Место регистрации IP-адресов и доменов, участвующих в атаке или предоставляющих инфраструктуру для реализации атаки. При этом анализируется не только страна регистрации, но и сопутствующая информация, которая может быть получена с помощью сервиса WHOIS: ФИО владельца домена или IP-адреса, его контакты. Все это позволяет при превышении определенного порогового значения сделать вывод о стране, которая стоит за кибернападением. Если же злоумышленник не очень квалифицированный, можно идентифицировать и физическое место расположения источника атаки.
Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится. Такой функционал есть у многих маршрутизаторов, на которых построен Интернет. Помимо механизма Traceback, использующегося на сетевом оборудовании. для идентификации злоумышленников могут быть использованы фильтрация трафика на интерфейсах маршрутизатора (ingress filtering), протокол ICMP для возврата отброшенного на жертву трафика обратно его инициатору. Например, в случае шпионской кампании Лунный лабиринт (Moonlight Маzе>]0), направленной против ВПК США. НАСА и ряда американских государственных структур, отследить организаторов удалось именно путем анализа обратного маршрута до серверов, зарегистрированных в России (правда, связь с государственными структурами так и не была установлена).
Временные параметры. Как показали ранее приведенные примеры. нередко исследователи анализируют время создания вредоносного кода, время начала операции в киберпространстве или время наибольшей активности. Пусть и с оговоркаьш. но эта информация может служить основой дальнейшего анализа. И хотя она не укажет на конкретного нарушителя, она позволит сузить число стран, которые могли бы быть причастны к анализируемой ситуации.
Анализ программного кода, в котором могучи быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке. Анализ функциональности программного кола позволяет сузить число возможных нарушителей. Например, анализ кода Stuxnet показал, что для его создания надо было не только знать, как работают центрифуги IR-1 в Натанзе, но и иметь стенд для проверки работоспособности вредоносного кода, который позже вывел из строя большое количество центрифуг по обогащению урана. Но многие ли акторы способны приобрести центрифуги для тестирования Это позволило существенно снизить число возможных нападавших. а дополнительные сведения позволили даже назвать государства, которые стояли за разработкой Stuxnet, — США и Израиль.