شاید برایتان سوال شده باشد که گروه های هکری APT گروه به چه صورت به کشور یا شخص خاصی نسبت داده میشود در هوش تهدید سایبری یا cyber threat intelligence مدلی با نام Diamond model ارایه شده است که به کمک آن حملات سایبری را به کشورها و هکرهای خاصی نسبت می دهند.

سورس مقاله:

https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf

مدل به صورت کلی چهار مولفه کلی دارد:

Actors, Infrastructure, Capability, and Victim

هکرها، زیرساخت، قابلیت و قربانی

برای پیدا کردن و نسبت دادن یک گروه یا کشور به یک حمله سایبری با استفاده از مدل الماس یا diamond model، می‌توانید این مراحل را دنبال کنید:

1.Actor Identification

شناسایی هکر:

داده‌ها و شواهد مربوط به حمله سایبری را جمع‌آوری کنید، مانند شاخص‌های در معرض خطر (IOC)، نمونه‌های بدافزار، یا گزارش‌های شبکه. این اطلاعات را برای شناسایی اثر انگشت(fingerprint) یا الگوهای منحصربه‌فردی که می‌تواند به شناسایی بازیگر پشت حمله کمک کند، تجزیه و تحلیل کنید.

2. Infrastructure Analysis

تجزیه و تحلیل زیرساخت:گروه های APT برای حمله از یک زیر ساخت استفاده می کنند domain ip و نام صاحب دامنه که اگر از دامنه و ip در حملات قدیمی استفاده شود یک معیار برای نسبت دادن حمله به گروه خاص می باشد و از همه مهم تر هر گروه APT دارای رفتار ثابت TTP هست.

3.Capability Assessment

ارزیابی قابلیت: معمولا گروه های APT هرکدام دارایی قابلیت مشخصی هستند چرا که در گذشته حملات داشتند که شناسایی شده اند و از این طریق ( تکنیک ها) نوع بدافزارها می توان پی برد سطح حمله مربوط به کدام گروه هکری است.

4.Victim Analysis

تجزیه و تحلیل قربانی: قربانی یا قربانیان حمله سایبری را تجزیه و تحلیل کنید. به دنبال انگیزه یا اشتراکات خاص مانند بخش صنعت، موقعیت جغرافیایی یا وابستگی های سیاسی باشید. این تجزیه و تحلیل ممکن است بینشی در مورد اهداف یا منافع مهاجم ارائه دهد.

5.Correlation and Attribution Determination

همبستگی و تعیین انتساب: اطلاعات جمع آوری شده از مراحل قبلی را برای ایجاد یک تصویر جامع ترکیب کنید. به دنبال اتصالات، همپوشانی‌ها و سرنخ‌های زمینه‌ای باشید که می‌تواند به شناسایی گروه یا کشوری که در پشت حمله سایبری است کمک کند. یافته ها را با اطلاعات تهدید موجود، داده های تاریخی و عوامل ژئوپلیتیکی ارجاع دهید.

 

توجه به این نکته مهم است که انتساب سایبری می تواند یک کار پیچیده و چالش برانگیز باشد که اغلب به تخصص فنی گسترده، تکنیک های تحلیل پیشرفته و همکاری با سازمان ها یا سازمان های اطلاعاتی مربوطه نیاز دارد. به‌علاوه، به دلیل ماهیت حملات سایبری که شامل تکنیک‌هایی مانند spoofing، false flags یا استفاده از واسطه‌ها کشور دیگه را به عنوان خاطی ردپا قرار گیرد مثل حملات که گروه APT چینی روی زیرساخت های آمریکا به اسم کشور ایران انجام دادند ، ممکن است همیشه با اطمینان مطلق امکان‌پذیر نباشد.