王蕊

一種最新的歸屬判斷方法幫助卡巴斯基實驗室發(fā)現(xiàn)一種非常復雜的偽旗行動。

近日，卡巴斯基實驗室全球研究和分析團隊發(fā)表了對OlympicDestroyer惡意軟件的研究結果，提供技術證據證明惡意軟件制作者在蠕蟲內部設置了一個非常復雜的偽旗行動，從而迷惑威脅追蹤者，無法發(fā)現(xiàn)其真正的來源。

OlympicDestroyer蠕蟲在冬季奧利匹克運動會期間多次登上新聞頭條。2018年的平昌奧運會遇到了網絡攻擊，在正式的開幕式之前導致IT系統(tǒng)暫時癱瘓，并且關閉了顯示器，切斷了WiFi，導致奧運會網站無法顯示，使得觀眾無法通過網站打印門票?？ò退够鶎嶒炇疫€發(fā)現(xiàn)韓國多個滑雪場設施遭到這一蠕蟲的攻擊，造成滑雪場的大門和纜車無法運營。盡管這次的惡意軟件攻擊造成的影響有限，但很明顯表現(xiàn)出了破壞性，幸運的是，這樣的結果并沒有發(fā)生。

盡管如此，網絡安全行業(yè)的真正興趣并不在于Destroyer惡意軟件攻擊造成的潛在危害甚至實際損失，而在于惡意軟件的來源。也許沒有任何一款其他復雜的惡意軟件能夠像OlympicDestroyer這樣有如此多的歸屬猜想。這款惡意軟件被發(fā)現(xiàn)后幾天內，來自全球的研究團隊根據一些之前不同國家或為這些國家政府工作的黑客的網絡間諜活動的特性和破壞者特征，找到了可能的來源。

卡巴斯基實驗室的研究人員也試圖發(fā)現(xiàn)這款惡意軟件背后的黑客組織是誰。在某個研究階段，他們發(fā)現(xiàn)了看上去將這種軟件與一些著名惡意軟件100%聯(lián)系起來的證據。

這個結論是基于攻擊者留下的獨特痕跡，存儲在文件中代碼開發(fā)環(huán)境的某些特征的組合可以用作“指紋”，在某些情況下可以識別惡意軟件編寫者及其他項目?？ò退够鶎嶒炇曳治龅臉颖局?，發(fā)現(xiàn)的指紋與之前已知的惡意軟件組件100%匹配，與卡巴斯基實驗室已知的所有干凈文件或惡意文件重疊率為零。結合其攻擊策略、技巧和流程（TTP），研究人員得出初步結論，認為OlympicDestroyer是某黑客組織發(fā)起的另一次攻擊行動。但是，卡巴斯基實驗室在韓國的被攻擊現(xiàn)場進行實地調查后發(fā)現(xiàn)，這種惡意軟件與該黑客組織在動機上和其它地方有很多不一致之處，使得研究人員重新審視了這些罕見的證據。

研究人員仔細研究了每個特征的證據和手動驗證之后，發(fā)現(xiàn)該特征與代碼不匹配———這種惡意軟件的特征已經被偽造成完全符合Lazarus使用的“指紋”。

因此，研究人員得出結論：特征“指紋”是一個非常復雜的偽旗行動，故意放置在惡意軟件中，以便給威脅追蹤者造成假象，讓他們誤以為已經找到了確實的證據，讓他們無法更準確地對這種威脅進行歸屬判斷。

“據我們所知，我們發(fā)現(xiàn)的證據之前未被用于歸屬判斷。但是攻擊者決定使用它，并預測有人會發(fā)現(xiàn)這些證據。他們認為偽造這種證據非常難以證明。這就好像是罪犯盜取了他人的DNA，將其留在了犯罪現(xiàn)場，而沒有留下自己的證據。我們發(fā)現(xiàn)并證明了在犯罪現(xiàn)場發(fā)現(xiàn)的DNA是罪犯故意留下的。所有這些都表明攻擊者為了保持盡可能長時間不被發(fā)現(xiàn)，花費了很多精力。我們一直認為，在網絡空間進行歸屬判斷是非常困難的，因為有很多東西都可以被偽造，而OlympicDestroyer就是一個很好的例子?！笨ò退够鶎嶒炇襾喬珔^(qū)研究團隊負責人Vitaly Kamluk補充說：“對我們來說，這個故事的另一個要點是對威脅的歸屬判斷必須非常嚴肅?？紤]到最近網絡空間的政治化程度，錯誤的歸屬判斷可能會導致嚴重的后果，威脅攻擊者可能會試圖操縱安全社區(qū)的意見，從而影響地緣政治議程?！?/p>

OlympicDestroyer的準確歸屬仍然是一個懸而未決的問題———它很好地示例了復雜的偽旗行動的執(zhí)行。但是，卡巴斯基實驗室研究人員發(fā)現(xiàn)攻擊者使用了隱私保護服務NordVPN和名為MonoVM的服務，而且這兩個服務商都接受比特幣，這些證據以及其他一些已發(fā)現(xiàn)的TTP之前曾被一些黑組織使用過。