Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, эффективно определять источники и организаторов.
Чтобы выяснить, от какой именно кибергруппы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». Эта информация помогает экспертам по кибербезопасности приоритизировать угрозы по степени риска, выделять наиболее серьёзные из них и вовремя принимать защитные меры.
Зная, кто и с какой целью атакует компанию, сотрудники отделов по кибербезопасности могут быстро разработать и запустить план по реагированию на киберинцидент. Однако определение авторства — это сложная задача, для решения которой требуется не только большой объём информации о ранее происходивших инцидентах, но и умение её интерпретировать. Новый инструмент позволяет автоматизировать процесс классификации и распознавания сложного вредоносного ПО.
В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.
В основу решения лёг внутренний инструмент, используемый командой GReAT. В частности, с его помощью изучались iOS-имплант LightSpy, TajMahal, ShadowHammer и Dtrack. Одно из наиболее свежих расследований, для которого применялся Kaspersky Threat Attribution Engine, — кампания кибершпионажа CactusPete, направленная на финансовые и военные организации в Восточной Европе. В период с марта 2019 по апрель 2020 года эксперты обнаружили 300 относящихся к ней вредоносных образцов.
Решение Kaspersky Threat Attribution Engine может быть развёрнуто в сети клиента, также в 2021 году станет доступно развёртывание в сторонней облачной сети. Кроме того, оно может быть использовано для создания собственной базы и заполнения её вредоносными образцами, которые находят аналитики компании-заказчика.
«Есть разные способы определять, кто именно стоит за атакой. Например, аналитики могут находить во вредоносном коде некие артефакты, которые указывают на язык, на котором говорят атакующие, или IP-адреса, позволяющие предположить их местонахождение. Однако продвинутые кибергруппы могут подделывать такого рода данные и направлять исследователя по ложному следу — это происходит довольно часто. Наш опыт показывает, что лучший способ — искать сходные фрагменты кода с теми, что использовались ранее в других кампаниях. К сожалению, если делать это вручную, то на это могут уходить дни и даже месяцы. Чтобы автоматизировать и ускорить процесс, мы создали Kaspersky Threat Attribution Engine», — комментирует Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз.