Gli hacker che compiono attacchi mirati userebbero una gamma sempre più vasta di tecniche ingannevoli per confondere l`attribuzione, impiantando, tra le altre cose, timestamp `False Flags`, stringhe di linguaggi, malware, e operando sotto copertura a nome di gruppi inesistenti. È quanto sostiene un documento presentato al Virus Bulletin dai ricercatori di Kaspersky Lab, Brian Bartholomew e Juan-Andres Guerrero-Sade. “Ciò che tutti si chiedono – ha spiegato il ricercatore – è quale sia l`identità del gruppo dietro un targeted cyberattack, ma è molto difficile, se non impossibile, stabilire precisamente chi siano davvero gli autori”. Con l’intenzione di dimostrare la crescente complessità e l`incertezza dell`attribuzione nel panorama attuale di threat intelligence, i due esperti hanno dunque pubblicato uno studio che rivelerebbe come i gruppi criminali avanzati utilizzino le cosiddette operazioni False Flags per trarre in inganno le vittime e i ricercatori della cyber-sicurezza. Gli indicatori più usati dai ricercatori per indicare da dove provengono gli attacchi e illustrare come un numero di gruppi criminali conosciuti li abbia manipolati, includono: Timestamp (che indica quando sono stati creati i malware); Language marker (stringhe e percorsi debug che possono dare un`idea di chi siano gli autori del codice, tuttavia facilmente manipolabili dai gruppi criminali; collegamenti infrastrutturali e di back-end (trovare il server di Command and Control usato dagli hacker è come individuare il loro ‘indirizzo di casa’, anche se a volte questi errori sono intenzionali); Toolkit (malware, codici, password, exploit). Anche i bersagli degli hacker sono un altro possibile indizio rivelatorio, sebbene stabilire un collegamento accurato richieda un forte senso di interpretazione e analisi. Nel caso del gruppo Wild Neutron, ad esempio, la lista delle vittime era così varia da confondere l`attribuzione. Inoltre, alcuni gruppi criminali abuserebbero del desiderio di una connessione chiara tra l`hacker e la vittima, operando sotto copertura a nome di un gruppo di hacktivist, spesso inesistente. Infine, alcuni hacker tenterebbero di far ricadere la colpa su un altro gruppo di criminali. Questo approccio è stato adottato dal gruppo TigerMilk, finora non identificato, che ha firmato le proprie backdoor con gli stessi certificati rubati, usati in precedenza da Stuxnet. (Fonte: Cyber Affairs)
