(CS/London) ”False attribution” är den engelska termen för att få dem som analyserar och undersöker attacker att tro att attacken kommer från en hackargrupp som opererar från ett visst land. Detta är vanligt inte minst när attacken kommer från en statssponsrad grupp eller från hackare som antas eller misstänks ha nära samarbeten med en stats säkerhetstjänst.
Vi läser ofta om att det är en viss hackargrupp från ett visst land som ligger bakom en attack, att det finns evidens i spåren efter attacken som pekar åt ett visst håll, och här i väst är det vanligt att vi pekar på länder som Kina, Ryssland, Nordkorea och Iran.Men hur kan man vara så säkra på att dessa uppgifter stämmer överhuvudtaget?
Jake Williams arbetar som huvudkonsult på it-säkerhetsföretaget Rendition Infosec, men har tidigare även arbetat för olika amerikanska myndigheter (utan att nämna vilka) med att analysera attacker bland annat just med målet att spåra var attackerna kommer från. Williams har även arbetat ”på den andra sidan” som han uttrycker det, alltså med att få attacker att se ut som de kommer från en annan aktör. Den ironiska undertexten i Williams presentation är ”Skyll på Kina!”
Enkelt att förfalska digitala bevis
– Det finns inga perfekta ”flaggor” som pekar ut vem som ligger bakom en attack. Men det finns evidens som pekar åt ett visst håll, och de som utreder attacker ser dessa evidens och drar slutsatser från dessa flaggor. Men det är i grunden hur enkelt som helst att förfalska digitala bevis. Vi kan ju faktiskt döda folk utifrån digitala bevis, säger Jake Williams och tar upp exemplet där Israel slog till i en fysisk räd mot vad de påstod var en hackargrupp associerad med den libanesiska terrorklassade gruppen Hizbollah. I attacken dödades flera människor.
Det är allmänt känt inom hackarkretsar att grupper ”lånar” kod av varandra. Attacker fångas in av samma stater som utför attackerna, de analyserar koden och återanvänder den, inte sällan genom att helt enkelt klippa och klistra koden, eller delar av koden. Att det finns kyrilliska bokstäver eller kinesiska tecken i kommentarerna i koden menar Williams har inget bevisvärde alls, ändå är det ofta en faktor som tas för evidens.
– Det finns till exempel tvivel på att det var Ryssland som attackerade Ukraina, säger Jake Williams, men det kan ju ha varit Ukraina som försökte få det att se ut som Ryssland. Nu är det just det fallet högst sannolikt att det var Ryssland som låg bakom, bevisen är helt enkelt överväldigande, men tekniskt sett skulle Ukraina ganska enkelt kunnat flagga falskt och attackerat sig själva för att få Ryssland att framstå som skurkar.
Williams tar upp ett annat exempel, nämligen hacket mot olympiska spelen på Koreahalvön 2018.
– Ryssarna bakom låg bakom attacken mot OS, det vet vi idag, men de hade satt flaggor som visade att attacken kom från Nordkorea, vilket senare visade sig vara falskt. I det här spelet måste man ha is i magen och inte hasta iväg. Saker kan se uppenbara ut till en början, men efter att vi analyserat attacken mot OS under en längre tid kunde vi se var attacken verkligen kom från.
Jake Williams presentation tar utgångspunkt från angriparens sida, alltså vilka medel som står till buds för dem som vill flagga falskt. Det finns ett otal metoder för detta, men Williams poängterar att det är viktigt att de falska flaggorna är skickligt utförda och framför allt finns med i alla steg som en attack genomgår. Att flagga falskt i ett eller några steg men inte alla kommer med all sannolikhet att resultera i upptäckt av den verkliga angriparen.
Williams använder det engelska slangordet ”patsy”, ungefär syndabock på svenska, för att beskriva den part i detta spel som den egentliga angriparen försöker skylla på. Det uppenbara motivet bakom att agera på detta sätt är att det kan få svåra diplomatiska följder om en stat angriper en annan stat med cyberattacker. Det finns än så länge ingen definition av cyberkrig inom internationell rätt, men det är inte svårt att finna folk som menar att exempelvis Rysslands attack på Ukraina borde klassas som en krigshandling.
Finns andra anledningar att peka ut en syndabock
Men det finns även andra anledningar till att försöka peka ut en syndabock, till exempel att försvåra för forensiker och höja kostnaderna, att så tvivel bland forensikerna och fördröja utredningen så pass länge att motåtgärder dröjer eller inte sätts in alls, eller att få den utpekade att i sin tur reagera baserat på forensikernas preliminära resultat.
Angriparen måste också tänka på att inte plantera för uppenbara förfalskningar, men också att inte plantera för sofistikerade förfalskningar eller att planera dem på ett sätt som gör det för svårt att upptäcka dem. Om de inte upptäcks är de ju meningslösa. Angriparen måste plantera falska evidens med mottagarens kapacitet i åtanke, helst ha kunskap om vilka verktyg de använder och ta höjd för att de kan byta verktyg. Detta kallas på it-säkerhetsengelska för Know Thy Target’s Instrumentation, KTTY, och uttalas kitti.
Jake Williams talar om att attacker genomförs i sju steg, det som ibland kallas för Cyber Kill Chain, eller CKC. Det är omdebatterat om detta är en relevant modell, men de sju stegen i CKC-modellen är rekognosering, beväpning, leverans, exploatering, installation, kommando och kontroll och verkan enligt syftet. För att en angripare ska kunna skylla på någon annan aktör krävs det att angriparen planterar falska flaggor i alla sju stegen. Jake Williams radar upp exempel på hur man kan plantera falska flaggor inom varje steg, men det tar för mycket utrymme för att visa på alla möjligheter i denna artikel. Här kommer dock några intressanta axplock.
Ett exempel är att hyra infrastruktur i det land som man vill peka ut. Sajten whtop.com listar över 2100 leverantörer av virtuella privata servrar, varav många på mycket intressanta ställen, inklusive Ryssland och Iran. Många av dessa tar dessutom gärna emot kryptovalutor i betalning. Andra trick är att byta användaragent till webbläsare som de ryska respektive kinesiska sökmotorerna Yandex och Baidu, eller att skapa sociala medier-länkar till kända hackare i det land man vill peka ut eller registrera konton med läckta e-postadresser i publika forum. Man kan också ändra språkinställningarna i webbläsare.
Vanligt att man återanvänder kod
Andra sätt som tillämpas i andra steg i attacken är att använda exempelvis samma vpn-tjänster och annan infrastruktur som man vet används av syndabocken. Sen är det detta med att återanvända kod som är ganska vanligt i dessa sammanhang.
– Enligt Symantec använde den kinesiska gruppen Buckeye sig av NSA:s vapen Eternal Blue över ett år innan den avslöjades av en visselblåsare och publicerades av Shadow Brokers i april 2017. Det betyder att de fick tag på koden, på något sätt, medan den användes av NSA. I det här fallet använde inte Buckeye Eternal Blue för att skylla på USA, men det hade varit fullt möjligt, säger Jake Williams.
Slutsatsen man kan dra av Jake Williams presentation är att det är alltför enkelt att dra förhastade slutsatser om vilka som ligger bakom en attack. Det är ett sofistikerat arbete att skapa falska spår som pekar mot en specifik grupp eftersom det kräver att man är konsekvent under alla faser av attacken, även om varje typ av förfalskning ofta är synbarligen enkel. Det kräver också att man har mycket goda och uppdaterade kunskaper om syndabockens metoder och verktyg, och att man helt enkelt vet vilka de är.
Men det kräver också ett grundligt arbete och mycket resurser och skickliga forensiker för att gå till botten med vilka man ska tillskriva en attack. Den bistra verkligheten är att det räcker för en angripare att så tvivel om vilka attacken ska tillskrivas för att de flesta stater drar sig för att gå ut med den informationen. De är helt enkelt inte tillräckligt säkra.
Läs också:
Ryska statshackare laddade upp falska appar på Google Play
USA åtalar två kinesiska medborgare för hacket mot Anthem