9 Июня 2017
МОСКВА, 9 июн, Анна Урманцева. Недавние обстоятельства с вирусами-вымогателями и целой серией обвинений в кибершпионаже не оставляют сомнений в том, что киберпространство в настоящий момент располагает всеми признаками человеческого мира с его хорошими и плохими проявлениями. Теневой интернет является аналогом преступного мира, а киберпреступные группировки представляют собой, по сути, мафиозные конструкции, которые поделили мир и контролируют его. Программисты, воюющие на стороне добра, не только знают почерк отдельных преступников, но могут, также, определить по цифровому коду происхождение отдельных вредоносных программок. О том, как это делается, поведал главный антивирусный эксперт Лаборатории Касперского Александр Гостев.
- Существуют ли характерные штрихи разных школ программирования, которые можно увидеть во вредоносном коде?
— Ежедневно мы регистрируем больше 300 тысяч образцов нового вредного кода. Мы условно можем разделить эти вредоносные программы на три большие группы, кои представляют три крупнейшие киберпреступные системы: китайские хакеры, которые сейчас занимают первое место, в основном исключительно из-за численности, русскоязычные хакеры и латиноамериканские. Также в последние годы стремительно развивается так принято именуемая мусульманская киберпреступность, сгруппированная в основном вокруг туркоязычного сообщества. - Существует ли возможность распознать национальность вируса, то есть, понять происхождение вредной программы или ее создателя?
— Определить, кто стоит за атаками в киберпространстве, крайне непросто, а намеренное использование группировками ложных метин, призванных сбить исследователей с верного следа, лишь усугубляет эту задачу.
В целом, назвать страну, из которой отправляется атака, можно по многим факторам. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Но, с нашей точки зрения, одних этих слов недостаточно для обвинительных выводов.
Киберпреступники могут намеренно оставлять ложные следы, запутывая тем самым следствие. Кроме того, русский язык, например, является языком общения во многих странах предыдущего СССР, особенно в сфере компьютерных технологий. Поэтому делать выводы о российском следе в том или ином деле на этой основе довольно опрометчиво. Аналогичная ситуация и с другими языками. Но, например, в истории с атакой Red October (*речь идет об обширной сети кибершпионажа против дипломатичных и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран) окончательно в русском следе мы убедились уже спустя несколько месяцев после публикации, – в тот миг, когда получили данные о том, что за хостинг серверов цена проводилась наличными через уличные терминалы оплаты в Москве. Также мы получили рубрика переписки на чистом русском языке между хакерами и службой поддержки хостинговой компании.
К неоднозначным случаям можно отнести случаи с атаками Lazarus: различные исследования деятельности хакерской команды Lazarus неоднократно указывали на Северную Корею, однако признаки были в основном косвенные. К примеру, атака на Sony Entertainment была проведена незадолго до премьеры фильма Интервью, в финале которого убивают лидера КНДР Ким Чен Ына (*выход фильма в прокат в США планировался на 25 декабря 2014г. , но 18 декабря был отменён компанией Sony Pictures Entertainment из-за угроз хакеров и бойкота со стороны владельцев фильмов). Некоторые дополнительные улики экспертам Лаборатории Касперского удалось инсталлировать в ходе расследования инцидента в одном из банков в Юго-Восточной Азии. На одном из взломанных серверов, который Lazarus использовала в качестве командного центра, удалось обнаружить важный артефакт. Первые подключения к серверу выполнялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако был также зафиксирован один запрос от редкого IP-адреса в Северной Корее. По одной из версий, это может указывать на то, что атакующие приставали к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было ложным флагом, то есть попыткой заведомого запутать экспертов и пустить их по ложному следу, или же кто-то из жителей Северной Кореи случайно посетил адрес хостинга. То есть, окончательных доказательств мы так и не получили.
Впрочем, вопрос атрибуции это, прежде всего, проблема правоохранительных органов. В 2014 году ФБР обнародовали результаты испытания атаки на Sony Pictures Entertainment и представили доказательства причастности Северной Кореи к этому инциденту.
Так что, атрибуция является чрезвычайно сложной задачей. Важно собрать не один и не два фактора, указывающих на причастность хакерской группы определенной нации или организации к совершению преступления. Это долгий процесс, требующий тесного взаимодействия между группами в области безопасности, жертвами и правоохранительными органами разных эта стран мира, и при этом зачастую не приводящий к результату. Исключения бывают, как правило, только если сами атакующие допускают какие-то грубейшие аварии.
Существуют ли внутренние бренды среди группы творцов вредоносных кодов? Можно ли по почерку узнать не только откуда люди, сделавшие программку, но и к какой группировке они принадлежат?
— Можно рассмотреть группировку Sofacy: о ее русскоязычности подтверждают и некоторые комментарии в коде (не на русском необходимого, а латиницей, транслит), и версии операторной системы, на которой документы создавались, и часовые бандажа. Кроме того, есть ряд дополнительных факторов: пересечение некоторых технологий в коде с другими ранее известными группами, также считающимися русскоязычными (например с Miniduke), использованные при регистрации доменов (еще в 2007 году) вышеозвученные, некоторые ошибки в написании английских слов, свойственные русским авторам и т. д. Таким образом, получается неиспорченный комплекс улик, каждая из которых по отдельности мало, что значит, но сложив их воедино можно получить общую репродукцию.
Редактор рубрики
Олег Кудрин
Место события на карте мира:
.
.
.
Комментарии к новостям
[17 Января 2024, 13:43] Александр Хомяков Замечательно! Не ожидал такой оперативности. Спасибо огромное! Всё работает и обновляется....
[15 Апреля 2022, 20:25] Ангелина Сметанина Скоро не только сократят, а много заводов вообще закроют и начнется бум китайских авто. Даже сейчас Эксид уже бешеные темпы по количеству проданных машин показывает...
[27 Декабря 2021, 21:44] Ева Воробьева Искренне рада за победителя! Но если бы мне так крупно повезло, то я прибежала бы за выигрышем в первый же день???? ...
[2 Сентября 2021, 13:11] Дмитрий Ершов Это хорошо. Значит клиенты долго ждать не будут. ...
[13 Мая 2021, 16:26] Олег Андреев "Мальдивы сутунки 65 государством, зарегистрировавшим расейскую вакцину против коронавируса Спутник V, сообщил Российский фонд секущих инвестиций (РФПИ)". Что это за йязыг?...
[2 Ноября 2020, 15:22] Лета Мирликийская риветсвую вас я с 6-ти лет пишу мне нужно все мои произведения задействовать в компьюторных программах образования по литературе и языкам и играм к примеру если ваши учащиеся напишут...
[20 Октября 2020, 09:22] Евгений Зимин Сузуки в этом году хорошо прибавили, уже не первый раз оба их пилота на подиуме. Видимо, для команды возвращаются "золотые" времена и есть шанс наконец оформить чемпионство после длительного перерыва....