諜報機関は、ロシアが犯人であることをどのように確信できるのでしょうか?
最近、米国と非米国のメディアは、ロシアが「ポデスタハック」に関与している、またはプーチンを直接責任があると非難していることについて、多くの記事を発表しています。例えば:
ただし、これらの記事はいずれもそのような主張を証明するものではなく、CIAの秘密情報に言及しているだけです。さらに、私の国、ドイツでは、メディアが非難の輪に飛びつき、ロシア/プーチンをNSA調査委員会)をハッキングしたとして非難し始めています。
この場合も、証拠は提供できません。
今私の質問へ:
特に政府の支援を受けている場合、オンラインでほぼ完全に匿名で行動することは可能だと思います。また、CIAとドイツの諜報機関にはおそらく公開できない情報源があると思います。
しかし、これがロシア政府に対する完全な宣伝ではないことをどのように確認できますか?彼らが望むなら、ロシアが彼らのトラックをカバーすることができると予想しないでしょうか?
今、私が数回見たのは、攻撃者のアクティブ時間がモスクワのタイムゾーンと一貫しているということです。これはすでに十分な証拠ですか?攻撃者が自分のビジネスを知っていて、自分のIP /情報を隠し、愚かな間違いを犯さない場合、特定するには他にどのような可能性がありますか?
これはほぼの複製 組織はどのようにチェックするかwhatはハッキングされていますか? その質問は解明することを扱っていますwhat 、あなたはhowおよびbywhoの解明について質問しています。
攻撃者が自分のビジネスを知っていて、自分のIP /情報を隠し、愚かな間違いを犯さない場合、他にどのような可能性がありますか?
可能性はたくさんあります。 「愚かな間違いを犯さない」よりも、属性のないままにしておくことがロットあります!つまり、APT(国民国家)の俳優は、最終的には国家国家レベルの擁護者に帰属します。国防は、あなたがしようとしているよりも多くのリソースを取得します。 Yahoo!の認証情報を誰が利用したのかを把握します。
実行可能なフォレンジックステップのリストを読んだ場合、バックトラックの方法はデータのすべてのビットに依存します。それぞれのビットはパズルの小さな断片です。
開始するデータ:
- 攻撃に使用されたIPアドレス
- 攻撃に使用され、ターゲットサーバーに残された攻撃ツール
- 活動の時間(あなたが言うように、決定的ではなく、パズルのピース)
聖書を引用すると、「彼らの実によってあなたは彼らを認識するでしょう」。高度なハッキンググループは独自の専用ツールを構築し、同じIPを使用して自身をルーティングし、アクティビティの時間に十分な一貫性を示し、他の高度なグループからそれらを相殺します。
このようなもののいくつかは、本当に骨の折れるものになる可能性があります。ユーザー名は、そのディレクトリを参照するソースからコンパイルされたファイルに埋め込まれたディレクトリに埋め込まれていたため、個々のアクターは個人的に識別されました。 1つのファイルセットで見つかった小さな文字列は、同じシグネチャ文字列をたまたま持っている別の文字列と攻撃を結び付けるのに十分です。
国レベルでは、防御と調査に取り組んでいる人々は、非常に多くのパズルのピースにアクセスでき、それらをアクションの属性として使用できます。たとえば、攻撃XYZは露骨にロシアと結びついていて、攻撃QRSは指標がかなり重複していることを知っているかもしれません。十分なオーバーラップ?彼らはQRSもロシアと結びついていたと結論付けています。
これがどのように行われるかについてもっと知りたい場合は、私は強く読むことをお勧めします Mandiantの「APT1:中国のサイバーの1つを公開する-諜報部隊」
これは、法医学調査におけるあらゆる演習と同じです。攻撃者は痕跡を残します。これらは、他の攻撃で残された証拠と相関する場合があります。一日の時間はそれほど多くないように見えるかもしれませんが、それが毎日同じ時間のブロックからのものである場合、それは偶然ではないかもしれません。残されたハッキングツールには、同様のタイムゾーンを特徴とする他の認識可能な攻撃と一致する、ネイティブ言語のアーティファクト、カスタムディレクトリパス名、またはタイムスタンプが含まれている場合があります。多くの場合、ツールはカスタマイズされており、固有の指紋が残ります。
あなたがNSAのような組織であるなら、あなたもおそらく反ハッキングに対する規則に従わないでしょう。
リソースが多いほど、フォレンジック分析からより良い証拠が得られます。 NSAはかなり上手です。