Kaspersky Threat Attribution Engine przyporządkowuje nowe ataki do ugrupowań APT w zaledwie kilka sekund
Firma Kaspersky udostępniła swoje nowe rozwiązanie analizy zagrożeń, które może pomóc analitykom z centrów operacji bezpieczeństwa oraz osobom zajmującym się reagowaniem na incydenty przypisać próbki szkodliwego oprogramowania do znanych ugrupowań cyberprzestępczych. Wykorzystując autorską metodę, Kaspersky Threat Attribution Engine porównuje wykryty szkodliwy kod z zawartością jednej z największych w branży baz danych szkodliwego oprogramowania i na podstawie podobieństw łączy go z określonym ugrupowaniem APT lub kampanią cyberprzestępczą. Takie informacje pomagają ekspertom ds. bezpieczeństwa IT priorytetyzować zagrożenia wysokiego ryzyka w stosunku do incydentów o mniejszym znaczeniu.
Wiedząc, kto oraz w jakim celu atakuje ich firmę, zespoły ds. bezpieczeństwa mogą szybko opracować najodpowiedniejszy dla danego ataku plan reagowania na incydent. Jednak zidentyfikowanie stojącego za atakiem ugrupowania jest trudne – trzeba posiadać nie tylko ogromne ilości danych o zagrożeniach, ale również potrafić je odpowiednio interpretować. Dlatego aby umożliwić automatyczną klasyfikację i identyfikację wyrafinowanego szkodliwego oprogramowania, firma Kaspersky wprowadziła swoje nowe rozwiązanie: Kaspersky Threat Attribution Engine.
Rozwiązanie to zostało stworzone na podstawie wewnętrznego narzędzia wykorzystywanego przez Globalny Zespół ds. Badań i Analiz firmy Kaspersky (GreAT) – światowej klasy zespół doświadczonych ekspertów zajmujących się wyszukiwaniem zagrożeń. Kaspersky Threat Attribution Engine został użyty między innymi w dochodzeniu dotyczącym implantu iOS LightSpy oraz takich kampanii jak TajMahal, ShadowHammer, ShadowPad i Dtrack.
W celu ustalenia, czy dane zagrożenie jest powiązane ze znaną kampanią cyberprzestępczą lub ugrupowaniem APT, a jeśli tak, z którym, Kaspersky Threat Attribution Engine rozkłada nowo wykryty szkodliwy plik na małe elementy binarne. Następnie porównuje je z tymi znajdującymi się w kolekcji ponad 60 000 plików związanych z atakami APT, zgromadzonej przez firmę Kaspersky. W celu zapewnienia dokładniejszego przypisania autorstwa rozwiązanie wykorzystuje również obszerną bazę bezpiecznych plików (tzw. białą listę). To znacząco poprawia jakość klasyfikacji szkodliwego oprogramowania oraz identyfikacji ataków oraz usprawnia reagowanie na incydenty.
W zależności od stopnia podobieństwa analizowanego pliku do próbek w bazie danych Kaspersky Threat Attribution Engine kalkuluje jego wskaźnik reputacji oraz wskazuje możliwe pochodzenie oraz autora wraz z krótkim opisem oraz odsyłaczami do prywatnych i publicznych zasobów przedstawiających wcześniejsze kampanie. Subskrybenci usługi Kaspersky APT Intelligence Reporting mogą uzyskać obszerny raport na temat taktyk, technik i procedur stosowanych przez zidentyfikowane ugrupowanie cyberprzestępcze, jak również wskazówki dotyczące dalszych działań do podjęcia.
Kaspersky Threat Attribution Engine został zaprojektowany z myślą o wdrażaniu lokalnie w sieci klienta, a nie w środowisku chmury podmiotu zewnętrznego. W ten sposób klient uzyskuje kontrolę nad wymianą danych. Dodatkowo klienci mogą stworzyć własną bazę danych, wypełniając ją próbkami szkodliwego oprogramowania wykrytymi przez wewnętrznych analityków. W ten sposób Kaspersky Threat Attribution Engine nauczy się dopasowywać szkodliwe oprogramowanie do tego, które znajduje się w bazie danych klienta, zapewniając poufność tych informacji.
Istnieje kilka sposobów identyfikowania sprawcy ataku. Analitycy mogą opierać się na artefaktach w szkodliwym oprogramowaniu, które pozwolą określić ojczysty język przestępców, lub na adresach IP, które zasugerują ich lokalizację. Jednak wprawny cyberprzestępca potrafi łatwo manipulować takimi informacjami, w rezultacie czego prowadzone przez badacza dochodzenie grzęźnie w martwym punkcie, co zdarza się często. Z naszego doświadczenia wynika, że najlepszym sposobem jest szukanie podobieństw w kodzie pomiędzy badanymi próbkami a tymi, które zostały zidentyfikowane we wcześniejszych incydentach czy kampaniach. Niestety, wykonanie tego ręcznie może zająć kilka dni, a nawet miesięcy. Aby przyspieszyć to zadanie, stworzyliśmy Kaspersky Threat Attribution Engine, który jest już dostępny dla naszych klientów – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.
Kaspersky Threat Attribution Engine jest dostępny w sprzedaży na całym świecie. Więcej informacji na temat tego rozwiązania można uzyskać na stronie https://www.kaspersky.pl/ochrona-dla-korporacji/cyber-attack-attribution-tool.