Гарбузова піщана буря. Спандекс Буря. Чарівне кошеня. Чи здогадаєтесь ви, що це назви хакерських угруповань, які сіють хаос у всьому світі? Наприклад, хакерську команду, пов’язану з Північною Кореєю, яка шпигувала за їхніми південнокорейськими сусідами і яка викрала мільйони криптовалютних грошей для режиму Кім Чен Ина та пошкодила програмне забезпечення, різні дослідники кібербезпеки називають Кімсукі, Смарагдовий сніг, Оксамитова Чолліма. Microsoft така ситуація не влаштовує, і компанія оголосила, що змінює всю таксономію імен, які вона використовує для сотень відстежуваних нею хакерських груп. Місцями вийшло ще кумедніше.
Замість попередньої системи, яка давала цим організаціям назви елементів (досить нейтральна, науково подібна система), тепер вона даватиме групам хакерів назви з двох слів, включаючи в їхній опис термін на основі погоди, який вказує на те, що країни, від імені якої, імовірно, працюють хакери, а також чи є вони державними чи злочинними.
Це означає, що Phosphorous (Фосфор), іранська група, про яку Microsoft повідомила, що вона націлена на критично важливу інфраструктуру США, як-от морські порти, енергетичні компанії та транзитні системи, тепер має не так страшну назву Mint Sandstorm (М’ятна піщана буря).
Iridium, найагресивніший і найнебезпечніший російський військовий хакерський підрозділ, орієнтований на кібервійну, більш відомий як Sandworm і який відповідальний за численні відключення електроенергії в Україні та найбільш руйнівне шкідливе програмне забезпечення в історії — тепер має химерну назву Seashell Blizzard (Мушляна завірюха).
Barium, команда китайських хакерів, яка здійснила більше атак на ланцюги поставок програмного забезпечення, ніж, мабуть, будь-яка група в усьому світі , тепер називається Brass Typhoon (Латунний Тайфун).
Багато нових назв звучать настільки абсурдно, що може здатися ніби Microsoft опублікувала нову систему маркування 1 квітня. Барвінкова буря. Гарбузова піщана буря. Спандекс Буря. Гінгем тайфун.
«Ці назви просто дурні, — каже Роб Лі, засновник і генеральний директор фірми Dragos, що займається кібербезпекою систем промислового контролю. – Я маю на увазі, говорити про те, що вас не сприймають серйозно як професію».
Лі стверджує, що окрім кумедних назв, нова система є контрпродуктивною для фактичного аналізу кібербезпеки. Враховуючи те, що розвідка загроз Microsoft є однією з найкращих у світі, аналітикам і клієнтам у всій галузі доведеться фактично переглянути свої бази даних і навіть деякі продукти, щоб вони відповідали новій схемі іменування Microsoft, каже він. І переглянута система тепер фіксує обґрунтовані припущення про національну лояльність хакерів без вказівок на ступінь довіри аналітиків до цих оцінок, додає Лі.
Що, якщо група хакерів, яку вважають частиною національної розвідки, виявиться найнятим хакером? Або як щодо кіберзлочинців, тимчасово призвані працювати від імені уряду?
«Оцінки змінюються з часом, — каже Лі. – На кшталт: «Ми казали тобі, що це «Брудна гірчиця», а тепер це «Вихрова буря», а ти кажеш: «Якого біса?» Власна фірма Лі, Dragos, правда, дає групам хакерів назви мінералів, які часто до плутанини схожі на стару систему Microsoft.
Керівник Центру аналізу загроз Джон Ламберт пояснив виданню Wired причину зміни системи назв. Нові імена корпорації Майкрософт є більш чіткими, запам’ятовуються та доступні для пошуку. На відміну від думки Лі про вибір нейтральних імен, команда Microsoft хотіла дати клієнтам більше контексту про хакерів у назвах, каже Ламберт, одразу визначаючи їх національність і мотиви.
У команди Microsoft також просто закінчувалися елементи — зрештою, їх лише 118. «Нам сподобалася погода, тому що це всепроникна сила, вона руйнівна, і є споріднена душа, тому що вивчення погоди з часом передбачає вдосконалення датчиків, даних і аналізу, — каже Ламберт. – Це теж світ захисників кібербезпеки».
Що стосується прикметників, які передують цим метеорологічним термінам — часто справжнього джерела ненавмисної комічності назв — аналітики вибирають їх із довгого списку слів. Іноді вони мають семантичний або фонетичний зв’язок із групою хакерів, а іноді вони випадкові. «У кожного є певна історія походження, — каже Ламберт, — або це може бути просто ім’я з капелюха».
Існує певна логіка, що стоїть за постійно зростаючим розповсюдженням хакерських груп у галузі кібербезпеки. Коли фірма з аналізу загроз знаходить докази роботи нової групи мережевих зловмисників, вона не може бути впевнена, що бачить не ту саму групу, яку інша компанія вже помітила та позначила, навіть якщо вони бачать знайоме зловмисне програмне забезпечення, жертви та команди.
Якщо ваш конкурент не ділиться всім, що бачить, краще не робити припущень і відстежувати нових хакерів під своїм іменем. Тож Sandworm (Піщаний черв’як) стає Телеботами, Ведмідем Вуду, Аїдом, Залізним вікінгом, Електрумом, Мушляною Завірюхою (Telebots, Voodoo Bear, Hades, Iron Viking, Electrum, Seashell Blizzard відповідно), оскільки аналітики кожної компанії отримують різний погляд на анатомію групи.
Але, розтягнувшись убік, чи ці імена повинні були бути настільки смішними на перший погляд?
Певною мірою, можливо, було б розумно дати імена хакерським угрупованням, які позбавляють їх зловмисного блиску. Члени російської групи програм-вимагачів EvilCorp (корпорація зла), наприклад, навряд чи будуть задоволені ребрендингом Microsoft на Manatee Tempest (Ламантинова Буря).
З іншого боку, чи справді доцільно називати групу іранських хакерів, яка прагне проникнути в ключові елементи цивільної інфраструктури США, Mint Sandstorm (М’ятна піщана буря), ніби вони екзотичний смак освіжувача повітря?
Чи ізраїльськиих найманців-хакерів, відомих як Candiru , які продавали свої послуги урядам, націлившись на журналістів і правозахисників . Чи справді потрібно перейменувати їх на Caramel Tsunami (карамельне цунамі), бренд, який підходить напою Dunkin’, і який вже зайнятий сортом канабісу?
Кевін Мандіа, один із перших мисливців за хакерами та засновник і генеральний директор фірми з кібербезпеки Mandiant, розповів про цю проблему у своїй промові на саміті з аналізу загроз у кібербезпеці у 2018 році.
«Мені завжди було цікаво, як можна потрапити в зал засідань і сказати: «Сер, я знаю, що вас хакнули». Ви в заголовках. І вас зламав Fluffy Snuggle Duck (Пухнаста качечка), — сказала Мандія. – Це просто не працює».
Сьогодні Мандія визнає, що за п’ять років після коментаря стосовно пухнастої качечки (Fluffy Snuggle Duck) він більше звик до дурних назв хакерських груп. «Мені байдуже, як вони називаються, я просто хочу переконатися, що у нас правильний каталог. Чи є у нас відбитки пальців для них, чи є у нас захист для них?», – каже він.
Однак він щиро збентежений схемою маркування свого конкурента Crowdstrike, яка називає хакерів на честь різних тварин на основі їхньої національності. «Ведмідь – це Росія… чи не так?, – міркує Мандіа. – Панда – це Китай. Але це ведмідь. Я вже заплутався».
І Мандія, і Лі мріють про день, коли урядовий орган, скажімо, Національний інститут стандартів і технологій США, запропонує угоду про найменування груп хакерів, яку можна прийняти в усій галузі.
Але вони обидва також кажуть, що компанії ніколи не будуть цього дотримуватися. Крім маркетингу, туман війни в дослідженнях кібербезпеки означає, що аналітики різних компаній ніколи не будуть впевнені, що вони дивляться на ті самі організації, якщо вони не погодяться відкрито ділитися кожним клаптиком своїх ретельно охоронюваних даних.
А доти, добре, просто стережіться Барвінкової бурі (Periwinkle Tempest). Минулого року Барвінкова буря запустила жахливі атаки програм-вимагачів по всій країні Коста-Ріки, через що уряд країни оголосив надзвичайний стан. Periwinkle Tempest є одними з найнебезпечніших хакерів у світі. Барвінкова буря.
За матеріалами: Wired