ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ حدود چهار سال پیش، امنیت سایبری به دستاویزی در بازی‌های ژئوپولیتیک تبدیل شد. سیاستمداران از هر درجه و ملیتی بر سر عملیات‌های خصمانه‌ی جاسوسی سایبری انگشت اتهام را به سمت همدیگر نشانه می‌گرفتند و در عین حال رایاسلاح[1]‌های کشورشان را بیش از هر زمان دیگری توسعه می‌دادند. حال آنکه در این آتشبار شرارت‌های ژئوپولیتیکی شرکت‌های امنیت سایبری مستقلی هستند که برای پرده برداشتن از این لودگیِ بسیار خطرناک هم قدرتش را دارند و هم اعصابش را. لابد می‌پرسید اصلاً چرا؟ خوب پاسخ بسیار ساده است.
نخست اینکه «سایبر» واژه‌ای جالب/رمانتیک/علمی/هالیوودی/باشکوهی هست و بوده؛ درست از همان زمانی که موجودیت پیدا کرد. همچنین اینکه کارش فقط فروش محصولات نیست بلکه مطبوعات هم می‌فروشد. مثلاً ساحت سیاسی‌اش بسیار محبوب شده؛ یک حواس‌پرتی دم‌دستی –با توجه به بامزه بودن و محبوبیتش- برای وقت‌هایی که حواس پرت کردن امری است الزامی (غالباً همینطور است). دوم اینکه «سایبر» واقعاً تکنیکی است. بیشتر افراد آن را درک نمی‌کنند. در نتیجه، رسانه که همیشه دنبال کلیک گرفتن روی استوری‌ها و سر و صدا کردن است صاف دست می‌گذارد روی این حوزه چون می‌داند کسی از آن چیزی سر درنمی‌آورد و برای همین با اعتماد به نفس هرچه هست را غلط و درست منتشر می‌کند. پس چیزی که دستگیرتان می‌شود یک مشت خبر است از فلان گروهِ هکری که مسئولیت فلان حمله را قبول کرده است. اما آیا باید این ادعاها را باور کرد؟
ما به انتساب فنی تکیه می‌کنیم. این هم وظیفه‌ی ماست و هم حرفه‌ایست که باید انجام دهیم.
به طورکلی، سخت است تشخیص اینکه چه چیز را باید باور کرد و چه چیز را نه. با این تفاسیر، آیا در واقع این امکان وجود دارد که بتوان حمله‌ای را به گروه هکری خاصی نسبت داد؟
پاسخ دو قسمت دارد:
از دیدگاه فنی، حملات سایبری دارای مجموعه ویژگی‌های خاصی هستند اما تحلیل بی‌طرفانه‌ی سیستم وابسته به آن تنها می‌تواند این را تعیین کند که یک حمله تا چه میزان رفتارش مشابه با فلان گروه هکری است. با این وجود، اینکه آیا گروه هکری ممکن است به واحد زیرمجموعه 233اطلاعات نظامی، گروه پروژهش‌های تحقیقات دفاع پیشرفته‌ی ملی و گروه ضربت کاهش تهدید (هیچیک وجود ندارد؛ خیالتان راحت. نیازی نیست بروید در گوگل سرچشان کنید) تعلق داشته باشد یک مسئله‌ی سیاسی است . در بستر سیاسی احتمال دستکاری حقایق 100% است.
این انتساب از موضع فنی تا موضع شواهد و مدارک محور و پیش‌بینی‌های رمال‌‌گونه شناور باشد که جای همه اینها در مطبوعات است.
افزون بر این در کمال تعجب، درصد مگس‌های سیاسی نیز که خود را در روغن حقیقت‌محورِ امنیت سایبریِ محض می‌خیسانند با رویکرد حوادث مهم سیاسی چندین برابر رشد می‌کند. دانستن هویت مهاجم، مبارزه با آن را آسانتر می‌سازد: واکنش به رخداد می‌تواند بسیار روان و آرام طی شود و کمترین خطر را برای کسب و کار در پی داشته باشد. پس بله، انتساب سیاسی همان چیزی است که از آن جلوگیری می‌کنیم: ما جانب موضع فنی هستیم. در حقیقت، این وظیفه و حرفه‌ی ماست و این کار را از هر کس دیگری بهتر انجام می‌دهیم (حمل بر خودستایی نشود!). ما تمامی گروه‌های بزرگ هکری و تمام عملیات‌های آنان را (600+) به دقت زیر نظر داریم و ذره‌ای به شباهت‌ها و وابستگی‌هایشان توجه نداریم.
سارق، سارق است و باید جزای کارش را ببیند.
و حالا بیش از 30 سال  تماشای بی‌وقفه این بازی شطرنج و جمع‌آوری اطلاعات پیرامون این تخلفات دیجیتالی حس می‌کنیم آماده‌ایم هرچه را در چنته داشتیم (در راهی درست)رو کنیم.
همین چند روز پیش سرویسی بی‌نظیر برای متخصصین امنیت سایبری عرضه کردیم به نام Kaspersky Threat Attribution Engine که فایل‌های مشکوک را تحلیل کرده و تعیین می‌کند یک حمله سایبری خاص از ناحیه‌ی کدام گروه هکری فرستاده شده است. همانطور که گفتیم شناسایی هویت دشمن مبارزه با آن را آسان می‌کند: بدین‌ترتیب اقدامات متقابل و آگاهانه‌ای صورت می‌گیرد. می‌شود در این خصوص تصمیم‌گیری‌هایی کرد، طرح عملیاتی‌ای ترسیم نمود، اولویت‌هایی تعریف کرد و به طور کلی واکنش به رخداد می‌تواند روان و با کمترین میزان خطر برای کسب و کار پیش رود.
 
چطور این کار را انجام می‌دهیم؟
همانطور که در فوق اشاره کردیم، حملات سایبری شاخصه‌های تماماً فنی یا «فلگ‌های» بسیاری دارند: زمان و تاریخی که فایل‌ها جمع‌آوری شدند، آدرس‌های آی‌پی، ابرداده‌ها، اکسپلویت‌ها، قطعات کد، رمزعبورها، زبان، کنوانسیون نامگذاری فایل، مسیرهای دیباگ کردن، ابزارهای مبهم‌سازی کد و رمزگذاری و غیره.
چنین مشخصه‌هایی به طور جداگانه تنها برای الف) سیاست‌مداران کارامد است تا بتوانند انگشت اتهام خود را در عرصه بین‌المللی روانه کند، برنامه‌ی پنهانی خود را تقویت سازد یا ب) خبرنگاران فاسد که دنبال دست گرفتنِ گاف‌ها و سوءاستفاده از احساسات انسانی هستند. تنها در صورتی که کنار هم قرار گیرند می‌توانند مشخص کنند حمله متعلق به چه گروه هدفی بوده است.
بعلاوه اینکه جعل یا تقلید یک فلگ کار آسانی است.
برای مثال، هکرهای گروه لازاروس ظاهراً از کلمات روسی رونویسی‌شده به حروف لاتین در کد باینریِ ایمپلنت‌شده‌شان استفاده کرده‌اند. با این وجود، ساختار جمله به روسی غیرطبیعی است و اشتباه گرامری/نحوی آن را شبیه به ترجمه‌های گوگلی کرده است؛ شاید دلیل منحرف کردن متخصصین امنیتی بوده باشد.
 
اما باز یادآوری کنیم که هر گروه هکری می‌تواند از  Google Translate–حتی برای زبان بومی خودش- استفاده کند و کاری کند زبان نشانگر قابل‌اطمینانی نباشد.
پرونده‌ای دیگر را مثال می‌زنیم که شاید این بحث از جنبه‌ای دیگر به شما نشان دهد:
گروه Hades (نویسندگان کرم بدنام OlympicDestroyer که به زیرساخت بازی‌های المپیک سال 2018 در کره جنوبی حمله کرد) یک سری فلگ کاشت؛ از همان فلگ‌هایی که گروه لازاروس هم به کار بسته بود. همین باعث شد بسیاری از محققین به خطا باور کنند هکرهای   Hades در واقع همان لازاروسی‌ها هستند (سایر تفاوت‌ها بین سبک دو گروه نهایتاً خیلی‌ها را به این نتیجه‌گیری سوق داد که این گروه، لازاروس نبوده).
با این وجود، تحلیل کارشناسیِ دستی صدها مشخصه‌ و مقایسه آن‌ها با سبک‌های امضای سایر گروه هک عملاً در قاب زمانی کوتاه‌مدت محال است چون هم منابع محدود می‌باشد و هم کیفیت نتایجِ مطلوب. اما چنین نتایجی به شدت لازم است. شرکت‌ها می‌خواهند سریعاً سایبر را به چنگ بیاورند؛ آن اختاپوسی که رویشان چمباتمه زده است. آن‌ها دوست دارند هشت تا پای آن را بگیرند و نگذارند باری دیگر جایی ورود کند که نباید. آن‌ها دوست دارند به طریقی به بقیه بگویند چطور باید از دامی که خود آن‌ها در آن افتادند دوری کنند.
ژنوتیپ‌های بدافزار کمک می‌کنند بتوانیم با 100 درصد میزان دقت، شباهت‌های کد بدافزار را با عاملین شناخته‌شده‌ی تهدید  APT پیدا کنیم.
با این حساب چه چیزی به شدت مورد نیاز است؟ بسیار خوب، این همان چیزی است که ما بدان رسیده‌ایم...
چند سال پیش برای کاربرد داخلی دست به ساخت سیستمی برای تحلیل خودکار فایل‌ها زدیم. ساز و کارش بدین شرح است: ما چیزی موسوم به ژنوتیپ را از فایل مشکوک بیرون می‌کشیم –تکه‌های کوتاهِ کد که با استفاده از الگوریتم اختصاصی خود انتخاب می‌شوند- و آن را با بیش از 60 هزار مورد حمله‌ی هدف‌دار از پایگاه اطلاعاتی‌مان (روی طیفی کلی از مشخصه‌ها) مورد مقایسه قرار می‌دهیم. این کار به ما اجازه می‌دهد تا محتمل‌ترین سناریوها را در خصوص منشاء حمله سایبری تشخیص دهیم، توصیفاتی از گروه‌های هکریِ مسئول ارائه داده و لینک‌هایی بدهیم به منابع رایگان و پولی برای کسب اطلاعات بیشتر و توسعه راهبردِ واکنش به رخداد. حالا شاید بپرسید این بررسی تا چد حد می‌تواند قابل‌اطمینان باشد؟ بسیارخوب، بگذارید به همین بسنده کنیم که ظرف این سال سیستم یک خطا هم در مسیر پژوهشی نکرده است. برخی از بررسی‌های شناخته‌شده‌تر که در این سیستم به کار رفته‌اند عبارت‌اند از:
ایمپلنت آی‌او‌اس  LightSpy، TajMahal، Shadowhammer، ShadowPad و Dtrack.
و در تمامی موارد فوق، نتیجه در بخش ارزیابی از سوی متخصصین‌مان تأیید شد. اکنون مشتریان‌مان نیز می‌توانند از این نتایج استفاده کنند!
 
Kaspersky Threat Attribution Engine در قالب کیت توزیع مبتنی بر لینوکس ارائه می‌شود که قرار است روی کامپیوتر مشتری نصب شود. آپدیت‌ها توسط USB تهیه می‌گردند. هر نمونه بدافزاری که تحلیلگران خود شرکت برای مشتری پیدا می‌کنند می‌تواند به پایگاه اطلاعاتی راه‌حل اضافه شود؛ همچنین برای متصل کردن موتور به سایر سیستم‌ها –حتی SOC طرف‌سوم- از رابط  API نیز استفاده می‌کند. حال که داریم رفته رفته به پایان این مقاله نزدیک می‌شویم لازم است که رفع‌کننده‌ی ادعا ارائه دهیم: هیچ ابزار تحلیل خودکارِ فعالیت سایبری مخرب، انتساب حمله‌ی 100 درصدی را تضمین نمی‌دهد. هر چیزی می‌تواند دستکاری و جعل شود؛ از جمله پیشرفته‌ترین راهکارها.
اهداف اصلی ما سوق دادن متخصصین به مسیر درست و آزمایش سناریوهای محتمل است. همچنین با وجود این همه تعریف و تمجیدی که از کارایی و اثربخشی هوش مصنوعی می‌کنند (فناوری‌ای که در واقع وجود ندارد)، سیستم‌های فعلی هوش مصنوعی (حتی هوشمندترینشان) هنوز قادر نیستند بدون کمک هومو ساپینس‌ها[2] قدم از قدم بردارند. این در حقیقت هم‌افزاییِ ماشین‌ها، داده‌ها و متخصصین است؛ چیزی که ما بدان می‌گوییم انسان‌ماشین[3]. انسان‌ماشین است که این روزها به ما کمک می‌کند تا به طور مؤثری حتی با پیچیده‌ترین تهدیدهای سایبری هم بجنگیم. و در آخر، دوست داریم شما را به وبینار 17 ژوئن خود دعوت کنیم؛ شما در این وبینار شاهد دمویی از این محصول خواهید بود که مستقیماً از زبان توسعه‌دهندگانش بیرون می‌آید و می‌توانید پرسش‌های درلحظه‌ای نیز ارائه دهید.
 
[1] Cyberweaponهر فرد یا برنامه یا ویروس رایانه ای که به داده های طبقه بندی شدۀ دشمن دست می یابد یا آنها را دستکاری و تخریب می کند
[2]نام یک گونه از سرده انسان است. بر اساس نظریه فرگشت، انسان خردمند، نمونه‌ای فرگشت یافته از انسان راست‌قامت است.
[3] humachine
 
 
منبع: کسپرسکی آنلاین