2800 uutta UNC-ryhmää vuodessa: miksi hakkereiden nimet hämmentävät asiantuntijoita

”Tunnistettava vihollinen on puoliksi voitettu”—mutta entä kun hakkeriryhmien nimet saavat asiantuntijat ja puolustajat yhtä sekaisin kuin Rubikin kuutio sokeilla käsillä? Digimaailman rikollisia nimetään hämmentävällä vauhdilla, eikä peloluettelojen päivittäminen ole enää pelkkää Excel-tabuvoimistelua vaan nykyään suorastaan elinehto. Perehdytäänpä siihen, miten 2800 uutta UNC-ryhmää vuodessa haastaa kyberturva-alan hermorakenteet!

Miksi nimiä tarvitaan—ja miten ne syntyvät?

Erilaisten haittaohjelmien, hyökkääjäryhmien ja operaatioiden nimeäminen on ollut osa kyberturvamaailmaa jo 2000-luvun alusta. Aluksi tutkijat tarjosivat APT-ryhmille (Advanced Persistent Threat) nimiä, jotta niiden tunnistaminen helpottui. Trend Micron Cédric Pernet kertoo, että mediatutkimuksissa APT-iskut tunnettiin joko hyökkääjäryhmän tai operaation nimellä. Nimet perustuivat usein johonkin teknisesti oleelliseen yksityiskohtaan—tai yksinkertaisesti siihen, miltä ne kuulostivat.

• Esimerkiksi vuoden 2010 ”Operation Aurora” nimettiin siksi, että yksi hyökkäyksessä käytetyistä malware-kansioista oli nimeltään Aurora.
• Ristiäisten kunniavieras oli tuolloin McAfeen teknologiajohtaja George Kutz– vain kaksi päivää Googlen julkaisun jälkeen!

Nimet auttavat erottamaan tarkoitushakuiset APT-hyökkäykset satunnaisista automaatiopommeista. Taustalla on pyrkimys ymmärtää ja paljastaa vastustaja, jonka tavoitteena on pysyä näkymättömissä. Kyllä, vastustajan nimeäminen on monesti puolustuksen ensimmäinen askel.

Jokaisella nimisekaannuksilla on omat sääntönsä

Nimeämiskäytännöt vaihtelivat vuosien varrella villisti yhtiöstä toiseen:

• Microsoft risti hyökkääjiä alkuaineiden mukaan (Nobellium, Zirconium)
• CrowdStrike käyttää eläinten ja adjektiivien yhdistelmiä (Fancy Bear, Wicked Panda)
• Trend Micro luottaa mytologiaan, esimerkiksi Earth Berberoka.
• Mandiant tykkää pitää homman kuivana ja käyttää APT- ja FIN-numeroita: ”APT” hallitustason kyberspionille, ”FIN” talousrikollisille ryhmille– tällä hetkellä 41 APT- ja 14 FIN-ryhmää heidän listoillaan.

Mutta varsinaiseksi ilmiöksi ovat nousseet UNC-ryhmät (”Uncategorized”)—vuonna 2021 pelkästään Mandiant kirjasi 2800 uutta tuntematonta UNC-ryhmää. Samaa tahtia niistä jotkut yhdistyvät tunnetmuihin APT- tai FIN-ryhmiin, toiset puolestaan jäävät omiksi sekasikiöikseen.

Nimimerkkikaaos: yksi ryhmä, monta synonyymiä

Kuvitellaanpa hetki: Mandiant puhuu APT28:sta, CrowdStrike puhuu Fancy Bearista ja Kaspersky puhuu Sofacysta. Yksi ja sama jengi, kolme nimeä, ja siinä kohtaa Excel-velholta loppuvat viimein pidikkeet pyyhkimelle. Useat tutkijat ja toimittajat rakentavatkin omia monikielisiä taulukoitaan pysyäkseen kärryillä siitä, kuka puhuu mistäkin.

Yleispätevää nimeämisen standardia ei kuitenkaan ole olemassa. ”CVE” teki sen haavoittuvuuksille, mutta hyökkääjäryhmien kohdalla yrityksillä on omat analyysikäytäntönsä ja tietomassansa. Toisille sama datakasa merkitsee täysin eri asioita kuin kilpailijalle. William Turner vertaa tilannetta tarinaan kuudesta sokeasta ja elefantista—jokainen tulkitsee otusta omalla tavallaan ja päätyy aivan eri johtopäätökseen.

• Nimen lainaaminen toiselta firmalta voi tarkoittaa, että tunnustaa rivien välistä heidän analyysinsä paremmaksi– ja sitä harva tutkija haluaa tehdä ilman kritiikkiä.
• Joskus samannimisen alle päätyy täysin eri ryhmiä, joskus taas tunnettu ryhmä synnyttää omia ”kampanjabrändejään”, kuten ”Winnti”.

Winntistä puheen ollen: nimi on ehtinyt tarkoittaa sekä useita haittaohjelmia että niiden käyttäjiä, lähinnä kiinalaistaustaisia ryhmiä. Lopulta Winnti on laimentunut merkityksettömäksi– kuin tusinatuoppi Oktoberfesteillä. Sama hämärä koskee Lazarus-ryhmää, jota liitetään yhä laajemmin Pohjois-Korean suuntaan, vaikka alkuperäinen yhteys olisi jäänyt jo historiaan.

Brändi syntyy, olipa hyökkääjä tutkija tai rikollinen

Nimeämisen takana ovat paitsi tutkijat, myös markkinamyönteisyys:

• CrowdStrike jopa tuottaa sarjakuvamaisia kuvauksia pahiksistaan.
• Tutkijoihin voi kohdistua paine linkittää löydös tunnettuun nimeen, koska tuttua ryhmää seuraava analyysi saa taatusti enemmän huomiota ja– kröhöm– on hyväksi myynnille.

Vaikeutta lisää se, ettei kyberrikollisryhmiä voi pitää jäykkänä pyramidirakenteena. Työkalut, jäsenet ja resurssit liikkuvat projektista toiseen. Niinpä yhdellä isolla uutisnimellä ei aina tavoita samaa porukkaa, kuin mitä markkinointi antaa ymmärtää.

Vuodesta 2020 alkaen rikollisyleisö otti ohjat omiin käsiinsä: ransomwaren ja kumppaniverkostojen avulla ryhmät tekivät itselleen verkkosivuja ja houkuttelivat uusia hakkerikumppaneita. Maze, Ryuk, Conti, REvil—nämä nimet kuulostavat räväkiltä, mutta mitä ne todella tarkoittavat?

• Jotkut tutkijat käyttävät niitä saumattomasti kuvaamaan koko ryhmää.
• Mandiant puolestaan pitää esimerkiksi Contia pelkkänä lunnasohjelmana, jota voivat käyttää useat ryhmät, eivätkä hyväksy yhtä nimeä yhtä joukkoa varten.

Toisin sanoen: kun uutisessa sanotaan ”Lockbit-ryhmä hyökkäsi”, totuus on usein monimutkaisempi– hyökkäyksen on voinut tehdä jälleenmyyjä, ei varsinainen kehittäjätaho. Siksi myös Anssi teki 2021 raportin Lockean-ryhmästä, joka hyödynsi useita palveluita kuten REvil, Egregor, Prolock tai Maze—eikä jättänyt nimeämistä vain lunnasohjelman brändille.

Nimeämiskäytäntö ei ole tiedettä, mutta ilman sitä kyberturva olisi kuin kartta ilman nimiä. Kannattaa siis pitää kirjanpito ajan tasalla—”taulukossa on turva”, vai miten se sanonta menikään?