А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Помимо изучения фрагментов кода, отдельные исследователи пытаются даже изучать почерк программистов и определять по нему школу программирования: американская, русская, китайская и т. п.

С анализом почерка тесно связана и лингвистика, а точнее стилометрия. которая позволяет определить стилистику языка в тех же самых комментариях или сопутствующих текстах. Известно, что то. в какой стране родился человек, в какой культуре рос. в какой языковой среде воспитывался, определяет его стиль письма, который можно выделить и зафиксировать. Например, выросший в России пли Советском Союзе человек, позже уехавший в Великобританию пли США. никогда не будет говорить на языке так же. как коренной англичанин пли американец. Эти различия позволили, например, специалистам компании Taia Global сделать вывод о том, что за атаками на Sony стоят не северокорейские, а русские хакеры. Аналогично эксперты Лаборатории Касперского предположили, что за шпионской кампанией Маска стоят испаноговорящие хакеры. Причиной такого вывода послужило использование в коде испанских слов и сленга, которые никогда не используется англоговорящей аудиторией.

Обманные системы или honepot/honeynet - популярный в свое время инструмент, интерес к которому со временем поугас. а сейчас возвращается вновь. Идея проста: в сети запускается фальшивый, подставной узел, который злоумышленник атакует, оставляя следы своей несанкционированной активности. — вот ее-то и изучают эксперты.

Еще один метод — оперативная разработка. Он мало чем отличается от того, что мы знаем из боевиков пли детективов. Внедренные агенты, стукачи, сочувствующие и другие источники информации позволяют идентифицировать или хотя бы сузить спектр возможных акторов, стоящих за той или иной атакой. Хороший пример — Эдвард Сноуден, который успел рассказать немало интересного о деятельности спецслужб, в которых ему довелось служить.

Анализ активности на форумах и в социальных сетях. Именно так в 2007 г. была выяснена причастность молодежного движения Наши к атакам на ряд эстонских ресурсов. Однако связь Наших с российскими властными структурами в данном конфликте так и не была подтверждена. Аналогичным образом после публикации ролика на YouTube иранской хакерской группировки k: ad-Din al-Qassam Cyber Fighters была доказана роль иранских хакеров (но не самого государства) в атаках на американские банки. Наконец. Сирийская электронная армия регулярно берет на себя ответственнось за атаки на отдельные американские ресурсы. Например, именно они заявили о взломе учетной записи в Твиттере агентства Assocaited Press", в котором написали о взрыве в Белом Доме и ранении Барака Обамы. Анализ активности хакеров и оперативная разработка — единственные методы определения мотивов кибератаки. Ни анализ IP-адресов, ни лингвистика не дают возможности ответить на вопрос «почему», ограничиваясь только ответом на вопрос «кто».

В отдельных случаях автора можно идентифицировать постфактум по его действиям. Речь идет не только о том. что он осознанно пли случайно делится фактом своего участия в атаке в социальных сетях. Например, в случае вторжения в интернет-банк, кражи денег и перевода их на подставные или реальные счета, наблюдая за владельцем счета, можно выйти и на тех, кто стоит за ним пли кто его нанял. Также украденная информация может появиться на аукционах и биржах, публичных и закрытых. Дальше следователи могут вступить в переговоры с продавцом и провести его атрибуцию пли получить важную информацию для дальнейшей атрибуции кибернападенпя.

Из всего вышесказанного следует, что универсального и 100-процентного метода не существует. Более того, далеко не всегда техническими методами можно ограничиться. Например, когда в 2012 г. стало известно об атаке вредоносного кода Gauss на ливанские банки, многие эксперты задавались вопросом — а зачем это было нужно? Неужели нет более лакомых кусков, чем ливанские банки? II. поскольку технические методы не помогли провести правильную атрибуцию, пришлось использовать косвенные признаки. Например, по анализу функций кода Gauss исследователи предположили, что он направлен на изучение счетов организации Хезболла, которая таким образом отмывала деньги, что и интересовало тех, кто стоял за атакой на финансовые институты Ливана. А, учитывая, что Хезболла признана террористической организацией в ограниченном числе стран (в частности в США и Израиле), спектр возможных инициаторов был сужен до пары государств.

Из американской разведки вышел широко используемый в расследовании киберпреступлешш термин OSINT (open source intelligence), т. е. поиск, сбор и анализ информации, полученной из открытых источников. Сегодня без активного развития и использования инструментов OSINT сложно эффективно заниматься идентификацией спецоперацип в киберпространстве, а эта техника требует высокой квалификации лиц, которые участвуют в определении источника кибернападения. Это могут быть как сотрудники служб информационной безопасности государственных органов и критически важных объектов, так и представители правоохранительных и силовых структур, уполномоченных проводить оперативно-розыскную деятельность в киберпространстве.

В 2019 г. на сайте http://tass.ramediasat.info/(сайт не доступен) Государства — члены Европейского Союза — опубликовали совместный отчёт об оценках рисков, связанных с использованием 50-технологпй, в котором подчёркнуты повышенные риски в сфере безопасности, требующие нового подхода к защите телекоммуникаций.

В странах ЕС долгое время игнорировали давление со стороны США. призывавших бойкотировать китайскую технологическую компанию Huawei при выборе поставщика оборудования для организации сетей 5G из соображений безопасности. При этом отдельные государства ЕС всё же обсуждали такую возможность.

Однако авторы отчёта указывают на риск для инфраструктуры 5G, исходящий от. как они называют, «стран, не являющихся членами ЕС. либо компаний — поставщиков оборудования, пользующихся поддержкой государства».

Ещё в марте 2019 г., когда европейские страны решали, как им реагировать на настойчивые требования США отказаться от сотрудничества с Huawei. Комиссия выработала ряд рекомендаций, призвав государства-члены ЕС усилить индивидуальную и коллективную бдительность, дабы снизить возможные риски по мере приближения запуска сетей 5G.