Que se passe-t-il si un groupe de hackers que l’on pense faire partie de l’agence de renseignement d’un pays s’avère être un sous-traitant de hackers ? Ou des cybercriminels temporairement enrôlés pour travailler pour le compte d’un gouvernement ? « Les évaluations changent avec le temps », dit Lee. “Comme, ‘Nous vous avions dit que c’était Dirty Mustard et maintenant c’est Swirling Tempest’, et vous vous dites, qu’est-ce que c’est que ce bordel?” (La propre entreprise de Lee, Dragos, donne certes aux groupes de hackers des noms de minéraux qui ressemblent souvent à l’ancien système de Microsoft. Mais au moins Dragos n’a jamais appelé personne Gingham Typhoon.)
Lorsque j’ai contacté Microsoft au sujet de son nouveau schéma de dénomination, le responsable de son Threat Intelligence Center, John Lambert, a expliqué la raison d’être du changement : les nouveaux noms de Microsoft sont plus distincts, mémorisables et consultables. Contrairement au point de Lee sur le choix de noms neutres, l’équipe Microsoft voulait donner aux clients plus de contexte sur les pirates dans les noms, dit Lambert, identifiant immédiatement leur nationalité et leur motif. (Les instances qui ne sont pas encore entièrement attribuées à un groupe connu reçoivent un classificateur temporaire, note-t-il.)
L’équipe de Microsoft était également à court d’éléments – il n’y en a, après tout, que 118. « Nous avons aimé la météo parce que c’est une force omniprésente, c’est perturbateur et il y a un esprit apparenté parce que l’étude de la météo au fil du temps implique l’amélioration des capteurs, des données et des analyses », explique Lambert. “C’est aussi le monde des défenseurs de la cybersécurité.” Quant aux adjectifs qui précèdent ces termes météorologiques – souvent la véritable source de la comédie involontaire des noms – ils sont choisis par les analystes parmi une longue liste de mots. Parfois, ils ont une connexion sémantique ou phonétique avec le groupe de hackers, et parfois ils sont aléatoires. “Il y a une histoire d’origine pour chacun”, dit Lambert, “ou cela pourrait simplement être un nom sorti d’un chapeau.”
Il y a une certaine logique obstinée derrière l’étalement sans cesse croissant des poignées de groupes de hackers de l’industrie de la cybersécurité. Lorsqu’une entreprise de renseignement sur les menaces trouve des preuves d’une nouvelle équipe d’intrus sur le réseau, elle ne peut pas être sûre de voir le même groupe qu’une autre entreprise a déjà repéré et étiqueté, même si elle voit des logiciels malveillants, des victimes et des commandes familiers. et de contrôle entre les deux groupes. Si votre concurrent ne partage pas tout ce qu’il voit, il est préférable de ne faire aucune hypothèse et de suivre les nouveaux pirates sous votre propre nom. Ainsi, Sandworm devient Telebots, et Voodoo Bear, et Hades, et Iron Viking, et Electrum, et – soupir – Seashell Blizzard, car les analystes de chaque entreprise ont un aperçu différent de l’anatomie du groupe.
Mais, mis à part l’étalement, ces noms devaient-ils être si ridicules à première vue? Dans une certaine mesure, il peut être judicieux de donner des noms aux gangs de hackers qui les privent de leur prestige malveillant. Les membres du groupe russe de rançongiciels EvilCorp, par exemple, ne seront probablement pas satisfaits du changement de nom de Microsoft en Manatee Tempest. D’un autre côté, est-il vraiment approprié d’étiqueter un groupe de hackers iraniens qui cherche à pénétrer des éléments cruciaux de l’infrastructure civile américaine Mint Sandstorm, comme s’ils étaient une saveur exotique de désodorisant ? (L’ancien nom qui leur a été donné par Crowdstrike, Charming Kitten, n’est certainement pas meilleur.) être rebaptisée Caramel Tsunami, une marque digne d’une boisson Dunkin’, et déjà prise par une variété de cannabis ?