Hakerske napade je moguće identifikovati, ali je teško dokazati njihovu pozadinu

Pouzdana identifikacija izvora hakerskog napada ili grupe koja stoji iza sofisticiranog napada moguća je samo nakon temeljne i stručne analize koja se zasniva na precizno argumentovanim dokazima, naveo je za Biznis.rs generalni menadžer kompanije Kaspersky za Istočnu Evropu, Miroslav Koren.

Pitanje kibernetičke bezbednosti našlo se u vrhu agende nedavnog samita američkog i ruskog predsednika Džoa Bajdena (Joe Biden) i Vladimira Putina u Ženevi. Bajden je direktno optužio Putina za „kršenje normi“ i upozorio ga da će SAD odgovoriti na hakerske napade iz Rusije.

Tri nedelje kasnije, Bajden je pozvao Putina da deluje protiv hakera u svojoj zemlji, koje je okrivio za nedavne ransomware napade koji su pogodili kompanije širom sveta. Bajden je ponovio upozorenje da će SAD braniti mreže koje smatraju vitalnim za ekonomiju, ali je povukao tvrdnju da Kremlj koordinira hakerske napade.

„Jasno sam mu stavio do znanja da SAD očekuju kada ransomware operacija dolazi sa njegovog tla, iako je država ne sponzoriše, da on deluje“, rekao je Bajden novinarima u petak posle jednosatnog razgovora sa Putinom u petak, preneo je Politico. Putin je rekao Bajdenu da njihove diskusije o sajber bezbednosti moraju biti „profesionalne i depolitizovanje“, kao i da pozdravlja „dubinsku i konstruktivnu“ saradnju po tom pitanju, saopštio je Kremlj.

Pre oko četiri godine, sajber bezbednost postala je pijun u geopolitičkim šahovskim igrama, kako ocenjuje kompanija Kaspersky. Političari svih boja i nacionalnosti prete i okrivljuju jedni druge za neprijateljsku sajber špijunažu, dok istovremeno pojačavaju kibernetičke ofanzivne kapacitete. Za to vreme, nezavisne kompanije za sajber bezbednost upadaju u unakrsnu vatru geopolitičkih smicalica.

Kako navodi kompanija Kaspersky, bez obzira na to da li hakerska grupa pripada nekoj vojnoobaveštajnoj ili odbrambenoj grupi, njihovo delovanje je političko pitanje, a verovatnoća činjenične manipulacije približna je stoprocentnoj. Zbog toga se kompanije za kibernetičku bezbednost drže tehničke atribucije (postupak praćenja i identifikovanja napadača).

„Svaki napad poseduje set pojedinačnih karakteristika, indikatora, koji u nezavisnoj analizi mogu poslužiti da se utvrdi koliko napad podseća na uobičajeni rad neke hakerske grupe. U zavisnosti od kompleksnosti samog napada, tih indikatora može biti veoma puno, pa se istraživači mogu osloniti i na napredne servise podržane mašinskim učenjem ili veštačkom inteligencijom“, naveo je Koren.

Prema njegovim rečima, važno je raspoznati koji su indikatori pravi, i koje su hakeri namerno ostavili, kako bi istraživača naveli na pogrešan zaključak, a to mogu samo dovoljno iskusni istraživači. „Zbog toga mi volimo da kažemo da je atribuciju moguće izvršiti samo sadejstvom mašine, podataka i ekspertskog znanja“, rekao je naš sagovornik.

Generalno, napredne uporne pretnje (APT) postaju sve sofisticiranije i sve kompleksnije i rezultat su kako visokog znanja, tako i strpljivog, često veoma napornog, istraživanja žrtve. Delom, one mogu biti olakšane većom dostupnošću raznih alatki za izvršenje sajber napada na Dark Web-u i Deep Web-u, ali ipak zahtevaju značajne i ljudske i materijalne resurse i njihovu pažljivu koordinaciju.

„Akteri ovih pretnji se temeljno pripremaju da odigraju svoje poteze i dođu do željene nagrade. Njihove aktivnosti mogu biti nedetektovane u sistemima žrtve nedeljama, mesecima ili čak godinama čekajući pravi trenutak da napad izvedu koristeći detektovane slabosti. Za razliku od uobičajene upotrebe malvera, ovo je tip napada kojima napadači aktivno upravljaju i kontrolišu ih. Cilj im nije samo isporuka malvera (maliciozni softver), nego preuzimanje kontrole nad određenim perimetrom kako bi se u dužem periodu prikupljale informacije“, objasnio je Koren.