Подразделение Cyber National Mission Force (CNMF), входящее в состав Кибернетического командования США (US Cyber Command, USCYBERCOM), запустило новый проект , в рамках которого Министерство обороны страны будет размещать на VirusTotal незасекреченные образцы вредоносного ПО, используемого в атаках различных APT-группировок. Данные будут доступны в новой учетной записи CNMF в сервисе VirusTotal, а также через аккаунт USCYBERCOM в Twitter, где ведомство пообещало публиковать ссылки на все свежие загрузки.
Новая инициатива получила неоднозначную реакцию со стороны ИБ-сообщества. Некоторые эксперты поддержали проект, но нашлись и те, кто охарактеризовал его как новую попытку "обличить и посрамить" западных правительств, которые в последний год предпринимали активные действия по раскрытию и обвинению киберпреступных группировок, предположительно связанных с Китаем, РФ, Ираном и Северной Кореей.
Вместе с тем ряд экспертов больше интересует вопрос, каким образом новая инициатива повлияет на будущие операции APT-группировок. Как отметил в интервью изданию ZDNet аналитик компании ESET Алексис Дорейс-Джонкас (Alexis Dorais-Joncas), раскрытие хакерских инструментов не означает, что они автоматически станут полностью бесполезными, скорее, злоумышленники просто адаптируются.
"Я бы сказал, разоблачение полных [тактик, техник и процедур] наряду с публикацией образцов вредоносного ПО нанесет больший вред атакующим, поскольку им придется изменить весь процесс атаки (механизмы распространения и заражения, сохранение присутствия, протоколы связи и т.д.). Не похоже, чтобы USCYBERCOM предоставляло такой контекст вместе с образцами, которыми они делятся, так что это может ограничить преимущества их инициативы", - подчеркнул специалист.
Кроме того, эксперты выразили опасения по поводу используемого ведомством термина "незасекреченное вредоносное ПО", под которым может подразумеваться не только рекламное ПО и классические загрузчики, но и более опасные угрозы.
"Эта попытка вполне может подвергнуть нас новым угрозам, требующим серьезного анализа", - считает специалист FireEye Джон Халткуист (John Hultquist). С данной точной зрения согласен и Дорейс-Джонкас.
"Я бы тоже не полагал, что незасекреченное вредоносное ПО автоматически будет уже известно исследователям", - добавил он.