Атрибуція «Російської кіберармії»

Контекст

Російська кіберармія здійснює координовані кібератаки, діючи під псевдонімами, з використанням інструментів анонімізації та фрагментованої мережевої інфраструктури. Їхня діяльність спрямована проти українських інституцій та міжнародних організацій, що робить деанонімізацію (атрибуцію) ключовим елементом для планування оборони та притягнення до відповідальності. Метою цього розслідування було розкрити анонімність ключових членів угруповання шляхом пов'язання їхньої активності в мережі з верифікованими персональними даними, а також структурування операційної моделі групи.

Методологія

У цьому розслідуванні використовувався багаторівневийалгоритм OSINT (розвідки на основі відкритих джерел) та кібератрибуції длядеанонімізації суб'єктів шляхом перехресного порівняння їхніх цифрових слідів іповедінкових патернів у соціальних мережах та злитих базах даних. Завдякипоєднанню технічного аналізу інфраструктури атак із мережевим картуваннямслідів комунікації, дослідження встановило чіткі міжособистісні та операційнізв'язки між цілями. Усі результати були підтверджені шляхом систематичної перевіркиз різних джерел задля забезпечення точності атрибуції та виявлених збоїв усистемі безпеки.

Атрибуція та профілювання персоналу

• Кілька членів Російської кіберармії були деанонімізовані та ідентифіковані за їхніми справжніми (юридичними) іменами та особистими даними.
• Для цих осіб було створено комплексні поведінкові профілі, що сформувало базову лінію (baseline) їхньої активності в мережі.
• Такий рівень ідентифікації дозволяє остаточно приписати (атрибутувати) минулі атаки конкретним реальним особам.

Структурне та операційне картування

• Внутрішнюієрархію групи було задокументовано з детальним описом того, як ролі та     обов'язки розподіляються між її членами.
• Було встановлено прямі зв'язки між конкретними особами та координацією різних     кампаній атак.
• Картування цих міжособистісних відносин демонструє, як група організовує свою     логістику та командну структуру під час активних операцій.

Технічні відбитки та збої в безпеці

• Аналіз інфраструктури атак і патернів шкідливого програмного забезпечення виявив набір стійких операційних звичок і технічних ознак (сигнатур).
• Суттєві прорахунки в операційній безпеці (OPSEC), такі як повторне використання імен користувачів і збіг метаданих, стали головним каталізатором деанонімізації.
• Повторювані технічні відбитки дозволяють дослідникам відстежувати та пов'язувати численні інциденти з однією і тією ж інфраструктурою та тими самими суб'єктами.