¿Cómo pueden los servicios de inteligencia estar tan seguros de que Rusia es la culpable? [cerrado]

5

Recientemente, Los medios de comunicación estadounidenses y no estadounidenses han publicado muchos artículos sobre Rusia involucrado en el "Podesta-hack" o incluso acusando a Putin de ser directamente responsable. Por ejemplo:

Sin embargo, ninguno de estos artículos brinda pruebas de tal reclamo, solo se refieren a información secreta de la CIA. Además, en mi país, Alemania, los medios de comunicación se suben al carro de la acusación y comienzan a acusar a Rusia / Putin de piratear el comité de investigación de la NSA.

Nuevamente, no se puede proporcionar evidencia .

Ahora a mi pregunta:
Creo que es posible actuar de forma casi totalmente anónima en línea, especialmente cuando está respaldado / financiado por un gobierno. Además, soy consciente de que la CIA y la inteligencia alemana probablemente tienen sus fuentes que no pueden hacerse públicas.

Pero, ¿cómo podemos estar seguros de que esto no es del todo propaganda contra el gobierno ruso? ¿Uno no esperaría que Rusia pudiera cubrir sus huellas, si quisieran?

¿Lo que he visto un par de veces ahora es el punto de que el tiempo activo del atacante es coherente con la zona horaria de Moscú? ¿Ya es suficiente evidencia? ¿Qué otras posibilidades hay para identificar a un atacante, cuando conoce su negocio y está ocultando su IP / Información y no cometiendo errores estúpidos?

    
pregunta Doc 16.12.2016 - 19:55
fuente

2 respuestas

3

Esto es casi un duplicado de ¿Cómo comprueban qué las organizaciones? ¿ha sido pirateado? Mientras que la pregunta trata sobre desentrañar qué , estás preguntando sobre cómo desentrañar cómo y por quién .

  

¿Qué otras posibilidades existen para identificar a un atacante, cuando conoce a su atacante?   negocio y está ocultando su IP / información y no está cometiendo errores estúpidos?

Hay muchas posibilidades. ¡Hay un lote más para permanecer sin atribuir que "no cometer errores estúpidos"! es justo decirlo, cualquier actor de la APT (nación-estado) será atribuido, eventualmente, por cualquier defensor a nivel nacional o estatal. La Defensa Nacional obtiene más recursos que, por ejemplo, cuando intentas descubrir quién se aprovechó de tu Yahoo! credenciales.

Si lees la lista de pasos forenses que se pueden tomar, los métodos de retroceso se basan en todos los bits de datos, cada uno de los cuales es una pequeña pieza del rompecabezas.

Datos con los que comenzarás:

  • direcciones IP utilizadas en el ataque
  • Las herramientas de ataque utilizadas en el ataque y dejadas en los servidores de destino
  • Tiempos de actividad (como usted dice, no concluyentes, sino una pieza del rompecabezas)

Para citar la biblia, "Por sus frutos los reconocerás". Los grupos de piratería avanzada construyen sus propias herramientas especializadas, a veces usan las mismas direcciones IP para enrutarse y muestran suficiente coherencia en los tiempos de actividad para compensarlos de otros grupos avanzados.

Algunas de estas cosas pueden ser realmente pequeñas. Los actores individuales se han identificado personalmente porque su nombre de usuario estaba incrustado en un directorio que estaba incrustado en un archivo compilado de una fuente que hacía referencia a ese directorio. Las cadenas pequeñas encontradas en un conjunto de archivos han sido suficientes para unir el ataque con otro que también tiene las mismas cadenas de firma.

A nivel nacional, las personas que trabajan para defender e investigar tienen acceso a una gran cantidad de piezas de rompecabezas y pueden usarlas para atribuir acciones. Es posible que sepan que el ataque XYZ, por ejemplo, estaba ligado descaradamente a Rusia, y que el ataque QRS tiene una superposición significativa de indicadores. ¿Suficiente superposición? Concluyen que QRS también estaba vinculado a Rusia.

Si está interesado en ver más acerca de cómo se hace esto, recomiendo encarecidamente leer "APT1 de Mandiant: Exponer una de las unidades de ciberespionaje de China"

    
respondido por el gowenfawr 16.12.2016 - 21:12
fuente
1

Esto es como cualquier ejercicio en investigación forense. Los atacantes dejan rastros. Estos a veces se pueden correlacionar con la evidencia dejada en otros ataques. La hora del día puede no parecer mucho, pero si es del mismo bloque de tiempo todos los días, puede que no sea una coincidencia. Las herramientas de pirateo dejadas atrás pueden tener artefactos en el idioma nativo, nombres de ruta de directorio personalizados o marcas de tiempo compatibles con otros ataques reconocibles con zonas horarias similares. A menudo, las herramientas se personalizan y dejan huellas digitales únicas.

Si eres una organización como NSA, probablemente tampoco obedezcas las reglas contra el contraataque.

Cuantos más recursos tenga, mejor será la evidencia que obtendrá del análisis forense. La NSA es bastante buena en eso.

    
respondido por el John Deters 16.12.2016 - 20:36
fuente

Lea otras preguntas en las etiquetas