Với tin tức về tin tặc Nga ảnh hưởng đến cuộc bầu cử tổng thống Mỹ, nhiều người trong giới truyền thông đã tự hỏi làm cách nào chúng tôi xác định tin tặc. Có một số cách mà các chuyên gia bảo mật mạng có thể tìm thấy nguồn đằng sau một hack.

Các địa chỉ IP

Cách đầu tiên và rõ ràng nhất để theo dõi một hacker là với địa chỉ IP của họ. Bây giờ, bất kỳ hacker nào đáng giá muối của họ sẽ sử dụng địa chỉ IP thiếu thông tin có ý nghĩa. Họ sẽ làm việc trên Tor, qua một VPN, hoặc thậm chí trong một không gian công cộng. Nhưng chúng ta hãy giả định rằng tin tặc mà chúng tôi muốn theo dõi là không có kinh nghiệm đặc biệt hoặc họ vô tình để lộ địa chỉ IP của họ. Tìm chúng bằng IP của chúng có thể hoạt động như sau:

1. Các hacker thành công đạt được mục tiêu của họ (bất cứ điều gì có thể được) nhưng lá đằng sau các bản ghi hiển thị truy cập mạng từ một địa chỉ IP cụ thể.

2. Công ty hoặc cá nhân bị tấn công vượt qua các nhật ký đó để thực thi pháp luật.

3. Cán bộ thực thi pháp luật nộp đơn yêu cầu ISP để tìm ra người sở hữu địa chỉ IP đó hoặc ai đang sử dụng địa chỉ đó vào thời điểm bị tấn công. Sau đó, các nhà điều tra có thể liên kết địa chỉ IP này với vị trí thực tế.

4. Sau khi nhận được lệnh, các điều tra viên di chuyển đến vị trí thực tế được chỉ định bởi địa chỉ IP và bắt đầu điều tra.

5. Nếu hacker của chúng tôi đã thực sự câm, các nhà điều tra sẽ tìm thấy bằng chứng về hack ở khắp mọi nơi. Nếu vậy, nó sẽ là một thử nghiệm ngắn trước khi tin tặc được gửi đến nhà tù vì tội ác của mình.

Tất nhiên, với hầu hết các tin tặc làm việc đằng sau proxy, các địa chỉ IP thu được bởi thực thi pháp luật sẽ không chỉ cho họ bất cứ nơi nào hữu ích. Điều đó có nghĩa là họ sẽ cần phải sử dụng các kỹ thuật khác hoặc chờ tin tặc phạm sai lầm.

Đang theo dõi Breadcrumbs

Khi điều tra một hacker có tay nghề cao, máy tính pháp y đi xuống để tìm kiếm những sai lầm nhỏ và bằng chứng hoàn cảnh. Bạn sẽ không có địa chỉ IP chỉ một mũi tên màu đỏ lớn ở nhà của kẻ tấn công của bạn. Thay vào đó, bạn sẽ có một loạt các mẩu bánh mì nhỏ có thể giúp bạn đoán đúng về các thủ phạm có khả năng.

Sự phức tạp của một hack có thể hạn chế những thủ phạm tiềm năng đối với các tác nhân có tay nghề cao. Cơ quan tình báo Mỹ giữ hồ sơ của các cuộc tấn công trước đó và tương quan chúng với các tin tặc cụ thể, ngay cả khi họ không biết tên của họ.

Ví dụ, thực thi pháp luật của Mỹ được gọi là hacker của DNC APT 29, hoặc mối đe dọa dai dẳng liên tục 29. Chúng tôi có thể không biết tên và địa chỉ của họ, nhưng chúng tôi vẫn có thể phân bổ cho họ dựa trên phong cách của họ, modus operandi và gói phần mềm.

Loại gói phần mềm được sử dụng trong bản hack có thể cung cấp mẫu chữ ký. Ví dụ: nhiều tin tặc sử dụng các gói phần mềm được tùy chỉnh cao. Một số thậm chí có thể được truy trở lại các cơ quan tình báo nhà nước. Trong vụ tấn công DNC, các nhà điều tra pháp y đã phát hiện ra rằng chứng chỉ SSL được sử dụng trong hack giống hệt với chứng chỉ được sử dụng bởi tình báo quân sự Nga trong cuộc tấn công năm 2015 của quốc hội Đức.

Đôi khi đó là những điều thực sự nhỏ bé. Có lẽ đó là một cụm từ kỳ lạ được lặp đi lặp lại trong các liên lạc ngẫu nhiên có liên quan đến việc hack lại cho một cá nhân cụ thể. Hoặc có thể đó là một mẩu bánh mì nhỏ còn lại bởi gói phần mềm của họ.

Đó là một trong những cách mà DNC hack được liên kết với Nga. Các nhà điều tra của vụ khai thác nhận thấy rằng một số tài liệu Word được phát hành bởi bản hack cho thấy những sửa đổi của một người dùng với một bản địa hóa tiếng Nga của Word và một tên người dùng Cyrillic. Các công cụ lỗi thậm chí có thể tiết lộ vị trí của tin tặc. Tiện ích DDoS phổ biến Low Orbital Ion Cannon đã từng có một lỗi trong đó sẽ tiết lộ vị trí của người dùng.

Công việc cảnh sát kiểu cũ cũng giúp tìm tin tặc. Mục tiêu cụ thể có thể giúp xác định thủ phạm. Nếu thực thi pháp luật xác định động lực đằng sau cuộc tấn công, nó có thể là possibile để thuộc tính động lực chính trị. Nếu hack là một lợi ích đáng ngờ đối với một nhóm hoặc cá nhân, thì rõ ràng là phải tìm ở đâu. Tin tặc có thể đang chuyển tiền vào tài khoản ngân hàng và có thể theo dõi được. Và tin tặc không được miễn dịch “ratting” với nhau để tiết kiệm làn da của chính họ.

Cuối cùng, đôi khi tin tặc chỉ nói với bạn. Nó không phải là không phổ biến để xem tin tặc khoe khoang trên Twitter hoặc IRC về khai thác gần đây của họ.

Nếu các nhà điều tra có thể theo dõi đủ số lượng đường dẫn, họ có thể bắt đầu xây dựng một bức tranh hoàn chỉnh hơn và cố gắng để có được bàn tay của họ trên một địa chỉ IP có ý nghĩa.

Bắt giữ tin tặc

Đó là một điều để biết tên mã của một hacker, nhưng đó là một điều khác để thực sự có được bàn tay của bạn trên chúng. Thông thường, việc bắt giữ một hacker đến một lỗi nhỏ. Ví dụ, lãnh đạo của Lulzsec, Sabu bị bắt khi anh ta quên sử dụng Tor để đăng nhập vào IRC. Anh ta chỉ phạm sai lầm một lần, nhưng nó đủ cho các cơ quan giám sát anh ta để xác định vị trí thực của anh ta.

Phần kết luận

Thực thi pháp luật tìm thấy tin tặc theo nhiều cách khác nhau. Nó thường đi xuống đến một sai lầm nhỏ nhưng quan trọng được thực hiện bởi thủ phạm.