Российских хакеров вновь обвиняют в киберпреступлениях на международном уровне: власти Великобритании заявляют, что атака вируса NotPetya была организована Кремлем
«Русские хакеры» вновь «попались»: 15 февраля МИД Великобритании заявил, что атака вируса NotPetya была организована «Кремлем», а в СМИ появились сообщения о том, что двое россиян были осуждены в США за крупные кибератаки. Почему их обвиняют в причастности к наиболее громким преступлениям на международном уровне, есть ли доказательства российского вмешательства и как западные власти активно используют приемы эпохи постправды (как сказали, так и будет, все равно никто не проверит).
Национальный след
Возможно ли доказать атрибуцию (причастность злоумышленников) к той или иной национальной хакерской группировке, ведь, по мнению специалистов «Лаборатории Касперского», мощные киберсообщества существуют и в Китае, и в Латинской Америке?
«Люди, стоящие за кибератаками, говорят на множестве языков: русском, китайском, испанском, немецком или английском, — говорит руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. — Например, в третьем квартале 2017 года наиболее активными были группировки, говорящие на китайском языке. Хотя надо признать, что русскоговорящие злоумышленники действительно занимают одну из лидирующих позиций в мире по количеству киберпреступлений. В настоящий момент в мире существует три крупнейшие киберпреступные экосистемы: русскоязычные, говорящие на китайском и латиноамериканские. Также в последние годы стремительно развивается условно называемая «мусульманская» киберпреступность, сгруппированная в основном вокруг туркоязычного сообщества. Если резюмировать, то сейчас все страны делают это».
По словам Наместникова, атрибуция атаки является чрезвычайно сложной, но выполнимой задачей. Важно собрать не один и не два фактора, указывающих на причастность хакерской группы к определенной национальности или организации. Сделать это можно по многим факторам: анализ целей атакующих, привязка к событиям, ошибки в коде, переиспользование вредоносных программ и их частей в разных атаках, ошибки в управлении вредоносными программами, использование определенных приемов на разных стадиях атак, анализ командных серверов.
«По сути, атрибуция — это прежде всего работа правоохранительных органов, исследователи же находят некоторые зацепки, которые могут говорить о возможной стране или группе хакеров, но при этом важно понимать, что эти зацепки могут быть специально оставлены злоумышленниками, чтобы повести по ложному следу. Кстати, если верить WikiLeaks, у некоторых спецслужб есть даже специальные инструменты для того, чтобы сделать код похожий на код хакерских групп из других стран», — говорит он.
Ложная наводка
По словам PR-директора компании Digital Security Юлии Кольдичевой, релевантных признаков, которые позволили бы со стопроцентной гарантией определить атакующего, также не существует: «Информация существует в цифровом виде, значит, ее можно как угодно специально отредактировать для любых целей. И все признаки могут оказаться несостоятельными, включая определение IP-адреса сервера, время сборки программы, языковые строки в коде и др. Например, любой более или менее продвинутый пользователь может добавить в свою программу строчки кода на том или ином языке. Часто так и делают, когда хотят засветить «русский след».
Глава компании ESET в России и СНГ Денис Матеев также предположил, что «русский след» может быть преднамеренным обманом. Он рассказал Forbes, что для установления источника кибератаки необходимо учитывать много факторов:
«Например, сопоставляются фрагменты кода, указывающие на языковую принадлежность авторов, используемые методы и инструменты, временные метки и т. п. Но эти факторы или наборы факторов могут указывать как на происхождение авторов, так и вполне вероятно являться намеренно созданным ложным следом». Однако, по его мнению, расследования кибератак — это в первую очередь прерогатива правоохранительных органов и компаний, фокусно занимающихся расследованиями киберпреступлений.
«Со своей стороны, антивирусная компания работает с данными технического характера: выявляет методы и цели атак, вредоносное ПО, уязвимости и эксплойты с цели доработки собственных решений и максимальной защиты пользователей. А дальнейший поиск виновных и их мотивов — задача специалистов другого профиля», — сказал он.
Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин также считает, что хакеры, которые могут взламывать правительственные пароли и сайты больших компаний, обладают достаточной компетенцией, чтобы скрыть свою принадлежность к той или иной стране.
«Тем не менее дыма без огня не бывает, — говорит он. — Достоянием общественности постоянно становятся факты стремительного наращивания потенциала «киберармий» всех сильнейших государств планеты. Ясно, что эти люди не сидят без дела, их активно привлекают как минимум к решению задач разведки и изучению защиты ресурсов потенциальных противников. Если говорить об атаках хакеров, работающих на правительства, было бы странно, если бы они не применяли методы маскировки».
По его словам, современная индустрия киберкриминала — это настоящий конвейер с четким разделением труда, где работает очень много русскоговорящих подпольных специалистов.
«Сейчас практически в любой сложной комплексной атаке есть компоненты, разработанные жителями бывшего СССР. Это почти всегда позволяет находить «русский след» в действиях злоумышленников. В то же время сами авторы компонентов могут быть совершенно не в курсе, используются ли их разработки для взлома АЭС или хищения паролей от Facebook».
В каких кибератаках обвиняли наших соотечественников и какие доводы использовали специалисты по кибербезопасности.
NotPetya
Утром 15 февраля МИД Великобритании опубликовал заявление, в котором утверждается, что российское правительство «должно понести ответственность за кибератаку NotPetya в июне 2017 года», из-за которой «европейские организации потеряли сотни миллионов фунтов», а также был нанесен ущерб суверенитету Украины. По мнению британского МИД, атака вируса NotPetya была замаскирована под действия хакеров-вымогателей: вирус блокировал работу компьютеров на Windows и отправлял сообщение с требованием перевести сумму в биткоинах, эквивалентную $300, для разблокировки. В январе о причастности российского Минобороны к кибератаке NotPetya на Украину также заявляло американское ведомство ЦРУ.
Британский МИД редко выступает с официальными обвинениями в адрес российских хакеров, поэтому объяснил свою позицию тем, что посчитал в данном случае необходимым произвести самую высокую оценку ситуации и призвать к ее обсуждению в более широком контексте.
Хакеры, запустившие NotPetya, много не заработали: на их биткоин-кошельки было перечислено лишь $18 000. Лишь спустя несколько дней после начала атаки выяснилось, что вирус был не вымогателем, а шифровальщиком, который безвозвратно нарушал работу систем. Ущерб лишь одного датского логистического гиганта Moller-Maersk составил от $200 млн до $300 млн, говорится в квартальном отчете компании.
«Крупнейшая кибератака» в истории США
15 февраля стало известно, что окружной суд в американском городе Кадмен огласил приговоры россиянам Владимиру Дринкману и Дмитрию Смилянцу, которые в 2015 году признали свою причастность к серии хакерских атак, которую власти США назвали «крупнейшей в истории страны». По различным данным со счетов 17 американских финансовых учреждений и сетей розничной торговли, включая Nasdaq, OMX Group Inc., 7-Eleven Inc., Carrefour SA и JC Penney Co, было выведено от $160 млн до $300 млн.
Дринкман был осужден на 12 лет, а Смилянец — на четыре года, три месяца и 21 день, но был освобожден прямо в зале суда, так как этот срок он уже отбыл. И за последнее время это единственный доказанный случай, когда причастность русских хакеров к киберпреступлению была установлена в судебном порядке.
Cobalt Strike
Летом 2017 года Центробанк РФ зафиксировал 21 волну атак преступной группы Cobalt более чем на 240 компаний в 12 странах мира. Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая команды на выдачу наличных. Потом хакеры переориентировались на крупные компании, представителям которых рассылались фишинговые письма с зараженными файлами. Они загружали в оперативную память компьютера программное обеспечение Cobalt Strike. В начале декабря атаки Cobalt прекратились. В интервью изданию «Прайм» заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев предположил, что хакеры «решили смодифицироваться и готовят что-то такое неприятное к концу года, когда самый пик платежей, когда внимание банковских сотрудников падает». Однако с тех пор о крупных атаках Cobalt информации не поступало.
По данным «Российской газеты», за 2017 год в результате 11 атак хакеры украли более 1 млрд рублей из российских банков.
Olympic Destroyer на Олимпийских играх в Пхенчхане
12 февраля организаторы Олимпийских игр в Пхенчхане официально подтвердили информацию об обнаружении компьютерного вируса «Олимпийский разрушитель», который атаковал официальный сайт Олимпиады, а также каналы прямой трансляции церемонии открытия. Еще до открытия Игр эксперты в области кибербезопасности высказывали предположение, что такие страны, как Россия, сборная которой была официально отстранена от Олимпиады, и Северная Корея, могут быть заинтересованы в хакерских атаках. Однако официального обвинения или опровержения этой информации не было.
По мнению замдиректора департамента анализа защищенности Digital Security Глеба Чербова, целью хакеров были именно каналы трансляции Игр, а не статус Олимпиады, хотя репутационный ущерб действительно был нанесен.
«Олимпиада, как и любое другое событие мирового масштаба, привлекает внимание разной публики — от просто любопытствующих до враждебно настроенных, — говорит Глеб Чербов. — Если верить первоисточнику, атаке подверглась сетевая инфраструктура, обеспечивающая видеовещание и работу центрального пресс-центра. В отличие от банков с деньгами и персональными данными это кладезь самой разнообразной информации, эксклюзивных материалов и, ко всему прочему, потенциальная возможность влиять на ход освещения события, к которому приковано внимание всего мира. Подмена данных о результатах соревнований для публикации или выпуск в мировой эфир подготовленного для этого повода ролика — лишь самое банальное из того, что могло стать следствием этого инцидента».
Руководитель ICS CERT «Лаборатории Касперского» Евгений Гончаров считает, что за действиями злоумышленников может скрываться демонстрация протеста, акт мести, попытка нанести репутационный ущерб государству, отдельным организациям или даже должностным лицам и многое другое: «Нельзя исключать, что подобная атака может восприниматься хакерами и просто как возможность прославиться. Даже если инцидент не нанес существенного урона и неинтересен с технической точки зрения, он с большой вероятностью попадет в заголовки новостей, если он имеет какое-то отношение к главному инфоповоду недели».
Вмешательство в президентские выборы в США
В мае 2017 года Хиллари Клинтон заявила в интервью CNN, что если бы выборы состоялись 27 октября 2016 года, то именно она стала бы президентом Соединенных Штатов. По мнению Клинтон, именно скандал со взломом электронной почты ее помощника Чарльза Делавана и руководителя предвыборной кампании Джона Подесты помешал ей занять президентский пост. Данные были переданы сайту WikiLeaks и опубликованы 27 октября. В частности, раскрывались источники финансирования предвыборной кампании и попытки влияния на Уолл-стрит.
В расследовании, опубликованном в New York Times, говорится, что ко взлому были причастны две российские хакерские группы, которые, вероятно, поддерживаются Кремлем: CozyBear (известная так же, как «APT 29» или Dukes) и GRU FancyBear (они же «APT 28» или Pawn Storm). После выхода публикаций сам Джулиан Ассанж отрицал причастность хакеров к публикациям. «Сотни писем Клинтон, опубликованных WikiLeaks, были получены не в результате хакерской атаки, а от Государственного департамента США в соответствии с законом о свободе информации от 3 марта 2016 года», — написал Ассанж у себя в твиттере.
Однако это не исключает причастности русских хакеров к вмешательству в ход предвыборной гонки в США. 13 февраля 2018 года участник хакерской группы Lurk Константин Козловский признался на заседании Мосгорсуда в атаках на Демократическую партию США и Всемирное антидопинговое агентство (ВАДА), а также в причастности к хакерским группировкам CozyBear и GRU FancyBear.
Также специалисты по кибербезопасности увидели «русский след» не только в раскрытии переписки Клинтон и Подесты, нанесшей ущерб репутации политиков, но и в продвижении Трампа: по результатам проверки на сайте Департамента внутренней безопасности было опубликовано заявление, в котором утверждалось, что «действия хакеров имели целью помочь Дональду Трампу выиграть выборы». В этом признался и сам американский лидер: «Думаю, это была Россия, но, может, и другие люди в других странах. Никто точно не знает», — заявил он корреспондентам Associated Press во время визита в Польшу летом 2017 года.
Вмешательство в президентские выборы во Франции
В апреле 2017 года газета The New York Times опубликовала расследование по делу причастности российских хакеров в кибератаках, произошедших в рамках предвыборной президентской кампании Эммануэля Макрона. Тогда в сеть были выложены 9 Гбайт писем, украденных из электронной почты Макрона, которые едва не стоили ему президентского кресла. Взломщики выложили все материалы в сеть, распространив их при помощи ботов через Twitter и хештег #MacronLeaks.
В интервью BBC Trending представитель фирмы FireEye, отвечающей за кибербезопасность предвыборной кампании, Дэвид Гроут заявил, что за атакой стоит «российская хакерская группировка «APT 28», также известная, как Fancy Bear». В докладе высказывались опасения, что Россия может преследовать интересы по укреплению на выборах позиции соперницы г-на Макрона, лидера партии Национального фронта Марин Ле Пен. Однако председатель Национального совета цифровой экономики Франции Мунир Махжуби заявил, что «у него нет доказательств роли России к хакерским атакам». Позднее его слова подтвердил глава французского агентства по кибербезопасности Гийом Пупар, сказав о том, что его ведомство не нашло никаких признаков того, что за атаками во время президентской гонки стояли русские хакеры.
Майнинг
По результатам исследования «Лаборатории Касперского», число пользователей, ставших жертвами майнинговых атак, в 2017 году превысило 2 млн. Недавно эксперты «Лаборатории» обнаружили возможность таких кибератак на мессенджер Telegram для Windows. Вредоносные программы запускались в том случае, если пользователь сам скачивал файл со скрытым разрешением, и начинали майнить криптовалюту Monero, используя вычислительные возможности пораженного компьютера. «По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — утверждают специалисты. Все случаи эксплуатации уязвимости ПО были зафиксированы в России.
По словам Юрия Наместникова, с ростом стоимости биткоина и других криптовалют майнинг стал выгодным. «Многие киберпреступиники, в том числе и русскоговорящие, используют свои ресурсы и вредоносные программы именно для установки майнеров на зараженные компьютеры. Во-первых, такой вид киберпреступления несет для злоумышленников меньше рисков преследования со стороны правоохранительных органов, во-вторых, программы-майнеры легко монетизируются, что опять же снижает риск и уменьшает «операционные издержки», — утверждает он. — За примерами далеко ходить не нужно: огромное количество взломанных сайтов, в том числе и в рунете, недавно майнило криптовалюту через coinhive, а для некоторых программ для создания скрытых майнеров существует даже интерфейс на русском языке».