МОСКВА, 9 июн – РИА Новости, Анна Урманцева. Недавние события с вирусами-вымогателями и целой серией обвинений в кибершпионаже не оставляют сомнений в том, что киберпространство в данный момент обладает всеми признаками человеческого мира с его хорошими и плохими проявлениями. Теневой интернет является аналогом преступного мира, а киберпреступные группировки представляют собой, по сути, мафиозные структуры, которые «поделили мир» и контролируют его. Программисты, «воюя на стороне добра», не только знают почерк отдельных преступников, но могут, также, определить по цифровому коду происхождения отдельных вредоносных программ. О том, как это делается, рассказал главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
— Существуют ли характерные штрихи разных школ программирования, которые можно увидеть во вредоносный код?
— Ежедневно мы регистрируем более 300 тысяч образцов нового вредоносного кода. Мы условно можем разделить эти вредоносные программы на три большие группы, представляющие три крупнейшие киберпреступные системы: китайские хакеры, которые сейчас занимают первое место, в основном исключительно из-за численности, русскоязычные хакеры и латиноамериканские. Также в последние годы стремительно развивается так называемая «мусульманская» киберпреступность, сгруппирована в основном вокруг туркоязычного сообщества.

Киберпреступность
Fotolia / Kletr
Замок на двери не спасет: киберугрозы, опасные для каждого из нас
Китайские киберпреступники поначалу были сфокусированы на атаках против пользователей онлайн-игр и кражи данных. Отличительной чертой русскоязычных всегда было изобретение новых технологий, специализация на создание ботнетов, организация краж денег у банков и их клиентов, а также распространения спама и проведения DDoS-атак. Расцвет российского хакерства пришелся на 90е-начало 2000х годов, когда множество хороших молодых программистов не могли найти достойной работы, поэтому и занимались киберпреступностью. С улучшением экономической ситуации в стране количество киберпреступников снижается, — это видно на примере и России.
Хакер за компьютером. Архивное фото
Fotolia / peterzayda
«Лаборатория Касперского» предупредила о росте числа фишинговых атак
Иногда вирусописатели добавляют в код своих программ скрытые послания. Например, наши американские коллеги как-то обнаружили в коде непонятную им надпись, и когда они показали нам, мы обнаружили написанное транслитом оскорбительное послание от русскоязычного хакера. Но подобные находки – редкость, большинство вирусописателей пытаются скрыть или замаскировать свою национальную принадлежность.
— Существует возможность распознать «национальность вируса», то есть, понять происхождение вредоносной программы или ее создателя?
— Определить, кто стоит за атаками в киберпространстве, крайне непросто, а намеренное использование группировками ложных меток, призванных сбить исследователей с верного следа, лишь усложняет эту задачу.
В целом, определить страну, из которой исходит атака, можно по многим факторам. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Но, с нашей точки зрения, одних слов недостаточно для обвинительных заключений.
Киберпреступники могут намеренно оставлять ложные следы, тем самым запутывая следствие. Кроме того, русский язык, например, является языком общения во многих странах бывшего СССР, особенно в сфере компьютерных технологий. Поэтому делать выводы о «российском» следе в том или ином деле на этой основе — весьма опрометчиво. Аналогичная ситуация и с другими языками.
Мужчина работает на ноутбуке. Архивное фото
Fotolia / DragonImages
США играют в «злого русского», обвиняя россиян в кибератаках, считают в СФ
Отталкиваться от «цели», то есть от того, какие файлы или документы ищут киберпреступники, тоже недостаточно для точной атрибуции. Каждый случай уникальный, — много чего можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами.
Но, например, в истории с атакой Red October (*речь идет о обширную сеть кибершпионажа против дипломатических и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран) окончательно в «российский след» мы убедились уже через несколько месяцев после публикации, – когда получили данные о том, что за хостинг серверов оплата производилась наличными через уличные терминалы оплаты в Москве. Также мы получили часть переписки чистом русском языке между хакерами и службой поддержки хостинга компании.

«Лаборатория Касперского»
Операция «Red October»
К неоднозначным случаям можно отнести случаи с атаками Lazarus: различные исследования деятельности хакерской группы Lazarus неоднократно указывали на Северную Корею, однако признаки были в основном косвенные. Например, атака на Sony Entertainment была проведена незадолго до премьеры фильма «Интервью», в финале которого убивают лидера КНДР Ким Чен Ына (*выход фильма в прокат в США планировался на 25 декабря 2014г., но 18 декабря был отменен компанией «Sony Pictures Entertainment» из-за хакеров и угроз бойкота со стороны владельцев кинотеатров).

Сотрудники корейского агентства по интернет-безопасности в Сеуле наблюдает за распространением вируса WannaCry. 15 мая 2017
AFP 2017 / Yonhap
Хакеров из КНДР заподозрили в создании вируса WannaCry
Однако предположение о причастности «северного соседа» основывалась, прежде всего, на возможный мотив.
Некоторые дополнительные доказательства экспертов «Лаборатории Касперского» удалось установить в ходе расследования инцидента в одном из банков в Юго-Восточной Азии. На одном из взломанных серверов, который Lazarus использовала в качестве командного центра, удалось обнаружить важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако был также зафиксирован один запрос от редкого IP-адреса в Северной Корее. По одной из версий, это может указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было «ложным флагом», то есть попыткой намеренно запутать экспертов и пустить их по ложному следу, или же кто-то из жителей Северной Кореи случайно посетил адрес сервера. То есть, окончательных доказательств мы так и не получили.

РИА Новости / Владимир Астапкович
Перейти в фотобанк
Сотрудница во время работы в компании «Лаборатория Касперского»
Впрочем, вопрос атрибуции это, прежде всего, задача правоохранительных органов. В 2014 году ФБР обнародовали результаты расследования атаки на Sony Pictures Entertainment и представили доказательства причастности Северной Кореи к этому инциденту.
Так что, атрибуция является чрезвычайно сложной задачей. Важно собрать не один и не два фактора, указывающих на причастность хакерской группы определенной национальности или организации к совершению преступления. Это долгий процесс, что требует тесного взаимодействия между компаниями в области безопасности, жертвами и правоохранительными органами разных стран мира, и при этом часто не приводит к результату. Исключения бывают, как правило, только если сами атакующие допускают какие-то грубые ошибки.
— Существуют «внутренние бренды» среди группы создателей вредоносных кодов? Можно по почерку узнать не только откуда люди, которые сделали программу, но и к какой группировке они принадлежат?
— Можно рассмотреть группировки Sofacy: о ее русскоязычности свидетельствуют и некоторые комментарии в коде (не на русском конечно, а латиницей, транслит), и версии операционной системы, на которой файлы создавались, и часовые пояса. Кроме того, есть ряд дополнительных факторов: пересечение некоторых технологий в коде с другими ранее известными группами, также считаются русскоязычными (например с Miniduke), использованные при регистрации доменов (еще в 2007 году) данные, что некоторые ошибки в написании английских слов, свойственные русскоязычным авторам и т. д. Таким образом, получается целый комплекс доказательств, каждая из которых в отдельности мало что значит, но сложив их вместе можно получить общую картину.