Когда кибератака есть, а винить некого

"Снова они?" - спросит себя тот, кто прочел сообщение CNN о том, что российские хакеры якобы вызвали напряженность между Катаром и рядом его соседей. В Москве уже заявили, что Кремль тут не при чем. Достоверность сообщений, в которых фигурируют хакеры, не только из России, остается проблематичной по одной простой причине: в отличие от мира вне интернета, установить личность нападающих в киберпространстве крайне сложно, если вообще возможно. Объясняем, почему это так.

Хакеры неуловимы, но в этом нет их заслуги

Идентифицикация лиц, занимающихся киберпреступностью и особенно атаками, преследующими военные и политические цели, остается объективно сложной задачей из-за слабого уровня защиты современной компьютерной инфраструктуры. Речь идет о базовых программах таких фирм, как Microsoft, Apple, SAP и Google, которыми пользуются миллиарды людей по всему миру, говорят эксперты.

Операционная система Windows, например, имеет порядка 100 миллионов строк кода. А небольшая вредоносная программа обходится буквально несколькими сотнями строк. Спрятать ее легко, найти - нет: "хороший" код и "плохой" выглядят, на первый взгляд, одинаково.

Ассиметрия во всем

Другая проблема - как правило, атакуемые системы не реагируют на неудачную попытку взлома, значит, у нападающих есть преимущество во времени. Они могут искать "дыру" в системе столь долго, сколько им хочется. Нападающим достаточно одной удачной попытки, в то время как защищающийся должен уметь выдержать и несколько тысяч атак. Кибервойна ассиметрична, констатирует Сандро Гайкен (Sandro Gaycken), независимый советник по IT-безопасности при НАТО.

Но главное неравенство в положении атакующих и тех, кто подвергается нападению, заключается в факторе анонимности. Следы кибератаки легко стираются, вредоносный код программы только ненадолго занимает место на физическом носителе, а затем исчезает. Остается только содержание вредоносной программы. Но и этого недостаточно для идентификации атакующего.

Всегда можно манипулировать цифровым кодом, указывает Гайкен, и поэтому даже найденным следам не стоит придавать слишком много значения. Улики можно сознательно оставить, чтобы навести на ложный след, объясняют эксперты. Фактически однозначно идентифицировать нападающего может только он сам - признавшись в атаке и приведя соответствующие доказательства.

Хакер "Игорь"

Окончательную путаницу в вопрос идентификации внесли в этом году утечки, обнародованные Wikileaks и мало известной группой взломщиков, называющих себя Shadowbrokers. Благодаря им в публичный доступ попали различные вредоносные программы, которыми, по всей вероятности, ранее пользовались американские спецслужбы. Скачать их можно и сегодня. Как утверждают специалисты по IT-безопасности, некоторые из программ можно использовать сразу, для других хакерам достаточно дописать пару строк кода, и вот уже вирус готов.

Теоретически каждый теперь может в интернете изображать из себя спецслужбу - с непредсказуемыми последствиями для международной безопасности: достаточно посмотреть на тот ущерб, который нанес вирус WannaCry. Это был первый известный случай, когда неизвестные сделали главным инструментом атаки программу, разработанную в недрах Агентства национальной безопасности (АНБ) США.

Убедительных доказательств того, что за этим нападением стоят северокорейские хакеры, пока никто не представил. Утечка вирусов АНБ усложнила задачу отличить хакера на службе у государства от обычного мошенника, о чем свидетельствует разоблачение компании Symantec. В недавнем сообщении компании говорится, что обнаруженную ею фишинговую атаку - технику, обычно используемую "политическими" хакерами - использовал мелкий жулик из Молдовы под псевдонимом Игорь. Его идентифицировали, потому что, в отличие от хакеров на службе у государства, мошенники хотят заработать, а следы денег найти легче, чем участников кибератак.

Особенности работы

Чаще всего для идентификации хакеров приходится пользоваться косвенными уликами - это могут быть типичное время их работы, выбор целей, уровень организованности и масштаб атак. Вероятно, таких косвенных улик оказалось достаточно для АНБ. В опубликованном изданием The Intercept секретном документе этой американской спецлужбы утверждается, что манипулировать результатами выборов президента США в прошлом году пытались именно хакеры ГРУ - российской военной разведки.

Правда, в распоряжении The Intercept попала только часть документа, и в ней нет исходных сведений, объясняющих, как АНБ пришло к выводу о том, что за попыткой взлома избирательных машин стоят именно российские хакеры.

Возможно, пролить больше света на работу ГРУ смогли российские журналисты из издания The Insider. Они утверждают, что смогли идентифицировать человека, чье имя фигурирует в метаданных взломанной почты предвыборного штаба французского президента Эмманюэля Макрона.

Некто Георгий Рошка, по данным The Insider, являлся или является действующим сотрудником ГРУ, специалистом войсковой части №26165, которая занимается криптографией. Человек с таким именем и должностью числился в списке гостей международной конференции "Параллельные вычислительные технологии", состоявшейся в прошлом году в Архангельске.

Смотрите также: