presupponendo che il distacco 2702 funzioni correttamente) e lo svantaggio di richiedere un accesso alla rete vantaggioso (su cui gli stati-nazione hanno lavorato molto prima che esistessero i computer). / p>

Pattern , o briciole che non vengono ripulite -

Ci sono stati vari gruppi APT il cui lavoro è stato attribuito in base a stringhe o elementi comuni: un indirizzo email, un IP del server di comando e controllo, un nome di percorso del codice sorgente che non è stato rimosso dagli oggetti compilati. Puoi scommettere che tutto ciò che è rimasto a Juniper è finito con un pettine a denti stretti, da persone che hanno fatto lo stesso a dozzine o centinaia di altre vittime. Se ci sono briciole da trovare, saranno trovate.

Potrebbe essere uno di questi, o tutti, o nessuno. Non c'è modo di dirlo fino a quando qualcuno non scrive un articolo o rilascia dettagli che ci consentono di metterlo da parte.

Aggiornamento 20151228 - Puoi leggere " APT28 Under the Scope ", che mira a descrivere un particolare attore APT. Notate alcuni dei Pattern usati, mappando il tempo di compilazione degli strumenti di attacco, per determinare da quale fuso orario sono venuti gli attori. Hanno anche trovato un percorso hardcoded a un file di debug in cui una delle directory nel percorso era la parola russa per "Utenti". Non sto suggerendo che APT28 sia la folla che ha colpito Juniper, è solo interessante vedere il processo di analisi e il livello di minutia che può essere utilizzato per provare e attribuire la responsabilità di un attacco.

    
risposta data 21.12.2015 - 21:46
fonte
3

Attacchi di stato nazione come Stuxnet e l'attuale equipaggiamento di destinazione dell'attacco di Juniper che non è facilmente ottenibile. Stuxnet ha preso di mira un controller logico SCADA mentre l'attacco Juniper ha preso di mira un firewall aziendale ad alte prestazioni.

Lo sviluppo di tali attacchi richiede all'utente malintenzionato di possedere il dispositivo o almeno un'immagine del firmware in esecuzione sul dispositivo. Questo perché attacchi come l'overflow del buffer spesso richiedono tentativi ed errori e molteplici tentativi di sviluppare un exploit funzionante. Dovremmo anche smontare il binario che non è possibile senza accesso al dispositivo.

Dato che non puoi semplicemente entrare nel grande magazzino e acquistare tali apparecchiature, è difficile per gruppi come Anonymous, LOLSEC sviluppare questi exploit. Quindi, solo le grandi aziende e gli attori governativi hanno accesso a tali apparecchiature. Le aziende non hanno un incentivo a investire risorse preziose nello sviluppo di tali attacchi, e così restano solo gli attori governativi.

    
risposta data 22.12.2015 - 02:46
fonte

Leggi altre domande sui tag