Come possono i servizi di intelligence essere così sicuri che la Russia sia il colpevole? [chiuso]

5

Di recente, I media statunitensi e non statunitensi hanno pubblicato molti articoli riguardanti la Russia che è stata coinvolta nel "Podesta-hack" o addirittura accusato Putin di essere direttamente responsabile. Ad esempio:

Tuttavia, nessuno di questi articoli fornisce alcuna prova per tale affermazione, si riferiscono solo a informazioni segrete della CIA. Inoltre, nel mio paese, la Germania, i media stanno saltando sul carro dell'accusa e iniziano ad accusare la Russia / Putin di aver hackerato il comitato investigativo della NSA.

Anche in questo caso, nessuna prova può essere fornita.

Ora alla mia domanda:
Penso che sia possibile agire quasi totalmente in forma anonima online, specialmente quando sei sostenuto / finanziato da un governo. Inoltre, sono consapevole che la CIA e l'intelligence tedesca probabilmente hanno le loro fonti che non possono essere rese pubbliche.

Ma come possiamo essere sicuri che questa non sia interamente propaganda contro il governo russo? Non ci si aspetterebbe che la Russia sarebbe in grado di coprire le loro tracce, se lo vorranno?

Quello che ho visto un paio di volte ora è il punto che il tempo di attività dell'attaccante è coerente con il fuso orario di Mosca? È già abbastanza prove? Quali altre possibilità ci sono per identificare un attaccante, quando conosce la sua attività e nasconde il suo IP / Info e non commette errori stupidi?

    
posta Doc 16.12.2016 - 19:55
fonte

2 risposte

3

Questo è quasi un dupe di come fanno le organizzazioni a controllare cosa è stato violato? Mentre quella domanda si occupa di svelare che , stai chiedendo di sbrogliare come e da chi .

What other possibilities are there to identify an attacker, when he knows his business and is hiding his IP/Info and not making stupid mistakes?

Ci sono molte possibilità. C'è un lotto in più per rimanere non attribuiti che "non fare errori stupidi"! è giusto dire che qualsiasi attore dell'APT (stato-nazione) verrà attribuito, alla fine, da qualsiasi difensore di livello nazionale. La Difesa nazionale ottiene più risorse di quante, ad esempio, stai cercando di capire chi ha approfittato del tuo Yahoo! le credenziali.

Se leggi l'elenco delle misure forensi che possono essere intraprese, i metodi di backtracking si basano su tutti i bit di dati, ognuno dei quali è un piccolo pezzo del puzzle.

Dati con cui inizierai:

  • Indirizzi IP utilizzati nell'attacco
  • Strumenti di attacco utilizzati nell'attacco e lasciati sui server di destinazione
  • Tempi di attività (come dici tu, non conclusivi, ma un pezzo del puzzle)

Per citare la Bibbia, "Dai loro frutti li riconoscerai". I gruppi avanzati di hacking costruiscono i propri strumenti specializzati, a volte usano gli stessi IP per instradarsi da soli e mostrano una coerenza sufficiente nei tempi di attività per compensarli da altri gruppi avanzati.

Alcune di queste cose possono diventare davvero grintose. Singoli attori sono stati identificati personalmente perché il loro nome utente è stato incorporato in una directory che è stata incorporata in un file compilato dall'origine che ha fatto riferimento a tale directory. Piccole stringhe trovate in un set di file sono state sufficienti a legare insieme quell'attacco con un altro che aveva anche le stesse stringhe di firma.

A livello nazionale, le persone che stanno lavorando per difendere e investigare hanno accesso a una quantità enorme di pezzi del puzzle e possono usarli per attribuire le azioni. Potrebbero sapere che l'attacco XYZ, per esempio, è stato palesemente legato alla Russia, e che l'attacco QRS ha una significativa sovrapposizione di indicatori. Basta sovrapposizioni? Concludono che il QRS era anche legato alla Russia.

Se sei interessato a vedere di più su come è fatto, io strongmente consiglio di leggere Mandiant's "APT1: Exposing One of Cyber-Spionage Units"

    
risposta data 16.12.2016 - 21:12
fonte
1

Questo è come qualsiasi esercizio di investigazione forense. Gli attaccanti lasciano tracce. Questi possono a volte essere correlati alle prove lasciate indietro in altri attacchi. L'ora del giorno potrebbe non sembrare molto, ma se proviene dallo stesso blocco di tempo ogni giorno, potrebbe non essere una coincidenza. Gli strumenti di hacking lasciati indietro possono avere risorse utente in linguaggio nativo, nomi di percorsi di directory personalizzati o timestamp coerenti con altri attacchi riconoscibili con fusi orari simili. Spesso gli strumenti sono personalizzati e lasciano impronte digitali uniche.

Se sei un'organizzazione come la NSA, probabilmente non obbedisci alle regole contro il contraffazione.

Più risorse hai, più prove otterrai dall'analisi forense. L'NSA è piuttosto bravo.

    
risposta data 16.12.2016 - 20:36
fonte