Cyber Warfare - analiza APTnotes data

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Temu rezervirala: Maja Vrbančić


Sadržaj

Uvod

Jačanje informatizacije I primjena IT-a u svim segmentima ljudskog života uvelike mijenja dosadašnje navike I aktivnosti svijeta. Stvaranje povezane zajednice putem interneta odnosno organiziranje vlade, vojske, školstva i raznih drugih aktivnosti vezanih uz funkcioniranje države pridonosi njenom rastu ali i stvara nove slabosti. S obzirom na prošlost i mnoga ratovanja između pojedinih zemalja postoje “ratne sjekire” koje i nisu toliko zanemarene.

Uzvraćanje udarca danas u 21. Stoljeću ima novi oblik i novu dimenziju a to je upravo iskorištavanje napretka i rasta IT-a u poslovanjima pojedine zemlje. Cyber Warfare je naziv za “napad” strane države na neku drugu državu putem računala i/ili mreže u svrhu stvaranja štete ili ometanja. Cyber Warfare nije nužno povezan s aktivnostima države već i nedržavnim kao što su terorističke organizacije, kriminalne organizacije ili skupine s određenim političkim ili ideološkim stavovima.


Cyber warfare

Kao što je i ranije navedeno Cyber Warfare je „napad” na neku državu putem računala i/ili mreže u svrhu stvaranja štete ili ometanja a posljedice utječu na cjelokupno funkcioniranje zemlje.

Velik broj država u sklopu vojske stvara novu strategiju obrane a odnosi se na ulaganje u cyber warfare sposobnosti. Cyber Warfare je oblik penetracijskog testa kojeg je državno tijelo obilježilo kao taktiku odnosno „oružje“ ratovanja. Primjer US modernizira cyber snagu(vježbe i diverzifikacije te limitiranje pristupnih točaka koje mogu služiti za napad), AL Qaeda guerrilla tactics (internet i financijske institucije koriste za subverzije tradicionalnog ratovanja),US hakiranjem tražile i isključile račune Bin Ladenu u nekoliko zemalja.

Primjenjuju se Penetration testing methodologies a države ih koriste za sprječavanje cyber napada na rizičnu infrastrukturu, smanjenje slabosti cijele zemlje za takve napade, minimiziranje štete i brz oporavak u slučaju napada te za zaštitu podataka o tajnim operacijama ili vojnim strategijama.


Karakteristike cyber warfare

Vrste prijetnja koje država ima. Cyber napadi i špijunaže. Špijunaža može izazvati velike nesuglasice i mogu biti okidač za daljnje akcije i „ratovanje“. Veće zabilježene špijunaže su one od strane SAD-a prema mnogim zemljama. NSA prema Njemačkoj, Bahamima, Keniji, Filipinima, Meksiku i Afganistanu te poznati „Titan Rain“ odnosno napad Kine na SAD. Sabotaža za razliku od špijunaže je čin "ratovanja". Direktno djeluje na računala i satelite koje države koriste kao komponentu upravljanja ostalim aktivnostima. Upravo zbog široke primjene i velikog utjecaja su oni najveća meta jer predstavljaju najveću slabost i priliku za napad. Primjer napad na vojne sustave utjecao bi komunikaciju, prometnu infrastrukturu, gorivo i vodu te time praktički uništio zemlju. Uz napad na državne sustave civilni životi su također pod povećalom jer je krađa brojeva kreditnih kartica otišla korak dalje i pojedinac može utjecati na tržište, promet i mrežu napajanja. Stuxnet je prvi primjer napada na kritičnu industrijsku infrastrukturu i dokaz da sustav obrane može biti i sustav napada suprotnoj strani.

Potencijalne mete napada su vojska, pojedinci(civili), aktivizam, privatni sektor i ne profitne organizacije.

Slika 1 - Simboličan prikaz cyber warfare-a (Preuzeto s https://sofrep.com/wp-content/uploads/2016/08/cyber-war.jpg, 2017)

Nedržavni subjekti mogu imati veliku ulogu u cyber krugu kao i državni što može dovesti do velikih i ozbiljnih posljedica. Male skupine dobrih hakera mogu jednako utjecati na globalnu politiku i cyber ratovanje kao i vladine organizacije. Glavna karakteristika hakera je dijeljenje, razvoj i širenje znanja na webu kako bi proširili svoje "naoružanje". Preuzimanje tuđih "kreacija" daje onim manje stručnim hakerima jednake sposobnosti i razmjere uništavanja. Crno tržište cyber oružja funkcionira na način kupnje i prodaje "oružja" najvišem ponuđaču bez obzira na posljedice i namjere.

APTnotes

APT bilješke predstavljaju skup različitih javnih dokumenata. Dokumenti, članci i bilješke temelje se na APT kampanjama. Advanced persistent threat je skup kontinuiranih računalnih procesa hakiranja od strane osobe ili grupe osoba usmjerenih na određenu cjelinu. APT najčešće targetira državne i/ili privatne organizacije s političkim ili nekim poslovnim motivima. "Advanced" označava sofisticirane tehnike zlonamjernog iskorištavanja ranjivosti sustava. Operateri iza prijetnje imaju cijeli razrađeni sustav prikupljanja tehnika. To uključuje računalo upada odnosno odnosi se na tehnologiju i tehniku ali može se proširiti i na standardne metode kao što su satelitske snimke i prisluškivanje telefonskih linija."Persistent" ukazuje na vanjski utjecaj i kontrolu tj. control and command system (C&C) preko kojeg se prate i uzimaju podaci ciljane mete u svrhu ispunjenja zadatka. Operatori daju prednost određenim zadatcima odnosno ne traže informacije o financijskim propustima ili nekim drugim segmentima. Razlika u namjerama implicira da su napadači vođeni vanjskim subjektima. A samo ciljanje se provodi kroz kontinuirano praćenje i interakcije u cilju postizanja utvrđenih koraka. "Threat" predstavlja prisutnost ljudskog faktora u napadima. APT napadi izvršavaju se pomoću koordiniranih radnji ljudi, a ne od nesavjesnih i automatiziranih komada koda. Operatori imaju određeni cilj, vještine i motivaciju te su dobro organizirani.

APT napadi

Napadi se odnose na cyber prijetnje i proboje. Primjer internet omogućava i olakšava špijunaže te razne načine i tehnike prikupljanja podataka s pristupom osjetljivim informacijama. Neke od opcija napada su napadi koji uključuju zaražene medije, napad na lanac nabave te socijalni inženjering(manipulacija ljudima u svrhu otkrivanja njihovih povjerljivih informacija).

Svrha ovakvih napada je umetnuti zlonamjerni kod na jedno ili više računala za određeni zadatak/zadatke te ostati što duže neotkriven. Poznavajući karakteristike napadača lakše je odrediti i pretražiti pogođene sustave. Važno je napomenuti da hakeri pojedinci nisu glavne uloge APT-a zbog nedostatka sredstava da budu uporni i dosljedni čak i iako imaju namjere dobivanja pristupa ili samog napada.

Brojni izvori navode da su neke APT skupine povezane ili su agenti neke država. Tvrtke koje imaju veliku količinu osobnih podatka imaju visoki rizik i mogućnost da budu meta. Sklonost napadaju imaju institucije vezane uz visoko obrazovanje i financijske institucije.

Postoje određeni kriteriji APT napada:

  • ciljevi - krajnji cilj prijetnje, protivnik
  • pravovremenost - vrijeme provedeno u probijanju i pristupu u sustav
  • resursi - razina znanja i alata koji se koriste
  • tolerancija rizika - opseg trajanja da će prijetnja ostati neotkrivena
  • vještine i metode - alati i tehnike koji se koriste u cijelom događaju
  • akcije - precizne akcije prijetnjom/prijetnjama
  • točke početka - broj mjesta gdje je nastao događaj
  • brojevi koji su uključeni u napadu - kako su uključeni brojni unutarnji i vanjski sustavi te koliko ljudi,sustavi imaju različit utjecaj tj. važnost
  • izvor znanja - sposobnost razlikovanja informacija dobivenih putem određenih prijetnji

Životni ciklus APT

APT s obzirom na svoju kompleksnost ima i određeni životni ciklus.

Slika 2 - Životni ciklus APT (Preuzeto s https://en.wikipedia.org/wiki/Advanced_persistent_threat, 2017)


Osobe koje stoje iza prijetnja utječu na financijsku imovine, ugled ili intelektualno vlasništvo te povećavaju rizik i slabosti ciljanog objekta. Prvo se cilja organizacija i određuje se jedan cilj. Zatim se stvara pristup okolini najčešće u obliku krađe identiteta e-maila te kroz kompromitirane sustave dolaze do cijele mreže. Nakon ulaza slijedi implementacija alata koji će odraditi posao odnosno ispuniti ciljeve i naravno najvažnije prikriti tragove za eventualno buduće ponovne dorade. Postoje i slični napadi koje slijede ovakav životni ciklus a pripadaju kineskim hakerima. Primjer :

  1. Initial compromise - uloga socijalnog inženjeringa i krađa identiteta (putem e-maila, zero-day), drugi oblik je stavljanje zlonamjernog sadržaja na web stranice koje će ciljani korisnik sigurno posjetiti
  2. Establish Foothold - stvoriti mogućnost daljinskog upravljanja softvera na mreži žrtve, stvaranje ulaza koji omogućuju pristup svojoj infrastrukturi
  3. Escalate Privileges - korištenje tuđih username-a i passworda kako bi se stekle administratorske ovlasti nad računalom žrtve i eventualno proširenje na Windows administrator domene
  4. Internal Reconnaissance - prikupljanje informacija o okolini infrastrukture
  5. Move Laterally - proširiti kontrolu na drugim računalima, poslužiteljima i infrastrukturnim elementima uz prikupljanje podataka o njima
  6. Maintain Presence - osigurati kontinuiranu kontrolu nad obuhvaćenim kanalima
  7. Complete Mission - filtriranje ukradenih podataka iz mreže žrtve

Prosječno razdoblje u kojem napadači kontroliraju mrežu žrtve je oko jedne godine, a najduži rok je pet godina .


GitHub repozitorij sadrži popis linkova na pojedine dokumente, nazive autora, godinu arhiviranja te ostale važne podatke. Ovakvom dokumentacijom nastoje se organizirati informacije, dokumenti, katalozi i podaci napada i raznih grupa. Na temelju dokumenata dostupnih na poveznici iznad obavljena je analiza.


Analiza

Prilikom analiziranja dokumenata izdvojena su neke zanimljivosti svakog. Valja napomenuti da nema službenih dokaza o napadačima, postoje samo sumnje i pojedini "propusti" koji ukazuju na moguću povezanost s bivšim napadima i organizacijama.

-kroz prošlost Kina je nekoliko puta optužena za napad i špijunažu nad SAD-om a ciljana područja su bila vezana uz zračne programe, podatke o svemirskim operacijama, informacije o nuklearnom oružju te o detaljima suradnje SAD-a s Taiwanom. Organizacije koje su prošle napad bile su Northrop Grumman, NASA, Los AlamosLaboratories, Boeing i ustanove koje su vezane uz obranu i vojsku. Kinezima su važne informacije u bilo kojem obliku jer nastoje od malih komadića stvoriti širu sliku kako bi mogli detaljnije razaznati o čemu se radi. Cyber warfare je najčešće u kombinaciji s drugim napadima.
Primjer PSYOPS(are planned operations to convey selected information and indicators to audiences to influence their emotions, motives, and objective reasoning, and ultimately the behavior of governments, organizations, groups, and individuals) te financijske operacije, ili kombinacija svega na razne načine. Danas napade olakšava rast IT-a odnosno Kina s 500 milijuna mobitela i 210 milijuna ljudi koji koriste internet( uključujući i 3g i 4g). IT podržava ekonomiju, znanost i razvoj tehnologije a s druge strane stvara ne tradicionalne sigurnosne prijetnje. Unošenje raznih podataka(registriranja/prijava) pripomaže stvaranju BigBrother-a(kao država nad stanovnicima).
-primjer stvaranja kontrole u Kini je informacija da svaki Kinez koji želi imati internet mora se prijaviti i registrirati preko lokalne policijski postaje unutar 30 dana, te slučaj sa nadziranjem tv-a, radija, novina - Great Firewall i cenzuriranje sadržaja i zabrana Google-a i YouTube-a. Kina sa zabranama i nadzorom stvara "napadače" unutar zemlje jer uz sve zabrane aktivisti i dalje šalju i organiziraju prosvjede, a strani blogeri koriste komercijalno dostupne satelite te su time i otkrili podatke kineske vojske nekoliko puta (submarine technology, a training facility used to prepare for a potential conflict with India, and the construction of a fourth satellite and missile launch facility in Hainan). Načini kako su došli do pojedinih informacija su proxy relays( odnosno preko servera koji je ima bazu preko granice), dizajnirani softveri, zaobilaženje, tuneliranje, enkripcija i spremljene stranice - > Tor (The Onion Router). Tko je počinio napade na The great firewall - Univ Cambridge, Univ of Toronto, M.I.T underground hackers vjerojatno iz zabave, ali hakeri okupljeni od stane vojnih bjegunaca Kine ali i script kiddie (nije expert u sigurnosti ali koriste pre-packaged automated tools pisanih od strane drugih i preuzetih online kao što su npr. WinNuke applications, Back Orifice, NetBus, Sub7, Metasploit, and ProRat). Vrste napada koje se koriste su : security exploit, proxy servers, spoofing attack; Webpage spoofing (olimpijske igre, codec za gledanje); Trojan (napadi na US, 2005 Oak Ridge National Laboratory and Los Alamos National Laboratory became infected - imena posjetitelja od 1994) labosi koji su bili važni za drugi svj rat., danas istraživanja nacionalne sigurnosti., nanotehnologije i energije; Rootkit ( Chinese hackers infiltrated “the Department of Commerce’s Bureau of Industry and Security, which manages export licensing of military-use products and information” using rootkits to allow privilege escalation ); Virus( The Panda Burning Incense - traženje i praćenje hakera); Crv ( The Code Red - US izviđački avion i borbeni kineski i Code Red II (ostavlja backdoor- university in Guangdong, China), Code Blue Worm - nakon Code Red reprogramirao da šalju napade na mete u Kini - security firma NS Focus ; Myfip -> pdf, word - Bank of America, BJ's Wholesale Club, Lexis - Nexis uz intelektualno kao dizajn proizvoda pokupio i popis i baze potrošača ); DoS/DDos ( Sobig, Mydoom crvi koji su napravili zombije, China hakeri imaju 750 tisuća zombi računala u SAD-u ).
- sposobnosti : China TITAN RAIN skupina napada od 2003 to 2006 na US i UK ;US - brine da se djelići info mogu staviti u veću sliku - puno podataka o istraživanju Marsa i vojske( software za planiranje misija); 6 - 30 hakera u 30 minuta kopirali podatke i slali na zombi računala u Južnoj Koreji, Hong Kongu ili Taiwanu i zatim routali na računala u Guagdongu zbog sakrivanja napadačevog identiteta; 2004, Arizona, Virginia, California i Alabama u 6 sati uzeli informacije o postrojenju obrane; China ISPs - mailovi i imena te osobne informacije više od 1500 zaposlenika, cijela mreža stavljena na offline ili zamijenjena; Pentagon uočio više od 79000 pokušaja raznih napada i upada
- zemlje napada uz US, Australia, France, Germany, India, Japan, New Zealand, South Korea, i UK
- Case studies:
  • napadi na Estoniju - taktika oslabljenje države utjecajem na cijene, pravnog okvira; DDoS napad i web stranice; IP adrese u napadu pripadale Rusima no nije dokazano( proxies or botnets); planovi napada su objavljeni na forumima, chat grupama s uputama slanja poruka ometanja i koje strane su mete. Rasprava o napadima je postala popularna da je Google indeksirao temu, uzrokujući stavljanje tih web str na vrh tražilice. Jedina osoba povezana Dmitri Galushkevich ;
  • Russo-Georgian war 2008 - DDoS napadi iz 6 različitih botneta, Rusi su probali spriječiti napade Gruzije na Rusiju ali su odgovorili na napadom na nove Ruske stranice. Nisu imali konkretnih dokaza da je Ruska vojska iza napada;
  • Project Chanology - moćna sila bez središnjeg vodstva. Anonymus napad na CoS(Church of Scientology) napad na razne kanale primjer YouTube, Facebook, Digg i Slashdot. Službeno lansiran u obliku videa na YouTubeu. Srušili web na 2 tjedna kad su Cos maknuli domenu, cca 9000 članova, midi DDoS, botnet može ic s 50000 računala
- Taktika neutralizacija uplinkova i downlinkova za sustave kroz različite oblike cyber napada, uključujući jednostavan DoS napad. Mali troškovi, više muha jednim manjim udarcem. Sposobni su uništiti većinu US elektronike, aute, mobitele i strujnu mrežu koristeći elektromagnetički puls. Uz državu nesigurne i tvrtke primjer je Huawei - hakirao Cisco, Indija odustala od posla zbog straha od gubitka nacionalne sigurnosti
- Kina je također sudjelovala u napadima na National security concil, Diplomatic missions, Military engineer service. Mete napada su bile Indijske ambasade u Belgiji,Srbiji, Njemačkoj, Italiji, Kirgistanu, US, Zimbabve-u; India, the Office of the Dalai Lama, and the United Nations.Numerous other institutions, including the Embassy of Pakistan in the US;
Tibetan organizations,including the Private Office of the Dalai Lama, the Tibetan Government-in-Exile, and several Tibetan NGOs in Europeand North America; mete su diplomati, aktivisti i ljudi koji se bore za ljudska prava;
-kako DDoS; Enfal trojan -> poveznica na www.indexnews.org; 2 dokumenta OHHDL kompresirani CAB, 100kb mrvica, encode base64, upload na server c2eteyes.com ista IP kao jdusnemaz.com. letter_currentdoc ->napadnuti svi koji su komunicirali s uredom DalaiLama; napad preko TOR-a ( napadnuti uredi nisu ni znali da ga koriste) praćenje korisnika
-Information operations je rezultat 10-mjesečnog istraživanja i analize fokusirane izjave Kine o špijunaži; postotak napada putem e-maila PRC 28,2%, Romania 21,1%, US 13,8 %
-Taktika kombinacija network-based technical istraživanja, analize podataka i vizualizacija, te istraživanje okoline; u napadu korišten 1 malware sensitive document a drugi network traffic; Shadow network - web stranice, mailovi, free hosting providers; domena - >jdusnemsaz.com sličnosti s prethodnim napadima; dns resolution : različite grupe napadača -> korisničko ime muv_asam208.net; pokušaji preko yahoo , blogspot, google-> kreirali normalne račune i koristili ih; email adrese yahoo command i control serveri ukazuju na free domain providers eo.tv i net.ru po IP i pod domenama jedna pripada Njemačkoj druga US; nakon što je free hosting postao nedostupan koriste blogove;


- analiza napada napravljena sa strane tvrtka Triumfant, Damballa, McAfee, HBGary i CA. Tvrtke čija je djelatnost sigurnost i zaštita informacijskih sustava
Slika 3 - Logo svih navedenih poduzeća
- napad na Google i 34 druge organizacije (neke od njih su Adobe Systems, Juniper Networks, Rackspace,Yahoo, Symantec, Northrop Grumman, ExxonMobil, ConocoPhillips,Dow Chemical and the Rand Corporation);
napadnuto intelektualno vlasništvo Google-a; pristupanje gmail računima od strane Kineskih aktivista za ljudska prava. Zemlje koje su bile pod napadom su United States, China, Germany, Taiwanand i United Kingdom.
-kako tri specifična koraka: execution of thedropper, the first stage of installation, and the second stage of installation; putem Trojan.Hydraq ;
CnC The electronic tether between the criminal operator, a control server and victims’ computers;
CnC Domain – The domain name of the host being used for CnC conduct or to route communications between the control server and the victim’s computer;
CnC Server – The server used by the botnet operators to rally and provide electronic tethers to victim computers
- tko je odgovoran za napade Chinese botnet operations team; kriminalne organizacije; CnC domene vode do Google China’s offices; Chinese Government; uz Kinu postoje sumnje i na Koreu, Indiju i Poljsku
- cyber warfare capability : Internet-based malware infection,Physical malware infection and External exploitation; The Aurora Stinger tool pronalazi i uklanja prijetnje vezane uz “Operation Aurora” napade; komunikacija je enkriptirana putem HTTP-a port 443; java-script exploit
- Triumfant: u 5 minuta prepoznaje i vraća sustav u rad prije napada, koristi dupli scan ciklus (One is a scan for markers of malicious activity that runs approximately every thirty seconds. The second is a continuous scan of every attribute on the machine that identifies and collects changes to those attributes and communicates them to the server on a 24 hour reporting cycle), sumirani podaci i procjena rizika direktno se šalje na njihov server
- Damballa: DNS monitoring logs obtained from CnC authority DNS servers; načini uočavanja neobičnih karakteristika
Malware Delivery Method (How does the malware get into the system? Is there a common delivery method or is it random?),
System Behavior (Are the symptoms evident in the system common to all Aurora malware families or do they differ? Do the families use the same infection techniques, protection mechanisms and/or AV evasion techniques?),
Network Behavior ( Do the malware families exhibit the same network behavior? );
Trojan.Hydraq (“spaghetti code” in which program elements are separated into small chunks and connected via jump instructions. This technique complicates following the code, and is similar to the tactics employed in old PE viruses that write to small spaces in the host and connect themselves through jump instructions)
- CA: kako hakeri stvaraju pristup : Reconnaissance, 0Day Hack Attack, Analiza - malicious JavaScript koji sakriva prave namjere koda,Hydraq Binary Shellcode - simple bitwise XOR encryption and 0xD8 as the key, otkriva sakrivene instrukcije; Win32/Hydraq backdoor features 10 command switches - which theoretically allow the remote attacker to perform almost everything;
- Malware designed for spying and obtaining sensitive information must have the following offensive capabilities:
  1. Probing - čin traženja, analiziranja i istraživanja.
  2. Exfiltration of sensitive information.
  3. Surveillance - sposobnost spremanja slika, audio i/ili video materijala.
  4. Covert Communication Channel - skrivena komunikacija ugrađena u nekom otvorenom komunikacijskom kanalu kako bi se izbjeglo otkrivanje na tekuće napade preko mreže.
  5. Covering Tracks - sposobnost ostati sakriven i izbjeći otkrivanje na detaljnoj analizi


-Rusija sponzorirala web brigade - PSYOPS, dezinformacije, spam, cyber bullying; hakeri napali plinovod i mrežu koristeći Trojan
- Napad na Gruziju : 2008 godine putem DDoS i SQL injection attacks. Direktan dokaz prema Rusiji nije dokazan ali su hakeri povezani s Ruskom federacijom i Russian Business Network(cybermafia that specializes in identity theft, child pornography, extortion and other dark and lucrative Internet crimes); stranice povezane s napadom su stranice: stopgeorigia.ru(host - Softlayer of Plano Texas -> Atrivo i Intercage malware) ili stopgeorgia.info (host - NETDIRECT Frankfurt, APOLLO LATTELEKOM APOLLO Latvija )te ostalih 36 važnih web stranica za razne napade (na US, UK ambasade u Tbilsiu, Gruzijski Parlament, sud, ministarstvo vanjskih poslova, novinske agencije...);
Važna IP adresa povezana s napadom (IP address: 79.135.167.49). - "name.avi.exe" 36 anti virus proizvoda moglo je detektirati
- 79.135.160.0/19 Siszemnet Telecom - rang IP adresa povezanih s malverzacijama kreditnim karticama + cybercrime vezan uz Russia Busomess Network routes
- poveznica odnosno trag u napadu je MachBot controller koji je najčešće korišten od strane Rusa
- taktika napada: napad na stranicu predsjednika Mikhail Saakashvili; napad na internet servere; Stranica ministra vanjski poslova : dvije rute - 1) US Blocked via TTnet Turkey; 2) Ukrajina available & slow; not accessible, cached (forged page) now only via redirect through Bryansk.ru; Stranica ministra obrane i predsjednika  : dvije rute - 1) US Blocked via TTnet Turkey; 2) Ukrajina Blocked via TTnet Turkeyavailable & slow; not accessible, cached (forged page) now only via redirect through Bryansk.ru; prebacivanje na drugu stranicu odnosno C&C server involved in these attacks is on the IP address 207.10.234.244(located in the United States )
- attackers disabled the sites using a built-in feature of MySQL, a software suite widely used by Web sites to manage back-end databases. The "benchmark" feature in MySQL allows site administrators to test the efficiency of database queries

DDoS na ministarstvo cca 0,5 million network packets per second,and up to 200–250 Mbits per second in bandwidth

- Napad na Estoniju, Litvu i Kirgistan
  • Estonija 2007 godine- napad zbog odvajanja u povijesti. Estonija je trebala biti pod ovlastima Rusije jer su je spasili od Nazi napada
  • Litva 2008 godine - kazna za prekid razgovora o EU-Russia odnosima napadnuto više od 300 web stranica
  • Kirgistan 2009 godine - napad na dan kad je Rusija stvarala pritisak na Kirgistan da zaustavi pristup US zračnoj bazi Bishkek(logistički centar za US u Afganistanu)
  • “Moonlight Maze" - napadi na US (NSA) 7 IP adresa koje ukazuju na Rusiju
- organizacije: NATO i OSCE analizirali napad, Estonija potaknuta napadom stvara CERT(organizacija odgovorna za vladine i civilne radnje vezane uz IT); povod za nove organizacije u EU - > The Organization for Security and Co-operation in Europe (OSCE) ; European Network and Information Security Agency (ENISA) ; The Committee on Industry, Research, and Technology (ITRE); The Committee on Civil Liberties, Justice, and Home Affairs (LIBE); EUROPOL
UN - > The International Telecommunication Union (ITU); Russia - Department K
- specifikacije:prvi napad na malu državu poput Estonije koja koristi internet za sve (glasanja, anketa, edukacija...), napad ih potaknuo na stvaranje novih sustava i dobre obrane
-Estonija kao i Gruzija, Litva and Kyrgyzstan dijeli Soviet satelite i svi su "navodno" napadnuti od strane Rusa
-sve zemlje su napadnute DDoS-om
-napadači:Russia - nikad dokazano(jedini trag IP adresa povezana s Rusijom),Herman Simm(prodao informacije Rusima o cyber sigurnosti i raketama), Estonia attackers : Dmitri Galushkevich(20 year old ethnic Russian(Estonian) who was convicted for the cyber attacks),Sergei Markov,(member of Russia’s State Duma lower house)
-Rusija je razvila specijalizirani menadžment i analitičku strukturu :
1.Council for Public Diplomacy that will develop a single point of view for both the Russian government and Russian businesses
2.create an advisor to the President of Russia for Information and Propaganda Activities in order to coordinate the foreign political information activities of the administration of the President, the government, different ministries, and the Russian Security Council
3. i 4.create state holding companies, one for foreign media affairs and one for the internet
5. creation of an information crisis action centre in order to ensure that Russia maintains the initiative when delivering the state message to the world
6.create an information countermeasures system that would counter enemy information operations
7. system on nongovernmental organizations that would operate throughout the world
8. training information warfare specialists

Uzorak analiziranih podataka

S obzirom na opseg obrađenih podataka ne možemo konkretno stvoriti primjenjivi uzorak ali općeniti zaključak je da svaka zemlja ima svoje taktike i načine. Motivi i razlozi napada variraju od zemlje do zemlje. Prema prikupljenim informacijama Rusija najčešće napade koristi kao oblik "osvete" dok Kina želi stvoriti jači vlastiti sustav na temelju informacija drugih zemalja. Najčešća vrsta napada je DDoS pa zatim Trojan. Autor napada vješto skriva svoja obilježja ali višestruki napadi jednog autora/skupine grupiraju se i stvara se karakterizacija pojedinog napada koja se kasnije primjenjuje i po propustu stvara identitet napadača.

Literatura

1. Penetration testing methodologies, preuzeto 13.01.2017.

2. „Titan Rain“ preuzeto 13.01.2017.

3. Advanced persistent threat, preuzeto 13.01.2017.

4. Popis aptnotes/data, preuzeto 13.01.2017.

5. Prikupljeni podaci iz APTnotes

Dobavljeno iz "https://security.foi.hr/wiki/index.php/Cyber_Warfare_-_analiza_APTnotes_data"
Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima