А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Мы видим, что здесь за прошедших почти два века ничего не изменилось, только вместо старого доброго меха и ического пулемета появился «киберпулемет» — главный американский «аргумент» для решения любых проблем.

Тем не менее, чтобы перейти непосредственно к рассмотрению темы идентификации, следует отметить следующее. Хотя продекларированный американский принцип «мочить всех» будет главным, тем не менее никто не снимает с повестки дня эту проблему. Ведь в случае кражи секретной (или особо секретной) информации, «потерпевшей» стороне небезразлично, кто конкретно завладеет этой информацией, и здесь дело не в «возмездии» — именно от успешного решения этой задачи будет зависеть структура и содержание системы (комплекса) «защитных мероприятий». Цель подобных мероприятий — избежать максимального урона (материального, финансового, имиджевого, военного, политического и др), от приобретения противником секретной информации и срочно разработать конкретные меры по «залатыванию» обнаруженной «дыры» в защитных барьерах.

По заказу НАТО уже несколько лет ведется работа над второй редакцией известного специалистам по международному праву, так называемого Таллинского руководства по применению международного права при ведении кибервойн, еще в первой версии которого обосновывалась возможность физического ответа на кибернападение. Очевидно, что в такой ситуации как никогда важна правильная идентификация источника киберугроз. Ошибочная идентификация может привести к развязыванию войны (локальной. региональной или глобальной) или, наоборот, привести к тому, что будет упущено время, необходимое для подготовки к отражению агрессии. Неспособность установить истинного виновника и, тем более, заказчиков, не позволит в полной мере задействовать имеющиеся в распоряжении каждого государства дипломатические, политические и юридические рычаги.

Поэтому идентификация нужна не только для того, чтобы понять, кто действует против нас, но и чтобы выстроить оборонительную стратегию и спланировать защитные действия. Один вариант, если мы имеем дело с нарушителем, за которым стоит государство; если же угроза реализована негосударственным автором , то и ответные действия должны быть другие. Не на техническом уровне — тут механизмы зашиты будут практически одинаковыми (если не рассматривать возможность бомбардировок в ответ на сканирование сети), а на дипломатическом и правовом, и именно от идентификации будет зависеть набор шагов, которые предпримет государство.

Говоря об идентификации, надо заранее понять, насколько точно мы хотим ответить на вопрос кто нас атакует, до какого уровня детализации дойти. Таллинское руководство не особо глубоко погружается в детали и просто ищет основания для применения традиционных вооружений против кибернападений, поэтому атрибуция в нем ограничивается определением государства, с территории которого фиксируется кибератака.

Идентификация узла, с которого осуществляется воздействие в киберпространстве, необходима, чтобы понять, принадлежит этот узел частному лицу или организации, какой интернет-провайдер выделил IP-адреса для данного узла (возможно, этот провайдер ранее был замечен и в других кибератаках), физическое местоположение данного узла (которое зачастую можно определить), настройки узла, вплоть до используемой операционной системы и приложении. по которым можно попробовать определить языковую или национальную принадлежность атакующего, и т. д.

Идеально, если в рамках этой работы можно будет сделать вывод о мотивах совершаемых действий. Однако определение мотивации — это уже «высший пилотаж» в области идентификации спе-цопераций в киберпространстве и только техническими средствами решить эту задачу невозможно.

Сегодня в мире существует целый ряд компаний, которые специализируются только в этой области. Можно привести отдельные примеры относительно успешных операций по идентификации:

• Cylance, которая изучала кампанию иранских хакеров Cleaver (пож мясника);

• Partners, которая раскрыла операцию Newscaster (течеком-ментатор), также исходившую из Прана;

• Лабораторией Касперского, которая раскрыла кампании Маска и Красный октябрь;

• Group-IB, нашедшей след Исламского государства в атаках на многие российские организации;

• BAE Systems, исследовавшая атаки на украинские компьютеры и нашедшая на них русские отпечатки;

• Check Point, раскрывшая ливанскую хакерскую группу Volatile Cedar (Летучий кедр);

• Taia Global, которая вопреки распространенному мнению, что компанию Sony взломали хакеры из Северной Кореи, доказала, что Sony все-таки атаковали из России.

Надо сказать, что киберактивность военного назначения сегодня превратилась в инструмент геополитической борьбы. Что может быть проще, чем обвинить то или иное государство в агрессии только на том основании, что с его территории зафиксирована кибератака? И, как мы неоднократно наблюдали за последнее время, отдельные страны и блоки стран активно используют этот прием.

Желание связать конкретную атаку с конкретным государством, не разбираясь в реальных источниках и причинах, вполне объяснимо — это удобный прием в геополитической борьбе, особенно если нужно быстро создать образ врага.

Отдельно стоит упомянуть, что идентификация источника в сложной атаке, проходящей через несколько государственных границ и континентов, требует активного взаимодействия представителей государств, не только находящихся в разных юрисдикциях, но иногда и агрессивно, даже враждебно по отношению друг к другу настроенных. Можно ли быть уверенным, что такое сотрудничество будет налажено? Далеко не всегда, но можно. Например, на конференции Positive Hack Days в Москве представители ФСБ заявили, что в настоящий момент большая часть хакерской активности, направленной против России, идет с территории Украины, но нормально взаимодействовать с украинскими спецслужбами не удается по вполне понятным причинам. Хотя иногда наблюдается и обратная картина. Например, во время подготовки и проведения зимних Олимпийских игр в Сочи американские и российские спецслужбы достаточно активно взаимодействовали в рамках обеспечения безопасности игр. И это несмотря на уже произошедшее охлаждение дипломатических отношений, заморозку отдельных контактов и приостановление ряда рабочих групп.