Качественная атрибуция кибератаки подразумевает проведение целого комплекса мероприятий, зачастую требуются совместные действия правоохранителей нескольких стран, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Фото: АО «Лаборатория Касперского»
— Само понятие атрибуции в сфере информбезопасности давно вошло в обиход?
— Впервые широко это стало обсуждаться в 2007 году, после кибератак на Эстонию, в организации которых обвинили Россию. Вопрос снова встал в полный рост в 2010 году с обнаружением Stuxnet. В том же году в США даже были оформлены некоторые патенты на методы атрибуции. Ну а окончательно понятие сформировалось в 2013-м, когда американская компания Mandiant не только опубликовала детали множества атак, организованных группой APT1, но и назвала конкретные китайские правительственные структуры, ответственные за данные атаки. В мае 2013-го я выступал на конференции Phdays как раз с презентацией на тему анализа атрибутов, призванных ответить на вопрос «Кто?».
— Если говорить глобально, в чем состоит проблема атрибуции кибератак? И эволюционирует ли она с течением времени?
— Проблема атрибуции атак заключается в том, что это, по сути, комплекс оперативно-разыскных мероприятий. Успешный поиск организатора и исполнителя атаки возможен только при участии правоохранительных органов, причем в условиях международной кооперации в расследовании. По российскому законодательству оперативно-разыскные мероприятия вообще могут вести только органы внутренних дел, а никак не частные компании. Мы можем проанализировать код, сделать какие-то выводы на его основе, но остальное — не в нашей компетенции и возможностях. Да, нам могут предоставить на анализ содержимое сервера управления, но сначала этот сервер должен быть изъят какой-то полицией в какой-то стране.
Именно отсутствие подобной кооперации в настоящий момент значительно осложняет исследования. Особенно если атака имеет вероятное происхождение из какой-либо правительственной структуры. Даже сам факт полицейского расследования такой атаки может повлечь за собой дипломатический скандал. А когда неочевиден или отсутствует факт финансового ущерба — в случае классического кибершпионажа, например,— заставить полицию возбудить дело становится и вовсе невозможной задачей.
С традиционными киберпреступлениями все гораздо проще. Там есть конкретные потерпевшие и можно оценить ущерб, да и возможностей по сокрытию следов у обычных киберпреступников гораздо меньше, чем у правительственных хакеров. При должном желании практически любого киберпреступника можно найти, примеров тому достаточно много.
— Какие методы атрибуции кибератак сейчас релевантны и позволяют вычислять атакующего?
— Повторюсь, задача крайне непростая. Добавляет сложности еще и намеренное использование группировками ложных меток, призванных сбить исследователей с верного следа. Обычно страну, из которой исходит атака, пытаются определить по комплексу факторов. Прежде всего это анализ кода — в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т. д. Но с нашей точки зрения, их одних недостаточно для однозначного выявления национальности атакующих. Киберпреступники могут намеренно оставлять такие ложные следы, кроме того, русский язык, например, является языком общения во многих странах бывшего СССР, особенно в сфере компьютерных технологий, и делать выводы о российском следе в том или ином деле на этой основе довольно опрометчиво. Аналогичная ситуация и с другими языками — китайским, испанским и тем более английским. Еще один возможный способ оценки — отталкиваться от того, какие файлы или документы ищут киберпреступники.
Но напомню, что каждый случай уникален. Многое можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами, и т. д. Так, например, в случае Red October окончательно в русском следе мы убедились уже спустя несколько месяцев после публикации, когда получили данные о том, что за хостинг серверов оплата проводилась наличными через уличные терминалы оплаты в Москве, а также получили часть переписки на чистом русском языке между хакерами и службой поддержки хостинговой компании.
Для более или менее внятной атрибуции недостаточно учитывать только один из признаков. Всегда необходимо смотреть на комплекс: возможные мотивы, интерес к определенным структурам, регионам и данным, географические признаки (часовые пояса активных действий), лексика кода, сетевые следы (IP-адреса и т. д., хостинг серверов управления и т. д.) и используемые технические средства.
— Вы периодически выпускаете отчеты о действиях некоторых хакерских группировок — Carbanak, Lazarus и т. д. Можете ли вы рассказать, по каким признакам вы понимали, что за разными кибератаками в разных странах стоит одна и та же хакерская группировка?
— К неоднозначным случаям можно отнести атаку Lazarus: различные исследования деятельности этой группы неоднократно указывали на Северную Корею, однако признаки были в основном косвенные. К примеру, атака на Sony Entertainment была проведена незадолго до премьеры «Интервью», комедии, в финале которой убивают лидера КНДР Ким Чен Ына. В результате премьеру фильма пришлось отложить. Аналогично и атаки на южнокорейские сайты — предположение о причастности северного соседа основывалось прежде всего на возможном мотиве. Некоторые дополнительные улики экспертам «Лаборатории Касперского» удалось установить в ходе расследования инцидента в одном из банков Европы. На одном из взломанных серверов, который Lazarus использовала в качестве командного центра, удалось обнаружить важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, но был также зафиксирован один запрос от редкого IP-адреса в Северной Корее. По одной из версий, это может указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было тем самым ложным следом, то есть попыткой намеренно запутать экспертов и скомпрометировать корейцев. Также всегда остается вероятность, что кто-то из жителей Северной Кореи случайно посетил адрес сервера.
Или давайте посмотрим на работу группировки Sofacy: о ее русскоязычности свидетельствуют и некоторые комментарии в коде (не на русском, конечно, а транслитом), и версии операционной системы, на которой файлы создавались, и часовые пояса. Кроме того, есть ряд дополнительных факторов: пересечение некоторых технологий в коде с другими ранее известными группами, также считающимися русскоязычными (например, с Miniduke), использованные при регистрации доменов еще в 2007 году данные, некоторые ошибки в написании английских слов, свойственные русскоязычным авторам, и т. д. Таким образом, получается целый комплекс улик, каждая из которых по отдельности мало что значит, но, сложив их воедино, мы получаем общую картину.
Если говорить о национальных особенностях написания кода, то русскоязычные обычно пишут хорошо, но при этом часто коверкают английские слова типичным способом, который легко опознать. Еще очень любят использовать сложные навесные защиты поверх своих программ. Китайцы пишут «в лоб», не думая ни о качестве кода, ни о производительности. Часто пользуются готовыми системными или сторонними программами вместо вызова соответствующих функций ОС. Все остальные пишут как попало, и их обычно не отличить. Или, например, в атаке Duqu 2.0 верхние слои кода были представлены в виде намеренной мешанины, похожей то на китайцев, то на русскоговорящих. Еще одним признаком иногда может стать выбор алгоритма шифрования или сжатия, который бывает типичен для определенной национальной группы.
Суммируя, атрибуция является чрезвычайно сложной задачей. Важно собрать не один и не два фактора, указывающих на причастность хакерской группы к определенной национальности или организации к совершению преступления. Это долгий процесс, требующий тесного взаимодействия между компаниями в области безопасности, жертвами и правоохранительными органами разных стран мира и при этом зачастую не приводящий к результату. Исключения бывают, как правило, только если сами атакующие допускают какие-то грубейшие ошибки, но и они могут быть намеренными, ложным следом.
— В целом можно ли со стопроцентной уверенностью определить тех, кто стоит за кибератакой?
— Вопрос атрибуции — это прежде всего задача правоохранительных органов. Например, в 2014 году ФБР обнародовало результаты расследования атаки на Sony Pictures Entertainment и представило доказательства причастности Северной Кореи к этому инциденту. За атрибуцией стоит еще более важный вопрос: что именно может являться актом кибератаки — например, является ли такой атакой заражение вредоносной программой больницы — и каким может и должен быть ответ на подобную атаку на уровне государства? Споры по этой теме ведутся уже несколько лет. Так, существует документ НАТО, в котором сделана попытка систематизировать эти вопросы — так называемый Таллиннский мануал. В США уже пару лет пытаются выработать сценарии адекватного ответа, вплоть до физического военного ответа, на кибератаки, организованные другими странами. И все снова упирается в атрибуцию: основная сложность сейчас — достоверная идентификация источника и организатора атаки. Все это является предметом обсуждения на самом высоком уровне, и в текущей ситуации такой диалог крайне необходим.