Atacatorii care au o țintă predefinită încep să folosească o serie de tehnici de diversiune pentru a fi mai greu de identificat, plasând indicii false privind momentul în care acționează, limba vorbită sau programul malware și desfășurându-și activitatea sub acoperirea unor grupuri inexistente. Acestea sunt concluziile unei lucrări prezentate la Virus Bulletin de cercetătorii Kaspersky Lab Brian Bartholomew și Juan-Andres Guerrero-Sade. Identitatea grupului aflat în spatele unui atac cu țintă predefinită este întrebarea la care toată lumea își dorește să primească răspuns, în ciuda faptului că este dificil, dacă nu chiar imposibil, de stabilit cu exactitate autorii. Pentru a demonstra complexitatea tot mai mare și greutatea atribuirii atacurilor în contextul actualelor amenințări, doi experți Kaspersky Lab au publicat o lucrare în care dezvăluie cum grupările avansate de atacatori folosesc indicii false pentru a induce în eroare victimele și cercetătorii din domeniul securității.
Indiciile cel mai des folosite de cercetători pentru a sugera sursa atacurilor, împreună cu ilustrarea modului în care anumite grupuri de atacatori le-au folosit, includ indicii temporale. Fișierele malware includ o marcă temporală care indică momentul în care au fost realizate. Dacă sunt strânse suficiente mostre, se pot determina orele în care dezvoltatorii au lucrat la ele, ceea ce indică un anumit interval de timp în care și-au desfășurat operațiunile. Astfel de marcaje sunt însă foarte ușor de modificat.
Indicii de limbaj: fișierele malware includ, adesea, indicii despre autorii din spatele codului. Cel mai evident este acela privind limba sau limbile vorbite și nivelul de cunoaștere a acestora. Alte elemente pot dezvălui, de asemenea, un nume de utilizator, precum și convențiile interne de a denumi proiecte sau campanii. În plus, documentele phishing pot conține metadate care pot salva, involuntar, informații care să ducă la computerul real al unui autor.
