Кибернаёмник? Спецслужба? Хулиган? Атрибуция компьютерных атак: как узнать реального нападающего

BIS Journal №2(41)/2021

6 июля, 2021

Кибернаёмник? Спецслужба? Хулиган? Атрибуция компьютерных атак: как узнать реального нападающего

Журналисты и политики часто бравируют словосочетаниями «русские хакеры» или «китайские хакеры». Но всели обвинения реально основаны на доказательствах или это всего лишь попытка найти ещё одну нацию, которая всегда и во всём виновата? Кибератаки проводятся конкретными людьми, с именем и фамилией. При расследовании взломов всегда ставится цель: выявить, кто провёл атаку. Такая задача называется атрибуцией.

 

ПРЕСТУПНИК ОСТАВЛЯЕТ СЛЕДЫ… ПО ВСЕЙ ПЛАНЕТЕ

Летом 2015 года Лаборатория Касперского сообщила об атаке вредоносного кода Duqu2 на свои сети. Была использована уязвимость нулевого дня. Подозрения пали на спецслужбы Израиля и США, но доказательства предоставлены не были [1].

Единственным достоверным доказательством может быть журнал с компьютера, на котором проводилась атака. Но как к этому компьютеру может получить доступ полицейский из Москвы, если атака идёт, например, из Австралии?

Интернет — глобальная сеть, соединяющая людей из всех стран мира, и атакующие часто используют вычислительные ресурсы в разных странах. Атакующий из одной страны для атаки может легко использовать компьютер из любой другой. Для выявления всей цепочки взаимодействий требуется участие правоохранительных органов всех стран, причём достаточно оперативное — злоумышленнику нельзя оставлять время на заметание следов.

 

ОРДЕР НА ОБЫСК… ЦРУ

Вот первая проблема атрибуции — скорость получения ордера на обыск. Во многих странах зайти в квартиру к подозреваемому можно только на основании официального запроса и соответствующего официального же ответа.

Вторая проблема атрибуции: в атаках часто обвиняют спецслужбы. Совершенно невозможно просить полицию помочь расследовать атаки, к которым, предположительно, причастно разведывательное управление этой же страны.

В 2013 году Эдвард Сноуден подтвердил, что телекоммуникационную компанию Бельгии взломали сотрудники британской спецслужбы. Это был пример реальной атрибуции и первый случай, когда одна европейская страна атаковала другую [2].

Если уж Британия ломает «дружественные» страны, входящие в единый блок НАТО, можно только гадать, что они себе позволяют делать по всему миру.

Согласно серии документов Vault 7, которая доступна на Wikileaks, в ЦРУ существует специальная коллекция атакующих утилит, получившая название Umbrage. Этот набор программ используется, чтобы отвести подозрения от себя, запутать расследование и выдать свои атаки за чужие [3]. Поэтому, если в дело вступают спецслужбы, провести атрибуцию практически невозможно: они будут атаковать из чужой страны чужими утилитами.

 

ПОДНЯТЬСЯ НА УРОВЕНЬ… КИБЕР-ООН

Ещё одну проблему атрибуции можно сформулировать так: хакеры не имеют национальности. Они часто действуют как обычные наёмники: кто заплатил, на того и работают. И единственно возможной защитой является учёт таких людей и проверка того, что они делали во время очередной глобальной кибератаки.

На мой взгляд, в России нужно создать спецподразделение, которое будет заниматься атрибуцией кибератак, учётом хакеров, сотрудничать со всеми странами по всему миру для быстрого реагирования на атаки. Кроме того, это подразделение могло бы выступать на уровне ООН с разоблачениями хакерских групп, основанными на реальных фактах.

К сожалению, на политическом уровне просвета не видно, но в мире на одну атаку спецслужб приходится 1000 атак обычных финансово мотивированных хакеров, которые ломают лишь для получения денег. Будет ещё много взломов для шантажа и получения выкупа. Атаки криптолокеров уже славятся тем, что они просят за расшифровывание данных компаний несколько десятков миллионов долларов. В новостях уже прошла информация о том, что компания Garmin заплатила выкуп 10 миллионов долларов за расшифровывание своих данных. В новостях же была история о том, что полицейский участок в США заплатил злоумышленникам, чтобы получить доступ к своим данным.

 

БЕЗОПАСНИКИ ВСЕХ СТРАН, ОБЪЕДИНЯЙТЕСЬ!

Для отработки и нахождения таких групп злоумышленников требуется сплочённая работа всех стран. Спецслужбы должны обмениваться информацией, заниматься расследованием и поимкой преступников, которые являются международными. Усилиями одной страны в интернете защиту не наладить.

Поэтому атрибуция — это процесс, который должен работать в каждой стране, работать синхронно, быстро и слажено. Без этого киберпреступников не победить.

В нашей стране этот процесс пока находится на стадии становления. В Центральном банке работает обмен информацией об угрозах через ФинЦЕРТ. На уровне страны такой процесс должен работать на систему ГосСОПКА, за которую отвечает НКЦКИ ФСБ России. Осталось только найти людей, которые будут заниматься расследованием инцидентов на межгосударственном уровне и проводить атрибуцию кибератак. Без этого все сообщения о том, что очередная группировка атаковала какую-то страну, останутся лишь бездоказательными словами на бумаге либо обычной бравадой реальных хакеров, которые пользуются тем, что никогда не выезжают из своей страны и поэтому чувствуют себя безнаказанно.

 

[1] https://www.kaspersky.ru/blog/kaspersky-statement-duqu-attack/8125/

[2] https://theintercept.com/2014/12/13/belgacom-hack-gchq-inside-story/

[3] https://theconversation.com/wikileaks-vault-7-reveals-staggering-breadth-of-cia-hacking-74236; https://ru.wikipedia.org/wiki/Vault_7#%C2%ABUmbrage%C2%BB

Смотрите также