«Лаборатория Касперского» выпустила инструмент для определения авторов кибератак

- КиТ :: Будь в СЕТИ!

«Лаборатория Касперского» представила решение Kaspersky Threat Attribution Engine. Это новый защитный продукт, предназначенный для корпораций и государственных ведомств, которые хотели бы понять, кто стоит за атаками на их ресурсы. Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, эффективно определять источники и организаторов.

Чтобы выяснить, от какой именно кибергруппы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». Эта информация помогает экспертам по кибербезопасности приоритизировать угрозы по степени риска, выделять наиболее серьезные из них и вовремя принимать защитные меры.

Зная, кто и с какой целью атакует компанию, сотрудники отделов по кибербезопасности могут быстро разработать и запустить план по реагированию на киберинцидент. Однако определение авторства — это сложная задача, для решения которой требуется не только большой объем информации о ранее происходивших инцидентах, но и умение ее интерпретировать. Новый инструмент позволяет автоматизировать процесс классификации и распознавания сложного вредоносного ПО.

В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, дает короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчет о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.

В основу решения лег внутренний инструмент, используемый командой GReAT. В частности, с его помощью изучались iOS-имплант LightSpy, TajMahal, ShadowHammer и Dtrack. Одно из наиболее свежих расследований, для которого применялся Kaspersky Threat Attribution Engine, — кампания кибершпионажа CactusPete, направленная на финансовые и военные организации в Восточной Европе. В период с марта 2019 г. по апрель 2020 г. эксперты обнаружили 300 относящихся к ней вредоносных образцов.

Решение Kaspersky Threat Attribution Engine может быть развернуто в сети клиента, также в 2021 г. станет доступно развертывание в сторонней облачной сети. Кроме того, оно может быть использовано для создания собственной базы и заполнения ее вредоносными образцами, которые находят аналитики компании-заказчика.

«Есть разные способы определять, кто именно стоит за атакой. Например, аналитики могут находить во вредоносном коде некие артефакты, которые указывают на язык, на котором говорят атакующие, или IP-адреса, позволяющие предположить их местонахождение. Однако продвинутые кибергруппы могут подделывать такого рода данные и направлять исследователя по ложному следу — это происходит довольно часто. Наш опыт показывает, что лучший способ — искать сходные фрагменты кода с теми, что использовались ранее в других кампаниях. К сожалению, если делать это вручную, то на это могут уходить дни и даже месяцы. Чтобы автоматизировать и ускорить процесс, мы создали Kaspersky Threat Attribution Engine», — сказал Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg