Диалог про возможные кибератаки российских проправительственных хакеров на серверы Демократической партии США, состоявшийся между президентом РФ Владимиром Путиным и американской журналисткой Мегин Келли в начале июня на ПМЭФ, моментально стал объектом шуток в социальных сетях. Все 17 агентств по разведке США сделали вывод, что Россия вмешивалась в выборы президента США, отметила журналистка. «Я читал эти отчеты. В них нет ничего конкретного, только предположения»,— парировал президент.
За последние полгода мифических русских хакеров, якобы работающих на Кремль, обвиняли в кибератаках не только спецслужбы США, но и немецкая контрразведка, румынская служба информации, Минобороны Дании, норвежская служба безопасности, французские политики в ходе недавних выборов президента и источники The Guardian в правительстве Италии. Но столь серьезные обвинения вызывают все больше скепсиса не только со стороны российских властей, но и в международном IT-сообществе, где словосочетание «русские хакеры» стало мемом, а хештег #RussiansDidIt (#ЭтоСделалиРусские) стали добавлять даже к картинкам с крушением «Титаника» и выпадением снега в Сирии. Кажется, что спецслужбам США, по данным WikiLeaks обладающим огромным арсеналом средств для кибершпионажа, в теории не должно составлять труда представить неопровержимые доказательства источника атак. Но на практике все значительно сложнее. Определение источника кибератаки давно стало настоящей головной болью и для правоохранительных органов, и для компаний, занимающихся расследованиями киберпреступлений.
Говорить про атрибуцию, то есть определение источника компьютерных атак, начали примерно с середины 2000-х годов, хотя личности злоумышленников волновали специалистов и раньше, говорит заместитель директора центра компетенции Positive Technologies Алексей Новиков. Пристальное внимание на атакующих начали обращать после появления первых целевых атак (APT). Ключевым стало обнаружение в 2010 году вируса Stuxnet, способного физически разрушать инфраструктуру промышленных предприятий. Специалисты нашли его в Иране на блоках управления газовыми центрифугами, предназначенными для получения обогащенного урана. Многие сошлись во мнении, что Stuxnet был нацелен на приостановку иранской ядерной программы. Тогда стало очевидно, что кибератаки уже не только шалость или метод заработка для злоумышленников, но и политическое оружие, что и подстегнуло к активному поиску авторов вируса.
«Атрибуция предполагает присвоение компьютерных атак какой-либо стране, организации или группе лиц. Это не доказательства в том смысле, в котором этот термин понимается в Уголовном кодексе РФ. Когда мы говорим об атрибуции в сфере информационной безопасности, то предполагаем поиск различных технических аспектов атаки, которые можно приписать определенной стране или группировке»,— объясняет господин Новиков. Такими аспектами могут быть место регистрации IP-адресов и доменов, участвующих в атаке, анализ программного кода, трассировка до источника атаки и временные параметры.
Принципы атрибуции можно разделить на три части. «Первая — поиск изначальных следов нападающего, таких как IP-адреса, учетные данные, устройства. Это один из самых сложных путей, требующий сбора исходных следов на всех точках работы злоумышленника и очень серьезного взаимодействия с правоохранительными органами. Тем не менее в случае успешного расследования он один из самых релевантных»,— говорит руководитель департамента Solar JSOC компании Solar Security Владимир Дрюков.
Вторая часть, продолжает он, это исследование инструментария злоумышленника, такого как исходный код вредоносного ПО, утилиты, данные промежуточных серверов или центров управления атакой и сопоставление полученной информации с другими, более ранними кибератаками, где уже была проведена успешная атрибуция. В зависимости от потенциальной неосторожности злоумышленника эта информация может дать огромное количество сильных косвенных доказательств для атрибуции.
Наконец, третья часть атрибуции — получение вспомогательных признаков, таких как время проведения атаки, использование ПО, разработанного в определенной стране, наличие комментариев атакующих на определенном языке. Так, одним из доводов компании Crowdstrike, выпустившей отчет о связях с Россией хакерских группировок Fancy Bear и Cozy Bear, атаковавших серверы Демпартии США, был именно тот факт, что график активности хакеров совпадал с рабочим днем по московскому времени.
Большинство стран, за последние полгода обвинившие Москву в кибератаках, ограничились заявлениями в прессе, но правоохранительные органы США и Дании выпустили отчеты с разъяснением обвинений. В отчетах Министерства внутренней безопасности США и Национального совета по разведке основные технические параметры, увязывающие атаку с «российскими хакерами»,— это использование атакующими IP-адресов российских операторов Yota и «Ростелеком», а также программ X-agent и PAS Tool PHP Web Kit, которые рекламируются на русскоязычных форумах и обычно прочно ассоциируются с русскими хакерами, объясняет консультант по информационной безопасности Cisco Алексей Лукацкий. При этом и тот и другой софт, по его словам, доступен всем желающим в любой стране, а Yota и «Ростелекому» принадлежат только 49 IP-адресов из 876 перечисленных в отчете.
«Американские спецслужбы в качестве гипотезы приводят версию о русском следе, и те немногочисленные и неверифицируемые доказательства, которые опубликованы, вроде как подтверждают эту версию. Если же взять за основу противоположную гипотезу, то есть о том, что за атакой стояла не Россия, то представленные доказательства вполне укладываются и в нее»,— говорит господин Лукацкий. Он отмечает, что непреклонная уверенность США в русском следе может базироваться также на оперативных источниках, но они в обозримом будущем не будут представлены публике.
Один из собеседников “Ъ” на IT-рынке уверен, что «если бы у американцев было что предъявить, они бы сделали это, так же как и в случае с атакой на Yahoo!». Речь идет о выдвижении в марте 2017 года двум сотрудникам центра информационной безопасности ФСБ Дмитрию Докучаеву и Игорю Сущину, а также работавшим на них хакерам Алексею Белану и Кариму Баратову обвинений во взломе Yahoo! и краже данных 500 млн учетных записей электронной почты. «Если у органов есть реальные доказательства причастности спецслужб другого государства к кибератакам, они доведут расследование до установления конкретных личностей, а не ограничатся заявлениями вроде “нас взломало ГРУ”»,— полагает он.
В то же время Центр компьютерной безопасности Дании, обвинивший пророссийских хакеров во взломе электронной почты датских военных в течение 2015–2016 годов, в своем отчете в принципе не привел технических подробностей атаки. Господин Лукацкий отмечает, что никаких доказательств, даже спорных, как у госорганов США, датчане не представили, просто сославшись на то, что «за атакой на Министерство обороны Дании, весьма вероятно, стояла группа APT28», а «оценка основывается на ряде факторов, не все из которых описаны в настоящем докладе». «По сути, мы вынуждены верить авторам отчета, что, может быть, и работает в межгосударственном или внутригосударственном пиаре, но не может быть использовано для обвинения какого-либо государства во вмешательстве во внутренние дела через киберпространство»,— отмечает он.
Не существует релевантных признаков, позволяющих со стопроцентной гарантией определить атакующего, говорит гендиректор Digital Security Илья Медведовский и соглашается Владимир Дрюков. «Поскольку информация существует в цифровом виде, значит, ее можно как угодно специально подготовить, особым образом отредактировать для любых целей. Таким образом, все признаки оказываются несостоятельными, включая определение IP-адреса сервера, времени сборки программы, языковых строк в коде и др.»,— говорит господин Медведовский. Например, любой из немного продвинутых пользователей может добавить в свою программу строчки кода на том или ином языке. «У ЦРУ есть проект UMBRAGE, с помощью которого возможно изменять файлы таким образом, чтобы оказывалось очевидным авторство каких-то группировок или принадлежность к той или иной стране»,— продолжает он.
Методы подделки улик в виртуальном мире очень изощренны. Так, злоумышленники могут специально оставить комментарии в коде на нужном языке или купить часть инструментария у хакеров нужной национальности на черном рынке. IP-адрес, с которого проводится атака, может принадлежать вполне легальному ресурсу, который был предварительно взломан для целей проведения атаки. У преступников также есть возможность сослаться на компрометацию своего ноутбука, телефона или почты, а иногда и взлом квартиры для получения доступа к компьютеру.
«Атакующие не стоят на месте: они изучают исследования, публикуемые экспертами по безопасности, и придумывают новые способы обеспечения своей анонимности. Это обычное противостояние, которое было и будет всегда. С течением времени опыта по обе стороны баррикад становится больше»,— объясняет сооснователь и руководитель сервиса киберразведки threat intelligence компании Group-IB Дмитрий Волков. Например, определение времени компиляции вредоносных программ — очень полезный инструмент и его обязательно надо использовать, говорит господин Волков, но о нем известно как исследователям, так и атакующим, которые могут специально указывать временные метки, характерные для определенной страны. «Очень многое зависит от опыта атакующих. Если, например, речь об атаке на государственный сайт, который провел какой-то малоопытный хактивист, то уже по анализу его сетевой инфраструктуры можно сказать, кто стоит за этой атакой. Если же речь о прогосударственной группе с хорошим опытом, то там все намного сложнее»,— признает он.
Единственный точный метод атрибуции — применяемый правоохранительными органами и спецслужбами комплекс оперативно-технических мероприятий, где наибольший успех дают именно оперативные методы, категоричен господин Медведовский. «Эффективным чисто техническим методом точного определения атакующего, доступным кому угодно, является встречный взлом атакующего. Но его крайне редко используют на практике, так как расследование обычно проводится постфактум»,— резюмирует он.
Мария Коломыченко