211service.com
Kinesiska hackare maskerade sig som Iran för att rikta sig mot Israel
AP Photo/Ng Han Guan
När hackare bröt sig in i datorer över hela Israels regering och teknikföretag 2019 och 2020, letade utredarna efter ledtrådar för att ta reda på vem som var ansvarig. De första bevisen pekade direkt på Iran, Israels mest kontroversiella geopolitiska rival. Hackarna använde verktyg som normalt förknippas med iranier, till exempel, och skrev på farsi.
Men efter ytterligare granskning av bevisen – och information som samlats in från andra fall av cyberspionage i Mellanöstern – insåg analytiker att det inte var en iransk operation. Istället utfördes det av kinesiska agenter som utgav sig för att vara ett team av hackare från Teheran.
Hackarna riktade sig framgångsrikt mot den israeliska regeringen, teknikföretag och telekommunikationsföretag – och genom att använda falska flaggor, verkar det som, hoppades de kunna vilseleda analytiker att tro att angriparna var från Israels regionala fiende.
Ny forskning från det amerikanska cybersäkerhetsföretaget FireEye, som arbetar med den israeliska militären, avslöjar det misslyckade bedrägeriet och beskriver de tekniker som hackarna använde i sina försök att lägga skulden någon annanstans.
Relaterad berättelse
Kinesiska hackare som utger sig för att vara FN:s råd för mänskliga rättigheter attackerar uigurer Kinesisktalande hackare riktar sig mot uiguriska muslimer med falska FN-rapporter och falska stödorganisationer, enligt en ny rapport.
Många av deras taktiker var ganska raka försök att antyda att de var iranska spioner, enligt forskningsrapporten, som att använda sökvägar som innehåller ordet Iran. Men angriparna ansträngde sig också för att skydda sin sanna identitet genom att minimera de kriminaltekniska bevis som de lämnade på komprometterade datorer och dölja den infrastruktur de använde för att bryta sig in i israeliska maskiner.
Men deras knep att peka finger mot Iran misslyckades. Hackarna, som FireEye hänvisar till som UNC215, gjorde flera viktiga tekniska misstag som sprängde deras skydd och kopplade dem starkt tillbaka till deras tidigare arbete. Till exempel använde de liknande filer, infrastruktur och taktik över flera operationer i Mellanöstern.
Det finns bitar som kommer att särskilja operatören eller deras sponsor, säger John Hultquist, vice vd för hotintelligens på FireEye. De kommer att blöda genom flera operationer oavsett bedrägeri.
Utöver flera tekniska giveaways är en annan viktig ledtråd vilken typ av information eller offer som hackarna riktade sig mot. UNC215 attackerar upprepade gånger samma typer av mål i Mellanöstern och Asien, alla direkt relaterade till Kinas politiska och finansiella intressen. Gruppens mål överlappar andra kinesiska hackergruppers mål, vilket inte alltid sammanfaller med kända iranska hackares intressen.
Du kan skapa betydande bedrägerier, men i slutändan måste du rikta in dig på det som intresserar dig, säger Hultquist. Det kommer att ge information om vem du är på grund av var dina intressen finns.
Det enda uppenbara motdraget till detta problem är att skjuta utredarna från spåren genom att gå efter mål som egentligen inte är av intresse. Men det orsakar sina egna problem: att öka aktivitetsvolymen ökar avsevärt chanserna att åka fast.
Fingeravtrycken som angriparna lämnade räckte för att så småningom övertyga israeliska och amerikanska utredare om att den kinesiska gruppen, inte Iran, var ansvarig. Samma hackningsgrupp har använt liknande vilseledande taktik tidigare. I själva verket kan den till och med ha hackat den iranska regeringen själv 2019, och lagt till ett extra lager till bedrägeriet.
Det är det första exemplet på ett storskaligt kinesiskt hack mot Israel, och kommer i kölvattnet av en flera miljarder dollar kinesiska investeringar i den israeliska teknikindustrin. De gjordes som en del av Beijings Belt and Road Initiative, en ekonomisk strategi avsedd att snabbt expandera kinesiskt inflytande och nå klart över Eurasien till Atlanten. USA varnade mot investeringarna med motiveringen att de skulle utgöra ett säkerhetshot.
Felriktning och feltilldelning
UNC215:s bedrägeri mot Israel var inte särskilt sofistikerat eller framgångsrikt, men det visar hur viktigt tillskrivning – och feltillskrivning – kan vara i cyberspionagekampanjer. Det ger inte bara en potentiell syndabock för attacken, utan det ger också diplomatisk täckning åt angriparna: när de konfronteras med bevis på spionage hävdar kinesiska tjänstemän regelbundet att det är svårt eller till och med omöjligt att spåra hackare. När en talesman för den kinesiska ambassaden i Washington DC nåddes för en kommentar sa att landet 'bestämt motsätter sig och bekämpar alla former av cyberattacker.'
Och försöket att vilseleda utredare väcker en ännu större fråga: Hur ofta lurar försök med falsk flagg utredare och offer? Inte så ofta, säger Hultquist.
Grejen med de här bedrägeriinsatserna är att om man tittar på händelsen genom en smal öppning så kan det bli väldigt effektivt, säger han. Men även om en enskild attack framgångsrikt tillskrivs felaktigt, kan en individuell attack framgångsrikt tillskrivas felaktigt, men under loppet av många attacker blir det svårare och svårare att upprätthålla charaden. Det är fallet för de kinesiska hackare som riktar sig mot Israel under 2019 och 2020.
'Det är väldigt svårt att hålla igång bedrägeriet över flera operationer.'
John Hultquist, FireEye
När man väl börjar knyta det till andra incidenter förlorar bedrägeriet sin effektivitet, förklarar Hultquist. Det är väldigt svårt att hålla igång bedrägeriet över flera operationer.
Det mest kända försöket till feltillskrivning i cyberrymden var en rysk cyberattack mot öppningsceremonin för vinter-OS 2018 i Sydkorea, kallad Olympic Destroyer . Ryssarna försökte lämna ledtrådar som pekade på nordkoreanska och kinesiska hackare – med motsägelsefulla bevis som till synes utformade för att förhindra att utredare någonsin skulle kunna komma till någon tydlig slutsats.
Olympic Destroyer är ett fantastiskt exempel på falska flaggor och attributionsmardröm, Costin Raiu, chef för det globala forsknings- och analysteamet vid Kaspersky Lab, twittrade just då.
Så småningom lade forskare och regeringar definitivt skulden för den händelsen på den ryska regeringen, och förra året USA anklagad sex ryska underrättelseofficerare för attacken.
De nordkoreanska hackare som från början misstänktes för hacket Olympic Destroyer har sig själva tappade falska flaggor under sin egen verksamhet. Men de fångades också till slut och identifierades av både privata forskare och USA:s regering, vilket anklagad tre nordkoreanska hackare tidigare i år.
Det har alltid funnits en missuppfattning om att tillskrivning är mer omöjligt än vad det är, säger Hultquist. Vi trodde alltid att falska flaggor skulle komma in i konversationen och förstöra hela vårt argument om att tillskrivning är möjlig. Men vi är inte där än. Dessa är fortfarande detekterbara försök att störa tillskrivningen. Vi fångar fortfarande detta. De har inte gått över gränsen än.