Русский след: как обвинить другую страну в киберпреступлении 

«Русские хакеры» вновь «попались»: 15 февраля Великобритании заявил, что атака вируса NotPetya была организована «Кремлем», а в СМИ появились сообщения о том, что двое россиян были осуждены в США за крупные кибератаки. Почему их обвиняют в причастности к наиболее громким преступлениям на международном уровне, есть ли доказательства российского вмешательства и как западные власти активно используют приемы эпохи «Постправды» (как сказали, так и будет, все равно никто не проверит).
Национальный след
Возможно ли доказать атрибуцию (причастность злоумышленников) к той или иной национальной хакерской группировке, ведь по мнению специалистов , мощные киберсообщества существуют и в Китае, и в Латинской Америке?
«Люди, стоящие за кибератаками говорят на множестве языков — русском, китайском, испанском, немецком или английском, — говорит руководитель российского исследовательского центра «Лаборатории Касперского» . — Например, в третьем квартале 2017 года наиболее активными были группировки, говорящие на китайском языке. Хотя надо признать, что русскоговорящие злоумышленники действительно занимают одну из лидирующих позиций в мире по количеству киберпреступлений. В настоящий момент в мире существует три крупнейшие киберпреступные экосистемы: русскоязычные, говорящие на китайском и латиноамериканские. Также в последние годы стремительно развивается условно называемая «мусульманская» киберпреступность, сгруппированная в основном вокруг туркоязычного сообщества. Если резюмировать, то сейчас все страны делают это».
По словам Наместникова, атрибуция атаки является чрезвычайно сложной, но выполнимой задачей. Важно собрать не один и не два фактора, указывающих на причастность хакерской группы к определенной национальности или организации. Сделать это, можно по многим факторам: анализ целей атакующих, привязка к событиям, ошибки в коде, переиспользование вредоносных программ и их частей в разных атаках, ошибки в управлении вредоносными программами, использование определенных приемов на разных стадиях атак, анализ командных серверов.
«По сути атрибуция — это прежде всего работа , исследователи же находят некоторые зацепки, которые могут говорить о возможной стране или группе хакеров, но при этом важно понимать, что эти зацепки могут быть специально оставлены злоумышленниками, чтобы повести по ложному следу. Кстати, если верить , у некоторых спецслужб есть даже специальные инструменты для того, чтобы сделать код похожий на код хакерских групп из других стран», — говорит он.
Ложная наводка
По словам PR-директора компании Digital Security Юлии Кольдичевой, релевантных признаков, которые позволили бы со стопроцентной гарантией определить атакующего, также не существует: «Информация существует в цифровом виде, значит, ее можно как угодно специально отредактировать для любых целей. И все признаки могут оказаться несостоятельными, включая определение IP-адреса сервера, время сборки программы, языковые строк в коде и др. Например, любой более-менее продвинутый пользователь может добавить в свою программу строчки кода на том или ином языке. Часто так и делают, когда хотят засветить „русский след“.
Глава компании ESET в России и СНГ Денис Матеев также предположил, что „русский след“ может быть преднамеренным обманом. Он рассказал Forbes, что для установления источника кибератаки необходимо учитывать много факторов:
»Например, сопоставляются фрагменты кода, указывающие на языковую принадлежность авторов, используемые методы и инструменты, временные метки и т. п. Но эти факторы или наборы факторов могут указывать как на происхождение авторов, так и вполне вероятно являться намеренно созданным ложным следом». Однако, по его мнению, расследования кибератак — это в первую очередь прерогатива правоохранительных органов и компаний, фокусно занимающихся расследованиями киберпреступлений.
«Со своей стороны, антивирусная компания работает с данными технического характера: выявляет методы и цели атак, вредоносное ПО, уязвимости и эксплойты с цели доработки собственных решений и максимальной защиты пользователей. А дальнейший поиск виновных и их мотивов — задача специалистов другого профиля», — сказал он.
Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин также считает, что хакеры, которые могут взламывать правительственные пароли и сайты больших компаний обладают достаточной компетенцией, чтобы скрыть свою принадлежность к той или иной стране.
«Тем не менее, дыма без огня не бывает, — говорит он. — Достоянием общественности постоянно становятся факты стремительного наращивания потенциала «киберармий» всех сильнейших государств планеты. Ясно, что эти люди не сидят без дела, их активно привлекают как минимум к решению задач разведки и изучения защиты ресурсов потенциальных противников. Если говорить об атаках хакеров, работающих на правительства, было бы странно, если бы они не применяли методы маскировки».
По его словам, современная индустрия киберкриминала — это настоящий конвейер с четким разделением труда, где работает очень много русскоговорящих подпольных специалистов.
«Сейчас практически в любой сложной комплексной атаке есть компоненты, разработанные жителями бывшего СССР. Это почти всегда позволяет находить «русский след» в действиях злоумышленников. В то же время сами авторы компонентов могут быть совершенно не в курсе, используются ли их разработки для взлома АЭС или хищения паролей от Facebook».
В каких кибератаках обвиняли наших соотечественников и какие доводы использовали специалисты по кибербезопасности.
NotPetya
Утром 15 февраля МИД Великобритании опубликовал заявление, в котором утверждается, что  «должно понести ответственность за кибер-атаку NotPetya в июне 2017 года», из-за которой «европейские организации потеряли сотни миллионов фунтов», а также был нанесен ущерб суверенитету Украины. По мнению британского МИД, атака вируса NotPetya была замаскирована под действия хакеров-вымогателей: вирус блокировал работу компьютеров на Windows и отправлял сообщение с требованием перевести сумму в биткоинах эквивалентную $300 для разблокировки. В январе о причастности российского к кибератаке NotPetya на Украину также заявляло американское ведомство .
Британский МИД редко выступает с официальными обвинениями в адрес российских хакеров, поэтому объяснил свою позицию тем, что посчитало в данном случае необходимым произвести самую высокую оценку ситуации и призвать к ее обсуждению в более широком контексте.
Хакеры, запустившие NotPetya, много не заработали: на их биткоин-кошельки было перечислено лишь $18 000. Лишь спустя несколько дней после начала атаки, выяснилось, что вирус был не вымогателем, а шифровальщиком, который безвозвратно нарушал работу систем. Ущерб лишь одного датского логистического гиганта Moller-Maersk составил от $200 млн до $300 млн, говорится в квартальном отчете компании.
«Крупнейшая кибератака» в истории США 15 февраля стало известно, что окружной суд в американском городе Кадмен огласил приговоры россиянам и Дмитрию Смилянцу, которые в 2015 году признали свою причастность к серии хакерских атак, которую власти США назвали «крупнейшей в истории страны». По различным данным со счетов 17 американских финансовых учреждений и сетей рзничной торговли, включая Nasdaq, OMX Group Inc., 7-Eleven Inc., Carrefour SA и JC Penney Co, было выведено от $160 до $300 млн Дринкман был осужден на 12 лет, а Смилянец — на четыре года, три месяца и 21 день, но был освобожден прямо в зале суда, так как этот срок он уже отбыл. И за последнее время это единственный доказанный случай, когда причастность русских хакеров к киберпреступлению была установлена в судебном порядке.
Cobalt Strike
Летом 2017 года зафиксировал 21 волну атак преступной группы Cobalt более чем на 240 компаний в 12 странах мира. Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая команды на выдачу наличных. Потом хакеры переориентировались на крупные компании, представителям которых рассылались фишинговые письма с зараженными файлами. Они загружались в оперативную память компьютера программное обеспечение Cobalt Strike. В начале декабря атаки Cobalt прекратились. В интервью изданию «Прайм» заместитель начальника главного управления безопасности и защиты информации Банка России предположил, что хакеры «решили смодифицироваться и готовят что-то такое неприятное к концу года, когда самый пик платежей, когда внимание банковских сотрудников падает». Однако с тех пор о крупных атаках Cobalt информации не поступало.
По данным «Российской газеты», за 2017 год в результате 11 атак, хакеры украли более 1 млрд рублей из российских банков.
Olympic Destroyer на Олимпийских играх в Пхенчхане
12 февраля организаторы Олимпийских игр в Пхенчхане официально подтвердили информацию об обнаружении компьютерного вируса «Олимпийский разрушитель», который атаковал официальный сайт Олимпиады, а также каналы прямой трансляции церемонии открытия. Еще до открытия игр эксперты в области кибербезопасности высказывали предположение, что такие страны, как Россия, сборная которой была официально отстранена от Олимпиады, и Северная Корея могут быть заинтересованы в хакерских атаках. Однако официального обвинения или опровержения этой информации не было.
По мнению замдиректора департамента анализа защищенности Digital Security «Лаборатории Касперского» Глеба Чербова, целью хакеров были именно сайты и каналы трансляции игр, а не статус Олимпиады, хотя репутационный ущерб действительно был нанесен.
«Олимпиада, как и любое другое событие мирового масштаба, привлекает внимание разной публики — от просто любопытствующих до враждебно настроенных, — говорит Глеб Чербов. — Если верить первоисточнику, атаке подверглась сетевая инфраструктура, обеспечивающая видеовещание и работу центрального пресс-центра. В отличие от банков с деньгами и персональными данными, это кладезь самой разнообразной информации, эксклюзивных материалов, и, ко всему прочему, потенциальная возможность влиять на ход освещения события, к которому приковано внимание всего мира. Подмена данных о результатах соревнований для публикации или выпуск в мировой эфир подготовленного для этого повода ролика — лишь самое банальное из того, что могло стать следствием этого инцидента».
Руководитель ICS CERT «Лаборатории Касперского» считает, что а действиями злоумышленников может скрываться демонстрация протеста, акт мести, попытка нанести репутационный ущерб государству, отдельным организациям или даже должностным лицам и многое другое: «Нельзя исключать, что подобная атака может восприниматься хакерами и просто как возможность прославиться. Даже если инцидент не нанес существенного урона и неинтересен с технической точки зрения, он с большой вероятностью попадет в заголовки новостей, если он имеет какое-то отношение к главному инфоповоду недели».
Вмешательство в президентские выборы в США В мая 2017 года заявила в интервью CNN, что если бы выборы состоялись 27 октября 2016 года, то именно она стала бы президентом Соединенных Штатов. По мнению Клинтон, именно скандал со взломом электронной почты ее помощника и руководителя предвыборной компании , помешал ей занять президентский пост. Данные были переданы сайту WikiLeaks и опубликованы 27 октября. В частности раскрывались источники финансирования предвыборной кампании и попытки влияния на Уолл Стрит.
В расследовании, опубликованном в New York Times, говорится, что ко взлому были причастны две российские хакерские группы, которые, вероятно, поддерживаются Кремлем, — CozyBear (известная также как «APT 29» или Dukes) и GRU FancyBear (они же «APT 28» или Pawn Storm). После выхода публикаций сам  отрицал причастность хакеров к публикациям. «Сотни писем Клинтон, опубликованных WikiLeaks, были получены не в результате хакерской атаки, а от  в соответствии с законом о свободе информации от 3 марта 2016 года», — написал Ассанж у себя в Твиттере.
Однако это не исключает причастности русских хакеров к вмешательству в ход предвыборной гонки в СШН. 13 Февраль 2018 участника хакерской группы Lurk признался на заседании в атаках на  и  (ВАДА), а также в причастности к хакерским группировкам CozyBear и GRU FancyBear.
Также специалисты по кибербезопасности увидели «русский след» не только в раскрытии переписки Клинтон и Подесты, нанесшей ущерб репутации политиков, но и в продвижении Трампа: по результатам проверки на сайте было опубликовано заявление, в котором утверждалось, что «действия хакеров имели целью помочь выиграть выборы». В этом признался и сам американский лидер: «Думаю, это была Россия, но, может, и другие люди в других странах. Никто точно не знает», — заявил он корреспондентам Associated Press во время визита в Польшу летом 2017 года.
Вмешательство в президентские выборы во Франции
В апреле 2017 года газета The New York Times опубликовала расследование по делу причастности российских хакеров в кибератаках, произошедших в рамках предвыборной президентской кампании . Тогда в сеть были выложены 9 Гбайт писем, украденных из электронной почты Макрона, которые едва не стоили ему президентского кресла. Взломщики выложили все материалы в сеть, распространив их при помощи ботов через Твиттер и хэштег #MacronLeaks.
В интервью BBC Trending представитель фирмы FireEye, отвечающей за кибербезопасность предвыборной кампании, Дэвид Гроут заявил BBC Trending, что за атакой стоит «российская хакерская группировка „APT 28“, также известная как Fancy Bear». В докладе высказывались опасения, что Россия может преследовать интересы по укреплению на выборах позиции соперницы г-на Макрона, лидера партии Национального фронта . Однако председатель Национального совета цифровой экономики Франции Мунир Махжуби заявил, что «у него нет доказательств роли России к хакерским атакам». Позднее его слова подтвердил глава французского агентства по кибербезопасности , сказав о том, что его ведомство не нашло никаких признаков того, что за атаками во время президентской гонки стояли русские хакеры.
Майнинг
По результатам исследования «Лаборатории Касперского», число пользователей, ставших жертвами майнинговых атак, в 2017 году превысило 2 млн Недавно эксперты «Лабортаории» обнаружили возможность таких кибератак на мессенджер Telegram для Windows. Вредоносные программы запускались в том случае, если пользователь сам скачивал файл со скрытым разрешением и начинали майнить криптовалюту Monero, используя вычислительные возможности пораженного компьютера. «По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года. „Лаборатория Касперского“ уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — утверждают специалисты. Все случаи эксплуатации уязвимости ПО были зафиксированы в России.
По словам Юрия Наместникова, с ростом стоимости биткоина и других криптовалют майнинг стал выгодным. «Многие киберпреступиники, в том числе и русскоговорящие, используют свои ресурсы и вредоносные программы именно для установки майнеров на зараженные компьютеры. Во-первых, такой вид киберпреступления несет для злоумышленников меньше рисков преследования со стороны правоохранительных органов, во-вторых, программы-майнеры легко монетизируются, что опять же снижает риск и уменьшает „операционные издержки“, — утверждает он. — За примерами далеко ходить не нужно — огромное количество взломанных сайтов, в том числе и в рунете, недавно майнило криптовалюту через coinhive, а для некоторых программ для создания скрытых майнеров существует даже интерфейс на русском языке».
Видео дня. Телефонные номера звезд шоу-бизнеса слили в Сеть
Комментарии
Читайте также
Новости партнеров
Новости партнеров
Больше видео