đe dọa?
Mandiant sử dụng khái niệm nhóm các mối đe dọa để tham chiếu tới một bộ sưu tập những kẻ thâm nhập trái phép đang làm việc cùng nhau để ngắm đích và thâm nhập trái phép các mạng có quan tâm. Các cá nhân đó có thể chia sẻ cùng tập hợp các nhiệm vụ, phối hợp các mục tiêu của họ, và chia sẻ các công cụ và phương pháp luận. Họ làm việc cùng nhau để giành được sự truy cập tới các mục tiêu của họ và ăn cắp các dữ liệu. Vì thế, một nhóm sau rốt được con người chứ không phải phương pháp luận xác định.
Tuy nhiên, việc xác định một nhóm các mối đe dọa dựa vào hoạt động thâm nhập trái phép được quan sát thấy không đơn giản như vậy. Không có việc xem xét ai đang ngồi đằng sau bàn phím thì có thể khó mà xác định được liệu 2 sự kiện thâm nhập trái phép khác nhau có được một người y hệt tiến hành hay không, hay là 2 người đang làm việc cùng nhau, từ 2 người không có liên quan gì tới nhau mà đã làm tổn thương một cách độc lập cùng một mạng, hay thậm chí cùng một máy tính. Các nhóm khác nhau có thể sử dụng phương pháp luận thâm nhập trái phép tương tự và các công cụ phổ biến chung, đặc biệt các nhóm mà sẵn sàng rộng rãi trên Internet, như pwdump, HTRAN, hoặc Gh0st RAT. Hơn nữa, có thể có những chồng lấn giữa các nhóm vì việc chia sẻ các phần mềm độc hại hoặc các khai thác mà họ đã từng là tác giả, hoặc thậm chí do việc chia sẻ các nhân sự. Những kẻ thâm nhập trái phép cá nhân có thể dịch chuyển giữa các nhóm hoặc tạm thời hoặc vĩnh viễn. Một kẻ thâm nhập trái phép có thể là một công dân riêng biệt được nhiều nhóm thuê. Cuối cùng, nhiều nhóm có thể làm việc cùng nhau trong một cơ hội làm tổn thương cùng một mục tiêu.
Tuy nhiên, việc phân biệt một nhóm các mối đe dọa này với nhóm khác là có khả năng với đầy đủ thông tin, kinh nghiệm phân tích và các công cụ công nghệ để phân thành các mảnh. Xem xét một sự tương tự với thế giới vật lý: hãy tưởng tượng một kẻ ăn cắp để lại phía sau các dấu vết tội phạm của hắn ở các địa điểm phạm tội khác nhau. Các vụ cướp riêng có thể khác nhau theo nhiều chi tiết:
• Phương pháp ăn cắp được sử dụng để chui vào;
• Các công cụ được sử dụng để mở két sắt;
• Liệu kẻ ăn cắp có lựa chọn cẩn thận một khoản đặc biệt nào để ăn cắp, hay lấy bất kỳ thứ gì với hy vọng rằng hắn may ra chộp được thứ gì đó có giá trị;
• Liệu kẻ ăn cắp có nghiên cứu mục tiêu của nó cẩn thận hay không, các chuông có bị vô hiệu hóa, và có ý định loại bỏ bằng chứng như vết các ngón tay; hay liệu hắn có phải là rất không cẩn thận, nhưng đơn giản dựa được vào việc “ăn cắp đủ” để không bị bắt.
Các nhà khoa học phân tích tội phạm có thể phân tích nhiều vụ phạm tội có khả năng nói bằng các bằng chứng để lại đằng sau một vụ phạm tội được đưa ra từng là kết quả của một tên trộm này chứ
không phải tên trộm khác.
Theo một cách thức y hệt, những kẻ thâm nhập trái phép không gian mạng để lại đằng sau nhiều “dấu ngón tay” số khác nhau. Chúng có thể gửi các thư điện tử phishing xiên cắm từ một địa chỉ IP hoặc địa chỉ thư điện tử đặc biệt. Các thư điện tử của chúng có thể có chứa các mẫu nhất định các dòng chủ đề. Các tệp của chúng có các tên đặc thù, các hàm băm MD5, các dấu thời gian, các chức năng tùy biến, và các thuật toán mã hóa. Các cửa hậu của chúng có thể có các địa chỉ hoặc tên miền chỉ huy và kiểm soát được nhúng vào. Đó chỉ là một ít ví dụ về vô số các manh mối mà các nhà phân tích khoa học tội phạm máy tính cân nhắc khi cố phân biệt một nhóm các mối đe dọa không gian mạng này với các nhóm khác.
“Các dấu ngón tay” số không mang theo tất cả sức nặng như nhau trong phân tích để quy kết. Tính hợp lệ hoặc giá trị của chúng như là các chỉ số của nhóm các mối đe dọa đặc thù phụ thuộc nhiều vào tính có thể đúng về tính duy nhất của chúng. Ví dụ, sử dụng công cụ sẵn sàng rộng rãi như HTRAN không phải là duy nhất và không hữu dụng - bởi chính bản thân nó - như một chỉ số của một nhóm các mối đe dọa đặc thù. Ngược lại, sử dụng một cửa hậu đặc thù, tùy biến mà không được quan sát thấy ở đâu khác là một chỉ số mạnh hơn nhiều - dù nó thường vẫn còn là không đủ, đối với bản thân nó, cho sự quy kết đúng.
Ở mức độ cơ bản nhất, chúng tôi nói rằng 2 vụ việc thâm nhập trái phép được quy kết cho cùng một nhóm khi chúng tôi đã thu thập đủ các chỉ số để chỉ ra vượt ra khỏi một sự nghi ngờ hợp lý mà người hoặc nhóm y hệt những người đã có liên quan.
Phụ lục B: APT và vòng đời của