Российских и украинских хакеров обвинили в политически мотивированных кибератаках: СМИ США подозревают взломщиков из России в проникновении в сеть Белого дома, а глава ДНР Александр Захарченко заявил, что хакерские атаки на официальные интернет-ресурсы самопровозглашенной республики организовала Украина. «Газета.Ru» разбиралась, как на самом деле выявляются источники и заказчики компьютерных атак.

Американские власти все чаще поднимают тему международных взломов и хакерских атак, при этом им придается политический контекст. Со стороны чиновников, военных, политиков, в том числе президента США, все чаще слышны заявления, что это может стать основанием для международных санкций как против отдельных лиц, так и целых государств. И все чаще эти заявления делаются на базе неких «следов» хакеров, которые позволяют связать их не только со страной, но и с конкретными государственными структурами.

В частности, именно на некие «маркеры» и «признаки» ссылаются представители ФБР, обвиняя хакеров, якобы связанных с правительством России, во взломе компьютерной сети Госдепартамента США, через которую была совершена атака на Белый дом, приведшая к хищению ценной для иностранных разведок информации о деятельности президента США.

Несмотря на то что Барак Обама уже распорядился ввести против взломщиков финансовые санкции, официальных обвинений в адрес России не выдвигалось. Пресс-секретарь президента России Дмитрий Песков опроверг прессе причастность России ко взлому, однако это тоже нельзя назвать официальной реакцией Москвы.

При этом все эти события создают определенный имидж России в американском обществе, а потенциальная угроза санкций, связанных с ограничением пользования интернетом, создает соответствующие рисковые ожидания, например, у российского бизнеса.

Если вспомнить самые громкие хакерские и вирусные скандалы последних двух лет, то до определенного момента в них всегда присутствовали какие-то осязаемые доказательства. Так, хакерская деятельность Агентства национальной безопасности США (АНБ) была предана гласности благодаря секретным документам американских спецслужб, раскрытым Эдвардом Сноуденом.

В свою очередь, данные о черве Stuxnet, который вывел из строя компьютерные системы иранских ядерных объектов, и вирусе, поражающем управляющие программы жестких дисков компьютеров, а потому невидимом для антивирусов, которые обнаружили специалисты «Лаборатории Касперского» на правительственных компьютерах России и Ирана, содержатся в документах, которыми располагает Эдвард Сноуден.

Обвинения США в мае прошлого года, связанные с промышленным шпионажем на стратегических американских предприятиях, в адрес Народно-освободительной армии Китая (НОАК) также носили вполне конкретный характер и были предъявлены конкретным китайским офицерам.

Однако, начиная со взлома Sony Pictures, обвинительная риторика базируется на косвенных взаимосвязях, таких как оскорбление Ким Чен Ына в фильме «Интервью» и некие признаки, указывающие на северокорейское авторство вредоносных программ. При этом американские эксперты по кибербезопасности говорят о том, что обвинения ФБР выглядят нелепо, так как хакерские программы, в том числе и северокорейского производства, лежат в свободном доступе в интернете.

Риторика президента Обамы по поводу предполагаемой атаки КНДР на Sony Pictures менялась от «кибервандализма» до «атаки на США». После конференции Белого дома по кибербезопасности в Стэнфордском университете, где Барак Обама объявил о недопустимости угроз глобальному развитию цифровой экономики США и применении ответных действий в случае их возникновения, хакерские взломы стали трактоваться исключительно как атаки, угрожающие национальной безопасности Соединенных Штатов.

Так как можно вообще установить источник атаки и доказать причастность к ней какого-то государства?

«Как правило, источник угрозы фиксируется с помощью анализа метаданных, а также следов, оставленных самими атакующими. Соответственно, если злоумышленники действовали осмотрительно, точность идентификации существенно снижается», — говорит Артем Баранов, ведущий вирусный аналитик ESET Russia.

«Количество времени, затраченного на анализ, во многом зависит от природы атаки и от квалификации злоумышленников, уровня их подготовки», — добавляет он.

«К следам взломщиков можно отнести различные метаданные: зафиксированные в системных файлах журналов IP-адреса, домены, устанавливаемое атакующими вредоносное ПО, отпечатки систем (fingerprints), с которых производилась атака, информация об инфраструктуре злоумышленников. Такую информацию атакующим скрыть практически невозможно. Чтобы определить национальную принадлежность атакующих, могут использоваться фрагменты кода, обнаруженные там строки на кириллице либо латинские слова, по смыслу напоминающие русскоязычные, а также соответствующие IP-адреса и домены. Однако, даже если национальная принадлежность установлена, личность заказчика атаки и его принадлежность тому или иному государству можно только предполагать, — отмечает Баранов.

— Вектор принадлежности могут указать уже известные вредоносные программы, которые ранее фиксировали в подобных атаках. Вместе с информацией об инфраструктуре это может свидетельствовать о принадлежности атакующих к ранее установленной киберпреступной группе».

«Для определения источника атаки необходимо учитывать множество факторов, — соглашается с Барановым главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. — Прежде всего это анализ кода — в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам.

Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие. Кроме того, русский язык является языком общения во многих странах бывшего СССР, особенно в сфере компьютерных технологий, и делать выводы о «российском» следе на этой основе довольно опрометчиво. Аналогичная ситуация и с другими языками».

«Отталкиваться от того, какие файлы или документы ищут киберпреступники, тоже недостаточно для точной атрибуции, — говорит Гостев. — Каждый случай уникален, многое можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами, и т.д. Так, например, в истории с Red October окончательно в «русском следе» мы убедились уже спустя несколько месяцев после публикации — когда получили данные о том, что за хостинг серверов оплата проводилась наличными через уличные терминалы оплаты в Москве, а также получили часть переписки на чистом русском языке между хакерами и службой поддержки хостинговой компании. Таким образом, атрибуция является чрезвычайно сложной задачей, а косвенные признаки, указывающие на национальную принадлежность, иногда могут быть оставлены злоумышленником специально, чтобы направить следствие в неправильную сторону.

В случае атрибуции важно собрать не один и не два фактора, указывающих на причастность хакерской группы определенной национальности или организации к совершению преступления.

Это долгий процесс, требующий тесного взаимодействия между компаниями в области безопасности, жертвами и правоохранительными органами разных стран мира и при этом зачастую не приводящий к результату. Исключения бывают, но редко, и только если сами атакующие допускают какие-то грубейшие ошибки», — считает эксперт.

Таким образом, подозрения, основанные на расследовании правоохранительными органами какой-то одной страны, скорее всего будут беспочвенными. По-настоящему справедливыми следует считать те обвинения, которые основаны на результатах нескольких расследований, проведенных различными сторонами. Это позволяет избежать оценочных суждений и субъективных мнений и опираться исключительно на проверенные факты, которые не противоречат друг другу. И касается это не только сферы компьютерной безопасности.