ある国の諜報機関の一部であると考えられていたハッカー グループが、雇われハッカーであることが判明した場合はどうなりますか? それとも、政府のために働くために一時的に徴兵されたサイバー犯罪者ですか? 「評価は時間の経過とともに変化します」と Lee 氏は言います。 「『ダーティ・マスタードだと言ったのに、今はスワールリング・テンペストだ』って言ったのに、あんたはどうした?」 (Lee 自身の会社である Dragos は、ハッカー グループに Microsoft の古いシステムと紛らわしいほど似ている鉱物名を付けていることは認めています。しかし、少なくとも Dragos は誰も Gingham Typhoon と呼んだことはありません。)
Microsoft に新しい命名方式について問い合わせたところ、脅威インテリジェンス センターの責任者である John Lambert 氏は、変更の背後にある論理的根拠を説明しました。 中立的な名前の選択に関する Lee の指摘とは対照的に、Microsoft チームは、 欲しかった ランバート氏によると、顧客の名前にハッカーについてのより多くのコンテキストを与えるために、顧客の国籍と動機をすぐに識別できます。 (既知のグループにまだ完全には属していないインスタンスには、一時的な分類子が与えられる、と彼は指摘します。)
Microsoft のチームも要素を使い果たしていました。結局のところ、要素は 118 しかありません。 「私たちは天気が好きでした。なぜなら、それは広範囲にわたる力であり、破壊的であり、時間の経過に伴う天気の研究にはセンサー、データ、および分析の改善が必要だからです」と Lambert 氏は言います。 「それはサイバーセキュリティ防御者の世界でもあります。」 これらの気象用語の前にある形容詞 (多くの場合、名前の不注意な喜劇の本当のソース) については、それらは長い単語リストからアナリストによって選択されます。 ハッカーグループとの意味的または音声的なつながりがある場合もあれば、ランダムな場合もあります。 「それぞれにいくつかの起源の物語があります」とランバートは言います。
サイバーセキュリティ業界で増え続けるハッカー グループのハンドルの無秩序な広がりの背後には、特定の頑固な論理があります。 脅威インテリジェンス企業がネットワーク侵入者の新しいチームの証拠を発見した場合、別の企業が既に発見してラベルを付けたのと同じグループを見ていると確信できません。 2 つのグループ間の制御インフラストラクチャ。 競合他社が見たものすべてを共有していない場合は、仮定をせずに、自分の名前で新しいハッカーを追跡することをお勧めします. サンドワームは、テレボット、ブードゥー ベア、ハデス、アイアン バイキング、エレクトラム、そして—はぁ— シーシェル ブリザード。各企業のアナリストは、グループの構造をさまざまに垣間見ることができます。
しかし、それはさておき、これらの名前は非常にばかげている必要がありましたか? 悪意に満ちた魅力を奪うハッカー ギャングに名前を付けるのは、ある程度賢明かもしれません。 たとえば、ロシアのランサムウェア グループ EvilCorp のメンバーは、Microsoft が自社を Manatee Tempest に改名したことに満足していないようです。 一方で、米国の民間インフラストラクチャ Mint Sandstorm の重要な要素に侵入しようとしているイランのハッカーのグループを、エキゾチックなフレーバーの芳香剤であるかのようにラベル付けすることは本当に適切ですか? (Crowdstrike によって彼らに付けられた古い名前、Charming Kitten は、確かにそれ以上のものではありません。) Candiru として知られるイスラエルの雇われハッカー傭兵は、彼らのサービスを ジャーナリストや人権活動家を標的とする政府、ダンキン飲料にふさわしいブランドであり、すでに 大麻の株?