.
E se um grupo de hackers que se pensa fazer parte da agência de inteligência de um país acabar sendo um hacker de aluguel? Ou cibercriminosos recrutados temporariamente para trabalhar em nome de um governo? “As avaliações mudam com o tempo”, diz Lee. “Tipo, ‘Nós dissemos a você que era Dirty Mustard e agora é Swirling Tempest’, e você fica tipo, que porra é essa?” (A própria empresa de Lee, Dragos, reconhecidamente dá a grupos de hackers nomes de minerais que muitas vezes são confusamente semelhantes ao antigo sistema da Microsoft. Mas pelo menos Dragos nunca chamou ninguém de Gingham Typhoon.)
Quando entrei em contato com a Microsoft sobre seu novo esquema de nomenclatura, o chefe do Threat Intelligence Center, John Lambert, explicou a lógica por trás da mudança: os novos nomes da Microsoft são mais distintos, memoráveis e pesquisáveis. Em contraste com o argumento de Lee sobre a escolha de nomes neutros, a equipe da Microsoft desejado para dar aos clientes mais contexto sobre os hackers nos nomes, diz Lambert, identificando imediatamente sua nacionalidade e motivação. (Instâncias que ainda não foram totalmente atribuídas a um grupo conhecido recebem um classificador temporário, observa ele.)
A equipe da Microsoft também estava ficando sem elementos – afinal, existem apenas 118 deles. “Gostamos do clima porque é uma força penetrante, é disruptiva e existe uma alma gêmea porque o estudo do clima ao longo do tempo envolve melhorias em sensores, dados e análises”, diz Lambert. “Esse é o mundo dos defensores da segurança cibernética também.” Quanto aos adjetivos que precedem esses termos meteorológicos – muitas vezes a verdadeira fonte da comédia inadvertida dos nomes -, eles são escolhidos pelos analistas a partir de uma longa lista de palavras. Às vezes, eles têm uma conexão semântica ou fonética com o grupo de hackers e, às vezes, são aleatórios. “Há alguma história de origem para cada um”, diz Lambert, “ou pode ser apenas um nome de um chapéu.”
Há uma lógica certa e teimosa por trás da expansão cada vez maior de identificadores de grupos de hackers do setor de segurança cibernética. Quando uma empresa de inteligência de ameaças encontra evidências de uma nova equipe de invasores de rede, eles não podem ter certeza de que estão vendo o mesmo grupo que outra empresa já identificou e rotulou, mesmo que vejam malware, vítimas e comandos familiares. e infra-estrutura de controle entre os dois grupos. Se o seu concorrente não está compartilhando tudo o que vê, é melhor não fazer suposições e rastrear os novos hackers em seu próprio nome. Então Sandworm se torna Telebots, e Voodoo Bear, e Hades, e Iron Viking, e Electrum, e—suspirar—Seashell Blizzard, pois os analistas de cada empresa obtêm uma visão diferente da anatomia do grupo.
Mas, deixando de lado, esses nomes tinham que ser tão ridículos? Até certo ponto, pode ser sábio dar nomes a gangues de hackers que os roubam de seu glamour malévolo. Membros do grupo russo de ransomware EvilCorp, por exemplo, provavelmente não ficarão felizes com o fato de a Microsoft renomeá-los como Manatee Tempest. Por outro lado, é realmente apropriado rotular um grupo de hackers iranianos que busca penetrar em elementos cruciais da infraestrutura civil dos Estados Unidos como Mint Sandstorm, como se fossem um sabor exótico de purificador de ar? (O nome mais antigo dado a eles por Crowdstrike, Charming Kitten, certamente não é melhor). ser renomeado como Caramel Tsunami, uma marca condizente com uma bebida Dunkin ‘e que já foi tomada por uma cepa de cannabis?
.
