Microsoft, CrowdStrike, Palo Alto Networks и Google объявили о создании глоссария спонсируемых государствами хакерских групп и киберпреступников, чтобы стандартизировать их наименования. CrowdStrike и Microsoft планируют привлечь к инициативе других партнёров по отрасли и правительство США.
Корпоративный вице-президент по безопасности Microsoft Васу Джаккал заявила, что проект должен ускорить совместный ответ и обеспечить защиту от злоумышленников.
Компании в сфере кибербезопасности давно присваивают хакерским группам кодовые названия, поскольку привязка злоумышленников к определённой стране или организации может быть затруднена, а исследователями нужен способ описывать тех, с кем приходится иметь дело.
Некоторые названия сухие и функциональные, как хакерская группировка APT1, раскрытая ИБ-компанией Mandiant, или TA453, отслеживаемая Proofpoint. Другие имеют более абстрактные наименования, включая Earth Lamia и Equation Group, раскрытые TrendMicro и «Лабораторией Касперского».
Наиболее популярными стали прозвища, придуманные CrowdStrike: Cozy Bear и Kryptonite Panda для обозначения российских и китайских хакерских групп. Если Microsoft называет одну группировку Midnight Blizzard, то другие поставщики решений безопасности знают её как Cozy Bear, APT29 или UNC2452.
В 2016 году Secureworks начала использовать названием Iron Twilight для российских хакеров, которых ранее компания отслеживала как TG-4127. Microsoft недавно обновила систему присвоения прозвищ, отказавшись от названий, которые основаны на химических элементах — Rubidium. Вместо этого корпорация перешла к погодным наименованиям: Lemon Sandstorm и Sangria Tempest.
Однако причудливые имена уже приводили к проблемам. Когда в 2016 году правительство США выпустило отчёт о попытках взлома, связанных с президентскими выборами 2016 года, это вызвало путаницу из-за упоминания 48 различных прозвищ, приписанных ряду российских хакерских групп и вредоносных программ, в том числе Sofacy, Pawn Storm, Chopstick, Tsar Team и OnionDuke.
Главный технический директор подразделения по анализу угроз в Palo Alto Networks Майкл Сикорски заявил, что последняя инициатива «меняет правила игры». По его словам, разные правила наименования одних и тех же субъектов угрозы создают путаницу именно в тот момент, когда специалистам нужна ясность.
Ведущий исследователь ИБ-компании SentinelOne Хуан-Андрес Герреро-Сааде скептически отнёсся к инициативе, отметив, что фирмы в сфере кибербезопасности скрывают информацию. Если ситуация не изменится, «это будет просто маркетинговой пыльцой, посыпанной поверх реалий бизнеса», подчеркнул Герреро-Сааде.
Топ-менеджер CrowdStrike Адам Мейерс сообщил о пользе стандартизации названий, поскольку она помогла аналитикам провести связь между Salt Typhoon и Operator Panda.
Источник: habr.com