А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Технические причины заключаются в невозможности простого определения источника атак в киберпространстве, причем независимо от формы ilx реализации — в виде DDoS-атак, путем проникновения через защитные экраны, в виде рассылок вредоносного кода через электронную почту или путем заражения сайтов и флешек, через которые вредоносное ПО попадает во внутреннюю сеть предприятия.

В 1960-1970-е гг., когда создавались протоколы, положившие начало современному Интернету; никто не задумывался о необходимости однозначной идентификации всей цепочки передачи пакетов данных из точки А в точку Б. Более того, сама по себе технология работы Интернета подразумевает децентрализацию и распределенность. И то. что устраивало всех последние 40 лет. сейчас стало играть с нами дурную шутку. Как определить реального автора пришедшего мне на компьютер сетевого пакета, если технически возможно изменить адрес отправителя? Все известные версии протокола IP в принципе не подразумевают однозначной идентификации и аутентификации инициатора соединения (хотя разговоры об ннтернет-паспортах и идентификации всех, кто входит в Интернет, ведутся давно).

Но отсутствие в имеющейся на момент выхода книги версии протокола IPv4 необходимых атрибутов для определения местоположения источника атаки — не единственное препятствие. Никто не может помешать злоумышленнику, желающему скрыть свое истинное местоположение, использовать любой имеющийся в Интернете прокси-сервер (серверпосредник) или анонимайзер. В случае реализации атаки через них мы увидим в качестве адреса источника атаки не реальный адрес злоумышленника, а адрес сервера-посредника. Как быть в таком случае? А ведь такие сервера во множестве разбросаны по разным национальным сегментам Интернета. Находясь в Пекине, атакующий может реализовать атаку через посредника в Пекине, Москве, Сеуле или Гонолулу.

Ситуация усугубляется тем. что злоумышленник может арендовать специальные сервера (так называемый abuse-устойчивый хостинг), которые будут целенаправленно скрывать истинный адрес злоумышленника. И таких промежуточных серверов может быть много — 5. 10. 100. В такой ситуации атака обладает динамически меняющимися пространственными характеристиками, что коренным образом отличает ее от обычных наступательных вооружений. Может ли ядерная боеголовка динамически менять свое местоположение? Да. но очень медленно, если возить ее на специальном автотранспорте пли поезде. Но и в этом случае ее географические координаты ограничены границами одного государства, в крайнем случае блока. Для кибератаки поменять за несколько минут или даже секунд географическую привязку и числиться на разных континентах в порядке вещей.

Аналогичная ситуация возникает, и если подняться выше по так называемому стеку интернет-протоколов и посмотреть на электронную почту, которая может содержать угрозы или реальный вредоносный код. Идентифицировать настоящего отправителя почты, если он того не желает, практически невозможно. Для этого надо пройти по цепочке всех узлов, через которое проходило почтовое сообщение и которые могут находиться в разных странах и юрисдикциях.

Отдельный вопрос с файлами и вредоносным программным обеспечением. У них нет «печати» и. как правило, не стоит подпись автора, который желал бы оставить свой след в истории. Поэтому исследователям приходится просматривать огромные объемы информации в поисках зерен правды, позволяющих с определенной долей вероятности определиться с источником атаки. Например, в рамках расследования операции Нож мясника вышеупомянутая компания Cylance собрала и изучила свыше 8 Гб данных. 80 000 файлов, журналы регистрации на узлах жертв и т. и. И только после этого она смогла заявить об «иранском следе», и то с оговорками. Однако технический анализ так и не смог дать ответ на вопрос, стояло за этой операцией государство пли это была частная инициатива.

Как уже было указано выше, такие компании как Group-IB, Лаборатория Касперского, Cisco, Cyiance, Taia и другие проводят свои расследования используя в качестве доказательств следующие индикаторы (признаки) [А. Лукаикий. Определение источника кибератак. ИНДЕКС БЕЗОПАСНОСТИ № 2 (113), Том 21].

Место регистрации IP-адресов и доменов, участвующих в атаке или предоставляющих инфраструктуру для реализации атаки. При этом анализируется не только страна регистрации, но и сопутствующая информация, которая может быть получена с помощью сервиса WHOIS: ФИО владельца домена или IP-адреса, его контакты. Все это позволяет при превышении определенного порогового значения сделать вывод о стране, которая стоит за кибернападением. Если же злоумышленник не очень квалифицированный, можно идентифицировать и физическое место расположения источника атаки.

Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится. Такой функционал есть у многих маршрутизаторов, на которых построен Интернет. Помимо механизма Traceback, использующегося на сетевом оборудовании. для идентификации злоумышленников могут быть использованы фильтрация трафика на интерфейсах маршрутизатора (ingress filtering), протокол ICMP для возврата отброшенного на жертву трафика обратно его инициатору. Например, в случае шпионской кампании Лунный лабиринт (Moonlight Маzе ]0), направленной против ВПК США. НАСА и ряда американских государственных структур, отследить организаторов удалось именно путем анализа обратного маршрута до серверов, зарегистрированных в России (правда, связь с государственными структурами так и не была установлена).

Временные параметры. Как показали ранее приведенные примеры. нередко исследователи анализируют время создания вредоносного кода, время начала операции в киберпространстве или время наибольшей активности. Пусть и с оговоркаьш. но эта информация может служить основой дальнейшего анализа. И хотя она не укажет на конкретного нарушителя, она позволит сузить число стран, которые могли бы быть причастны к анализируемой ситуации.

Анализ программного кода, в котором могучи быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке. Анализ функциональности программного кола позволяет сузить число возможных нарушителей. Например, анализ кода Stuxnet показал, что для его создания надо было не только знать, как работают центрифуги IR-1 в Натанзе, но и иметь стенд для проверки работоспособности вредоносного кода, который позже вывел из строя большое количество центрифуг по обогащению урана. Но многие ли акторы способны приобрести центрифуги для тестирования Это позволило существенно снизить число возможных нападавших. а дополнительные сведения позволили даже назвать государства, которые стояли за разработкой Stuxnet, — США и Израиль.