«Лаборатория Касперского» представила решение Kaspersky Threat Attribution Engine – новый защитный продукт для корпораций и государственных ведомств, которые хотели бы понять, кто стоит за атаками на их ресурсы. Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, определять источники и организаторов.

Чтобы выяснить, от какой именно кибергруппы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». Эта информация помогает приоритизировать угрозы по степени риска, выделять наиболее серьезные и вовремя принимать защитные меры.

Зная, кто и с какой целью атакует компанию, специалисты по кибербезопасности могут быстро разработать и запустить план по реагированию на инцидент. Однако определение авторства – это сложная задача, для решения которой требуется не только большой объем информации о ранее происходивших инцидентах, но и умение ее интерпретировать.

Новый инструмент позволяет автоматизировать процесс классификации и распознавания сложного вредоносного ПО. В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, дает короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен подробный отчет о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.

В основе решения лежит внутренний инструмент, используемый в «Лаборатории Касперского» командой GReAT (Global Research and Analysis Team). В частности, с его помощью изучались iOS-имплант LightSpy, TajMahal, ShadowHammer и Dtrack. Одно из наиболее свежих расследований, для которого применялся Kaspersky Threat Attribution Engine, – кампания кибершпионажа CactusPete, направленная на финансовые и военные организации в Восточной Европе.

Как комментируют в «Лаборатории Касперского», есть разные способы определять, кто именно стоит за атакой. Например, некие артефакты во вредоносном коде могут указывать на язык, на котором говорят атакующие, в нем могут быть IP-адреса, позволяющие предположить их местонахождение. Однако продвинутые кибергруппы умеют подделывать такого рода данные, направляя исследователя по ложному следу. Как показывает опыт специалистов GReAT, лучший способ – искать фрагменты кода, сходные с теми, что использовались ранее в других кампаниях, но вручную это может занимать дни и даже месяцы. Чтобы автоматизировать и ускорить процесс, и был создан Kaspersky Threat Attribution Engine.

Решение Kaspersky Threat Attribution Engine может быть развернуто в сети клиента, в 2021 г. станет доступно развертывание в сторонней облачной сети. Кроме того, оно может быть использовано для создания собственной базы и заполнения ее вредоносными образцами, которые находят аналитики компании-заказчика.