0
0
Os grupos criminosos costumam compartilhar códigos e técnicas para tentar enganar os investigadores de segurança.
Atribuir ataques a cibercriminosos ou grupos específicos é uma tarefa difícil, especialmente aqueles originados de gangues patrocinados pelo estado. E o fato é que os “bandidos” se especializaram em esconder os seus rastros e até mesmo desviar a atenção para outros grupos. Sendo assim, o melhor método para fazer uma denúncia sólida é examinar a infraestrutura e as técnicas utilizadas no ataque, embora não garanta o sucesso, longe disso.
Os investigadores geralmente contam com três fontes de inteligência, como diz Paulrasgneres, gestor da Talos, divisão de inteligência cibernética da Cisco. Por um lado, baseiam-se na inteligência de código aberto (OSINT), que é a informação pública encontrada na Internet; inteligência técnica, que passa pela análise de malware ; e dados proprietários disponíveis apenas para organizações envolvidas no incidente.
Da mesma forma, as agências nacionais de inteligência também servem como fonte, pois possuem mais informações e recursos adicionais que o setor privado, mas muitas vezes são reservados nos seus métodos, segundo o especialista.
Para destacar esse problema de atribuição, Rascagneres recorreu ao malware WellMess , descoberto pelo CERT nacional japonês em 2018 e atribuído diretamente pelo UK National Cybersecurity Centre (NCSC) ao grupo APT29, mais conhecido como Cozy Bear, que é apoiado pela Rússia. Várias organizações internacionais apoiaram esta justificação, no entanto, e apesar das técnicas usadas, fizeram os atacantes errados ou, pelo menos, não podiam saber com certeza se era o Cozy Bear quem estava por trás desse malware.
A análise de código compartilhado é outra técnica comumente usada no processo de atribuição, embora possa ser enganosa se o código for público. Nesses casos, as suas semelhanças podem levar à atribuição incorreta. Além disso, as falsas bandeiras também podem levar os investigadores a conclusões erradas. “É nesses casos que as agências de inteligência levam vantagem”, diz Vitor Ventura, analista da Cisco Talos. “Têm informações que nós não temos. Têm inteligência de sinais e todos os tipos de dados que o resto de nós não tem ”. Em todo caso, diz, é melhor enfrentar que haverá coisas que nunca serão conhecidas. “Devemos aceitar que os especialistas podem não ser capazes de partilhar este tipo de informação.
FONTE: COMPUTERWORLD