Тыквенная песчаная буря. Спандекс Буря. Очаровательный котенок. Догадаетесь ли вы, что это названия хакерских группировок, сеющих хаос по всему миру? Например, хакерскую команду, связанную с Северной Кореей, шпионившую за их южнокорейскими соседями и похитившую миллионы криптовалютных денег для режима Ким Чен Ина и повредившую программное обеспечение, различные исследователи кибербезопасности называют Кимсуки, Изумрудный снег, Бархатная Чолли. Microsoft такая ситуация не устраивает и компания объявила, что изменяет всю таксономию имен, используемых ею для сотен отслеживаемых ею хакерских групп. Местами получилось еще смешнее.
Вместо предыдущей системы, которая давала этим организациям названия элементов (достаточно нейтральная, научно подобная система), теперь она будет давать группам хакеров названия из двух слов, включая в их описание термин на основе погоды, указывающий на то, что страны, от имени которой, вероятно, работают хакеры, а также являются ли они государственными или преступными.
Это означает, что Phosphorous (Фосфор), иранская группа, о которой Microsoft сообщила, что она нацелена на критически важную инфраструктуру США, например морские порты, энергетические компании и транзитные системы, теперь имеет не так страшное название Mint Sandstorm (Мятная) песчаная буря).
Iridium, самое агрессивное и самое опасное российское военное хакерское подразделение, ориентированное на кибервойну, более известное как Sandworm и ответственное за многочисленные отключения электроэнергии в Украине и самое разрушительное вредоносное программное обеспечение в истории — теперь имеет причудливое название Seashell Blizzard (Мушхавер).
Barium, команда китайских хакеров, совершившая больше атак на цепи поставок программного обеспечения, чем, пожалуй, любая группа по всему миру, теперь называется Brass Typhoon (Латунный Тайфун).
Многие новые названия звучат настолько абсурдно, что может показаться, будто Microsoft опубликовала новую систему маркировки 1 апреля. Барвенковая буря. Тыквенная песчаная буря. Спандекс Буря. Гингем тайфун.
«Эти названия просто глупы, – говорит Роб Ли, основатель и генеральный директор фирмы Dragos, занимающейся кибербезопасностью систем промышленного контроля. — Я имею в виду говорить о том, что вас не воспринимают серьезно как профессию».
Ли утверждает, что кроме забавных названий новая система является контрпродуктивной для фактического анализа кибербезопасности. Учитывая, что разведка угроз Microsoft является одной из лучших в мире, аналитикам и клиентам по всей отрасли придется фактически пересмотреть свои базы данных и даже некоторые продукты, чтобы они соответствовали новой схеме именования Microsoft, говорит он. И пересмотренная система теперь фиксирует обоснованные предположения о национальной лояльности хакеров без указания степени доверия аналитиков к этим оценкам, добавляет Ли.
Что, если группа хакеров, считающаяся частью национальной разведки, окажется нанятым хакером? Или как насчет киберпреступников, временно призванных работать от имени правительства?
«Оценки меняются со временем, – говорит Ли. — Вроде: «Мы говорили тебе, что это «Грязная горчица», а теперь это «Вихревая буря», а ты говоришь: «Какого черта?» Собственная фирма Ли, Dragos, правда, дает группам хакеров названия минералов, которые часто путаны похожи на старую систему Microsoft.
Руководитель Центра анализа угроз Джон Ламберт объяснил изданию Wired причину изменения системы названий. Новые имена корпорации Майкрософт более четкие, запоминающиеся и доступные для поиска. В отличие от мнения Ли о выборе нейтральных имен команда Microsoft хотела дать клиентам больше контекста о хакерах в названиях, говорит Ламберт, сразу определяя их национальность и мотивы.
У команды Microsoft также просто заканчивались элементы — в конце концов, их всего 118. .– Это тоже мир защитников кибербезопасности».
Что касается прилагательных, предшествующих этим метеорологическим терминам — часто подлинного источника непреднамеренной комичности названий — аналитики выбирают их из длинного списка слов. Иногда они имеют семантическую или фонетическую связь с группой хакеров, а иногда они случайны. «У каждого есть определенная история происхождения, — говорит Ламберт, — или это может быть просто имя из шляпы».
Существует определенная логика, стоящая за постоянно растущим распространением хакерских групп в области кибербезопасности. Когда фирма по анализу угроз находит доказательства работы новой группы сетевых злоумышленников, она не может быть уверена, что видит не ту же группу, которую уже заметила и обозначила другая компания, даже если они видят знакомое вредоносное программное обеспечение, жертвы и команды.
Если ваш конкурент не делится всем, что видит, лучше не делать предположений и отслеживать новых хакеров под своим именем. Поэтому Sandworm (Песчаный червь) становится Телеботами, Медведем Вуду, Аидом, Железным Викингом, Электрумом, Мушляной Вьюгой (Telebots, Voodoo Bear, Hades, Iron Viking, Electrum, Seashell Blizzard соответственно), поскольку аналитики каждой компании получают группы.
Но, растянувшись в сторону, должны ли эти имена быть столь смешными на первый взгляд?
В определенной степени, возможно, было бы разумно дать имена хакерским группировкам, лишающим их злонамеренного блеска. Члены российской группы программ-требителей EvilCorp (корпорация зла), например, вряд ли будут удовлетворены ребрендингом Microsoft на Manatee Tempest (Ламантинова Буря).С другой стороны, целесообразно ли называть группу иранских хакеров, которая стремится проникнуть в ключевые элементы гражданской инфраструктуры США, Mint Sandstorm (Мятная песчаная буря), словно они экзотический вкус освежителя воздуха?
Или израильских наемников-хакеров, известных как Candiru, которые продавали свои услуги правительствам, нацелившись на журналистов и правозащитников. Действительно ли нужно переименовать их в Caramel Tsunami (карамельное цунами), бренд, подходящий напитку Dunkin’, и который уже занят сортом каннабиса?
Кевин Мандиа, один из первых охотников за хакерами и основатель и генеральный директор фирмы по кибербезопасности Mandiant, рассказал об этой проблеме в своей речи на саммите по анализу угроз в кибербезопасности в 2018 году.
«Мне всегда было интересно, как можно попасть в зал заседаний и сказать: «Сэр, я знаю, что вас хакнули». Вы в заголовках. И вас сломал Fluffy Snuggle Duck (Пушистая уточка), — сказала Мандия. – Это просто не работает».
Сегодня Мандия признает, что через пять лет после комментария относительно пушистой уточки (Fluffy Snuggle Duck) он больше привык к глупым названиям хакерских групп. «Мне безразлично, как они называются, я просто хочу убедиться, что у нас правильный каталог. Есть ли у нас отпечатки пальцев для них или есть у нас защита для них?», — говорит он.
Однако он искренне смущен схемой маркировки своего конкурента Crowdstrike, называющей хакеров в честь разных животных на основе их национальности. «Медведь – это Россия… не так ли? – размышляет Мандиа. — Панда – это Китай. Но это медведь. Я уже запутался».
И Мандия, и Ли мечтают о дне, когда правительственный орган, скажем, Национальный институт стандартов и технологий США, предложит соглашение о наименовании групп хакеров, которое можно принять по всей отрасли.
Но они оба также говорят, что компании никогда не будут этого соблюдать. Помимо маркетинга, туман войны в исследованиях кибербезопасности означает, что аналитики разных компаний никогда не будут уверены, что они смотрят на те же организации, если они не согласятся открыто делиться каждым клочком своих тщательно охраняемых данных.
А до этого, хорошо, просто остерегайтесь Барвенковой бури (Periwinkle Tempest). В прошлом году Барвенковая буря запустила ужасные атаки программ-требователей по всей стране Коста-Рики, из-за чего правительство страны объявило чрезвычайное положение. Periwinkle Tempest является одним из самых опасных хакеров в мире. Барвенковая буря.
По материалам: Wired
