Эксперт рассказал, как определить происхождение компьютерного вируса

МОСКВА, 9 чер – РІА Новини, Ганна Урманцева. Недавні події з вірусами-вимагачами і цілою серією звинувачень в кибершпионаже не залишають сумнівів у тому, що кіберпростір в даний момент володіє всіма ознаками людського світу з його гарними і поганими проявами. Тіньовий інтернет є аналогом злочинного світу, а киберпреступные угруповання являють собою, по суті, мафіозні структури, які “поділили світ” і контролюють його. Програмісти, “воюючи на боці добра”, не тільки знають почерк окремих злочинців, але можуть, також, визначити по цифровому коду походження окремих шкідливих програм. Про те, як це робиться, розповів головний антивірусний експерт “Лабораторії Касперського” Олександр Гостєв.
– Чи існують характерні штрихи різних шкіл програмування, які можна побачити під шкідливий код?
— Щодня ми реєструємо більше 300 тисяч зразків нового шкідливого коду. Ми умовно можемо поділити ці шкідливі програми на три великі групи, які представляють три найбільші киберпреступные системи: китайські хакери, які зараз займають перше місце, в основному виключно з-за чисельності, російськомовні хакери і латиноамериканські. Також в останні роки стрімко розвивається так звана “мусульманська” кіберзлочинність, згрупована в основному навколо туркоязычного співтовариства.

Кіберзлочинність
© Fotolia / Kletr
Замок на дверях не врятує: кіберзагрози, небезпечні для кожного з нас
Китайські кіберзлочинці спочатку були сфокусовані на атаках проти користувачів онлайн-ігор і крадіжки даних. Відмінною рисою російськомовних завжди було винахід нових технологій, спеціалізація на створення ботнетів, організація крадіжок грошей у банків та їх клієнтів, а також розповсюдження спаму та проведення DDoS-атак. Розквіт російського хакерства припав на 90ті-початок 2000х років, коли безліч хороших молодих програмістів не могли знайти гідної роботи, тому й займалися кіберзлочинами. З поліпшенням економічної ситуації в країні кількість кіберзлочинців знижується, — це видно на прикладі і Росії.
Хакер за комп’ютером. Архівне фото
© Fotolia / peterzayda
“Лабораторія Касперського” попередила про зростання числа фішингових атак
Іноді вірусописьменники додають в код своїх програм приховані послання. Наприклад, наші американські колеги якось виявили в коді незрозумілу їм напис, і коли вони показали нам, ми виявили написане транслітом образливе послання від російськомовного хакера. Але подібні знахідки – рідкість, більшість вірусописьменників намагаються приховати або замаскувати свою національну приналежність.
– Чи існує можливість розпізнати “національність вірусу”, тобто, зрозуміти походження шкідливої програми або її творця?
— Визначити, хто стоїть за атаками в кіберпросторі, вкрай непросто, а навмисне використання угрупованнями помилкових міток, покликаних збити дослідників з вірного сліду, лише ускладнює цю задачу.
В цілому, визначити країну, з якої виходить атака, можна по багатьом факторам. Насамперед, це аналіз коду – в ньому можуть міститися слова, побічно вказують на мовну чи національну приналежність авторів. Але, з нашої точки зору, одних слів недостатньо для обвинувальних висновків.
Кіберзлочинці можуть навмисно залишати хибні сліди, тим самим заплутуючи слідство. Крім того, російську мову, наприклад, є мовою спілкування в багатьох країнах колишнього СРСР, особливо в сфері комп’ютерних технологій. Тому робити висновки про “російському” сліді в тому чи іншому справі на цій основі — досить необачно. Аналогічна ситуація і з іншими мовами.
Чоловік працює на ноутбуці. Архівне фото
© Fotolia / DragonImages
США грають в “злого російського”, звинувачуючи росіян в кібератаках, вважають в СФ
Відштовхуватися від “мети”, тобто, — від того, які файли або документи шукають кіберзлочинці, теж недостатньо для точної атрибуції. Кожен випадок унікальний, — багато чого можна знайти при аналізі серверів управління шкідливою програмою, IP-адрес, використаних хакерами.
Але, наприклад, в історії з атакою Red October (*мова йде про велику мережу кібершпіонажу проти дипломатичних і державних структур, НДІ, промислових компаній і військових відомств різних країн) остаточно в “російський слід” ми переконалися вже через кілька місяців після публікації, – коли отримали дані про те, що за хостинг серверів оплата проводилася готівкою через вуличні термінали оплати в Москві. Також ми отримали частину листування чистою російською мовою між хакерами і службою підтримки хостингу компанії.

© “Лабораторія Касперського”
Операція “Red October”
До неоднозначних випадків можна віднести випадки з атаками Lazarus: різні дослідження діяльності хакерської групи Lazarus неодноразово вказували на Північну Корею, проте ознаки були в основному непрямі. Наприклад, атака на Sony Entertainment була проведена незадовго до прем’єри фільму “Інтерв’ю”, у фіналі якого вбивають лідера КНДР Кім Чен Ина (*вихід фільму в прокат у США планувався на 25 грудня 2014р., але 18 грудня був скасований компанією “Sony Pictures Entertainment” з-за хакерів і загроз бойкоту з боку власників кінотеатрів).

Співробітники корейського агентства з інтернет-безпеки в Сеулі спостерігає за поширенням вірусу WannaCry. 15 травня 2017
© AFP 2017 / Yonhap
Хакерів з КНДР запідозрили у створенні вірусу WannaCry
Однак припущення про причетність “північного сусіда” грунтувалася, насамперед, на можливу мотив.
Деякі додаткові докази експертів “Лабораторії Касперського” вдалося встановити в ході розслідування інциденту в одному з банків у Південно-Східній Азії. На одному з зламаних серверів, який Lazarus використовувала в якості командного центру, вдалося виявити важливий артефакт. Перші підключення до сервера здійснювалися через VPN і проксі, і відстежити їх місцезнаходження було практично неможливо. Однак був також зафіксований один запит від рідкісного IP-адреси в Північній Кореї. За однією з версій, це може вказувати на те, що атакуючі підключалися до сервера з цієї адреси з Північної Кореї. Однак не можна також виключати вірогідність, що підключення було “помилковим прапором”, тобто спробою навмисно заплутати експертів і пустити їх по помилковому сліду, або ж хтось з жителів Північної Кореї випадково відвідав адресу сервера. Тобто, остаточних доказів ми так і не отримали.

© РИА Новини / Володимир Астапкович
Перейти в фотобанк
Співробітниця під час роботи в компанії “Лабораторія Касперського”
Втім, питання атрибуції це, насамперед, завдання правоохоронних органів. У 2014 році ФБР оприлюднили результати розслідування атаки на Sony Pictures Entertainment і представили докази причетності Північної Кореї до цього інциденту.
Так що, атрибуція є надзвичайно складним завданням. Важливо зібрати не один і не два чинники, що вказують на причетність хакерської групи певної національності або організації до скоєння злочину. Це довгий процес, що вимагає тісної взаємодії між компаніями в галузі безпеки, жертвами і правоохоронними органами різних країн світу, і при цьому часто не приводить до результату. Виключення бувають, як правило, тільки якщо самі атакуючі допускають якісь грубі помилки.
— Чи існують “внутрішні бренди” серед групи творців шкідливих кодів? Можна по почерку дізнатися не тільки звідки люди, які зробили програму, але і до якої угрупованню вони належать?
— Можна розглянути угруповання Sofacy: про її російськомовності свідчать і деякі коментарі у програмному коді (не російською звичайно, а латиницею, трансліт), і версії операційної системи, на якій файли створювалися, і часові пояси. Крім того, є ряд додаткових факторів: перетин деяких технологій в коді з іншими раніше відомими гуртами, також вважаються російськомовними (наприклад з Miniduke), використані при реєстрації доменів (ще в 2007 році) дані, що деякі помилки в написанні англійських слів, властиві російськомовним авторам і т. д. Таким чином, виходить цілий комплекс доказів, кожна з яких окремо мало що значить, але склавши їх докупи можна отримати загальну картину.

Leave A Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *