qué indicadores apuntan a que el código malicioso es un estado-nación y no
crimen organizado o pequeños grupos de piratería (Anónimo, LOLSEC, otros
grupos no asociados)?
En este caso específico , las personas que conocen los indicadores no lo dicen (aún).
Hay una serie de indicadores que pueden entrar en juego, como:
Procedencia , o, de dónde vienen las cosas -
Se ha realizado un importante trabajo para unir a los actores y las campañas mediante el análisis del uso de código no publicado. Por ejemplo:
En 2015, los resultados de la investigación de Kaspersky sobre el Grupo de Ecuación señalaron que
su cargador, "pez gris", tenía similitudes con un descubierto previamente
cargador "Gauss" de otra serie de ataques, y señaló por separado que
el Grupo de ecuaciones utilizó dos ataques de día cero que luego se usaron en Stuxnet;
los investigadores concluyeron que "el tipo de uso similar de ambos
explotan juntos en diferentes gusanos informáticos, en torno a la misma
hora, indica que el grupo EQUATION y los desarrolladores de Stuxnet están
ya sea lo mismo o trabajando en estrecha colaboración ". (Wikipedia)
Si el ataque de Juniper comparte ciertas características con otros ataques APT conocidos, es probable que sea un ataque APT. Desafortunadamente, una vez más, las únicas personas que realmente sabrían cuáles son esas características, en este punto, son los que respondieron al incidente, y no están hablando.
Propósito , o, qué se puede hacer con las cosas -
Una puerta trasera en un firewall es brillante y útil para cualquier atacante. El debilitamiento del cifrado de una manera que puede beneficiar a los interceptores sin necesidad de requerir el acceso a puntos finales beneficia más a los grupos APT, ya que es más probable que tengan acceso a capturas de red de nivel ISP que, por ejemplo , Anónimo.
En tu comentario anterior, lo llamas "subjetivo y circunstancial", pero en realidad no lo es. La vulnerabilidad descrita tiene la ventaja de ser en gran medida indetectable (en comparación con el compromiso del punto final, y suponer que el Destacamento 2702 funciona correctamente) y la desventaja de requerir un acceso a la red ventajoso (en el que los estados-nación han estado trabajando desde mucho antes de que existieran las computadoras). / p>
Patrones , o migajas que no se limpian -
Ha habido varios grupos APT cuyo trabajo se atribuyó en función de cadenas o puntos en común: una dirección de correo electrónico, una dirección IP de servidor de comando y control, un nombre de ruta de código fuente que no se eliminó de los objetos compilados. Puede apostar que lo que quede en Juniper está siendo revisado con un peine de dientes finos, por personas que han hecho lo mismo en docenas o cientos de otras víctimas. Si se encuentran migajas, se encontrarán.
Puede ser cualquiera de estos, o todos, o ninguno. No hay forma de saberlo hasta que alguien escriba un artículo o publique detalles que nos permitan localizarlo.
Actualización 20151228 - Puede leer " APT28 Under the Scope ", cuyo objetivo es describir a un actor APT en particular. Observe algunos de los patrones que utilizaron: mapearon el tiempo de compilación de las herramientas de ataque para determinar de qué zona horaria provienen los actores. También encontraron una ruta codificada a un archivo de depuración donde uno de los directorios en la ruta era la palabra rusa para "Usuarios". No estoy sugiriendo que APT28 sea la multitud que golpeó a Juniper, es interesante ver el proceso de análisis y el nivel de minuciosidad que se puede usar para tratar de atribuir la responsabilidad de un ataque.