Với tin tức về tin tặc Nga ảnh hưởng đến cuộc bầu cử tổng thống Hoa Kỳ, nhiều phương tiện truyền thông đã tự hỏi làm thế nào chúng tôi xác định được tin tặc. Có một số cách mà các chuyên gia an ninh mạng có thể tìm ra nguồn gốc của một vụ hack.
Địa chỉ IP
Cách đầu tiên và rõ ràng nhất để theo dõi một hacker là bằng địa chỉ IP của họ. Bây giờ, bất kỳ tin tặc nào đáng giá muối của họ sẽ sử dụng một địa chỉ IP thiếu thông tin có ý nghĩa. Chúng sẽ hoạt động trên Tor, qua VPN hoặc thậm chí có thể trong không gian công cộng. Nhưng giả sử rằng tin tặc mà chúng tôi muốn theo dõi đặc biệt thiếu kinh nghiệm hoặc họ vô tình làm lộ địa chỉ IP của mình. Tìm chúng theo IP của chúng có thể hoạt động như thế này:
1. Tin tặc đạt được thành công các mục tiêu của chúng (bất kể điều đó có thể là gì) nhưng lại để lại nhật ký cho thấy quyền truy cập mạng từ một địa chỉ IP cụ thể.
2. Công ty hoặc cá nhân bị tấn công chuyển các nhật ký đó cho cơ quan thực thi pháp luật.
3. Các nhân viên thực thi pháp luật trát đòi ISP để tìm ra ai sở hữu địa chỉ IP đó hoặc ai đang sử dụng nó vào thời điểm tấn công. Sau đó, các nhà điều tra có thể liên kết địa chỉ IP này với một vị trí thực tế.
4. Sau khi nhận được trát, các nhà điều tra sẽ đi đến địa điểm thực tế được chỉ ra bởi địa chỉ IP và bắt đầu cuộc điều tra của họ.
5. Nếu hacker của chúng tôi thực sự ngu ngốc, các nhà điều tra sẽ tìm thấy bằng chứng về vụ hack ở khắp mọi nơi. Nếu vậy, đây sẽ là một phiên tòa ngắn trước khi tin tặc bị tống vào tù vì tội ác của mình.
Tất nhiên, với hầu hết các tin tặc làm việc đằng sau proxy, địa chỉ IP mà cơ quan thực thi pháp luật thu được sẽ không giúp ích cho chúng. Điều đó có nghĩa là họ sẽ cần sử dụng các kỹ thuật khác hoặc chờ tin tặc mắc lỗi.
Đang theo dõi Breadcrumbs
Khi điều tra một hacker có tay nghề cao, pháp y máy tính sẽ tìm kiếm những sai sót nhỏ và bằng chứng tình huống. Bạn sẽ không có địa chỉ IP chỉ một mũi tên lớn màu đỏ vào nhà của kẻ tấn công. Thay vào đó, bạn sẽ có một loạt các đường dẫn nhỏ có thể giúp bạn phỏng đoán chính xác về những thủ phạm có khả năng xảy ra.
Sự phức tạp của một vụ hack có thể giới hạn thủ phạm tiềm năng thành những nhân viên có tay nghề cao. Các cơ quan tình báo Hoa Kỳ lưu giữ hồ sơ về các cuộc tấn công trước đó và liên hệ chúng với các tin tặc cụ thể, ngay cả khi họ không biết tên của chúng.
Ví dụ:cơ quan thực thi pháp luật Hoa Kỳ gọi hacker DNC là APT 29 hoặc Mối đe dọa liên tục nâng cao 29. Chúng tôi có thể không biết tên và địa chỉ của anh ta hoặc cô ta, nhưng chúng tôi vẫn có thể quy cho anh ta hoặc cô ta các vụ tấn công dựa trên phong cách, cách thức hoạt động và gói phần mềm.
Loại gói phần mềm được sử dụng trong vụ tấn công có thể cung cấp một mẫu "chữ ký". Ví dụ, nhiều tin tặc sử dụng các gói phần mềm được tùy chỉnh cao. Một số thậm chí có thể được truy ngược trở lại các cơ quan tình báo nhà nước. Trong vụ hack DNC, các nhà điều tra pháp y phát hiện ra rằng chứng chỉ SSL được sử dụng trong vụ hack này giống với chứng chỉ SSL được tình báo quân đội Nga sử dụng trong vụ hack quốc hội Đức năm 2015.
Đôi khi đó là những thứ thực sự nhỏ bé. Có thể đó là một cụm từ kỳ quặc được lặp đi lặp lại trong các giao tiếp ngẫu nhiên liên quan đến vụ hack với một cá nhân cụ thể. Hoặc có thể đó là một đường dẫn nhỏ do gói phần mềm của họ để lại.
Đó là một trong những cách mà các vụ hack DNC có liên quan đến Nga. Các nhà điều tra của vụ khai thác nhận thấy rằng một số tài liệu Word được phát hành bởi vụ hack cho thấy các bản sửa đổi của một người dùng có bản địa hóa Word bằng tiếng Nga và tên người dùng Cyrillic. Các công cụ lỗi thậm chí có thể tiết lộ vị trí của tin tặc. Tiện ích DDoS phổ biến Low Orbital Ion Cannon đã từng có một lỗi trong đó có thể tiết lộ vị trí của người dùng.
Công việc kiểu cũ của cảnh sát cũng giúp tìm ra tin tặc. Mục tiêu cụ thể có thể giúp xác định thủ phạm. Nếu cơ quan thực thi pháp luật xác định động cơ đằng sau cuộc tấn công, thì có thể quy kết động cơ chính trị. Nếu việc hack mang lại lợi ích đáng ngờ cho một nhóm hoặc cá nhân, thì rõ ràng là cần phải xem xét ở đâu. Tin tặc có thể đang chuyển tiền vào tài khoản ngân hàng và điều đó có thể được theo dõi. Và tin tặc không thể miễn nhiễm với việc “đánh chuột” vào nhau để cứu lấy làn da của chính họ.
Cuối cùng, đôi khi tin tặc chỉ cho bạn biết. Không có gì lạ khi thấy tin tặc khoe khoang trên Twitter hoặc IRC về những chiến tích gần đây của họ.
Nếu các nhà điều tra có thể theo dõi đủ đường dẫn, họ có thể bắt đầu xây dựng một bức tranh hoàn chỉnh hơn và cố gắng tìm kiếm một địa chỉ IP có ý nghĩa.
Bắt giữ tin tặc
Biết tên mã của tin tặc là một chuyện, nhưng thực sự bắt tay vào chúng lại là một chuyện khác. Thông thường, việc bắt giữ một hacker chỉ do một sai sót nhỏ. Ví dụ, lãnh đạo Lulzsec, Sabu, đã bị bắt khi anh ta sơ suất sử dụng Tor để đăng nhập vào IRC. Anh ta chỉ mắc lỗi một lần, nhưng đủ để các cơ quan khảo sát xác định vị trí thực tế của anh ta.
Kết luận
Cơ quan thực thi pháp luật phát hiện ra tin tặc theo nhiều cách đáng kinh ngạc. Nó thường do một sai lầm nhỏ nhưng nghiêm trọng của thủ phạm gây ra.