what indicators point to the malicious code being nation-state and not
organized crime or small hacking groups (Anonymous, LOLSEC, other
unassociated groups)?
In questo caso specifico , le persone che conoscono gli indicatori, non lo dicono (ancora).
Ci sono un certo numero di indicatori che possono entrare in gioco, come ad esempio:
Provenienza , o, da dove proviene -
È stato fatto un lavoro significativo per legare attori e campagne analizzando l'uso di codice inedito. Ad esempio:
In 2015 Kaspersky's research findings on the Equation Group noted that
its loader, "Grayfish", had similarities to a previously discovered
loader "Gauss" from another attack series, and separately noted that
the Equation Group used two zero-day attacks later used in Stuxnet;
the researchers concluded that "the similar type of usage of both
exploits together in different computer worms, at around the same
time, indicates that the EQUATION group and the Stuxnet developers are
either the same or working closely together". (Wikipedia)
Se l'attacco Juniper condivide alcune caratteristiche con altri attacchi APT noti, è probabile che si tratti di un attacco APT. Sfortunatamente - di nuovo - le uniche persone che saprebbero effettivamente quali sono queste caratteristiche, a questo punto, sono i soccorritori degli incidenti e non stanno parlando.
Scopo o, cosa si può fare con il materiale -
Una backdoor su un firewall è geniale e utile per qualsiasi utente malintenzionato. L'indebolimento della crittografia in un modo che può avvantaggiare gli intercettatori senza richiedere l'accesso endpoint è più vantaggioso per i gruppi APT, poiché più probabilmente hanno accesso alle acquisizioni di rete a livello di provider di servizi Internet , Anonimo.
Nel tuo commento qui sopra lo chiami "soggettivo e circostanziale", ma in realtà non lo è. La vulnerabilità descritta ha il vantaggio di essere in gran parte non rilevabile (rispetto al compromesso endpoint e presupponendo che il distacco 2702 funzioni correttamente) e lo svantaggio di richiedere un accesso alla rete vantaggioso (su cui gli stati-nazione hanno lavorato molto prima che esistessero i computer). / p>
Pattern , o briciole che non vengono ripulite -
Ci sono stati vari gruppi APT il cui lavoro è stato attribuito in base a stringhe o elementi comuni: un indirizzo email, un IP del server di comando e controllo, un nome di percorso del codice sorgente che non è stato rimosso dagli oggetti compilati. Puoi scommettere che tutto ciò che è rimasto a Juniper è finito con un pettine a denti stretti, da persone che hanno fatto lo stesso a dozzine o centinaia di altre vittime. Se ci sono briciole da trovare, saranno trovate.
Potrebbe essere uno di questi, o tutti, o nessuno. Non c'è modo di dirlo fino a quando qualcuno non scrive un articolo o rilascia dettagli che ci consentono di metterlo da parte.
Aggiornamento 20151228 - Puoi leggere " APT28 Under the Scope ", che mira a descrivere un particolare attore APT. Notate alcuni dei Pattern usati, mappando il tempo di compilazione degli strumenti di attacco, per determinare da quale fuso orario sono venuti gli attori. Hanno anche trovato un percorso hardcoded a un file di debug in cui una delle directory nel percorso era la parola russa per "Utenti". Non sto suggerendo che APT28 sia la folla che ha colpito Juniper, è solo interessante vedere il processo di analisi e il livello di minutia che può essere utilizzato per provare e attribuire la responsabilità di un attacco.