Анализируя последние атаки на сайты Белого дома и НАТО, американские СМИ заподозрили в их авторстве работающих на правительство России хакеров. В качестве доказательств они указывают на то, что программы написаны с примечаниями на русском языке, а время совершения атак совпадает с неким рабочим московским. Эксперты отмечают, что доказать причастность какой-то страны к кибератакам крайне сложно.
Русские наследили
Хакеры, которых подозревают в атаках на компьютерную сеть Белого дома и НАТО, могли работать на российское правительство, написала в среду газета Washington Post.
Как выразился один из американских чиновников, речь идет о «непрекращающейся борьбе за закрытые компьютерные системы американского правительства». «Поэтому лица, которые пытаются взломать эти системы и получить доступ к нашим сетям, всегда являются для нас поводом для беспокойства».
Поводом для беспокойства американских спецслужб на этот раз стали хакеры, которые, как утверждают авторы, работают на российское правительство.
Газета указывает, что в расследовании «подозрительной киберактивности» сейчас задействованы специалисты ФБР, Агентства национальной безопасности и Секретной службы США.
Официальные представители Белого дома, между тем, отказались предоставить информацию о том, кто именно стоит за попыткой проникновения в компьютерные сети американского правительства и какими объемами данных могли завладеть злоумышленники.
В Белом доме официально сообщали лишь, что «в ходе проверки в связи с недавними угрозами в сети исполнительного офиса президента мы обнаружили активность, которая вызвала обеспокоенность. Любые такие случаи мы рассматриваем очень серьезно. В данном случае мы приняли незамедлительные меры по ее оценке и подавлению».
До этого представитель американской администрации, пожелавший остаться неназванным, сообщил, что в процессе оценки недавних угроз в Белом доме была идентифицирована активность, касающаяся незасекреченной сети общего пользования сотрудников исполнительного управления президента США в Белом доме. По словам другого представителя администрации, данных о том, что хакерам удалось украсть какую-то информацию, нет.
Отметим, что прозвучавшие в среду со страниц газеты Washington Post обвинения – лишь очередные в цепи подобных. Так, накануне специализирующаяся на компьютерной безопасности американская компания FireEye опубликовала результаты исследования о кибершпионаже со стороны России.
Там заявили, что базирующаяся на территории России группа хакеров под названием APT28 (от Advanced Persistent Threat – «целенаправленная устойчивая угроза») регулярно похищает данные, касающиеся Североатлантического альянса и союзников Вашингтона.
По данным Wall Street Journal, которая опубликовала результаты этого исследования, хакеры пытались внедрить созданные ими программы в компьютерные системы компаний Science Applications International и Academi LLC, выполняющих заказы для служб безопасности США и располагающих информацией Пентагона.
Компания FireEye утверждает, что в группу APT28 входят русскоязычные специалисты, поскольку используемое ими для проникновения в закрытые сети программное обеспечение чаще всего содержит команды на русском языке. Кроме того, как сообщается в докладе, более 96% изученных образцов вредоносных программ APT28 были составлены в рабочие дни недели с понедельника по пятницу и более 89% в промежуток с восьми часов утра до шести вечера в часовом поясе, в котором расположены Москва и Санкт-Петербург.
«А за компьютером сидит бабушка»
Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев, комментируя сообщения о кибератаках, заметил, что названная группировка действительно существует.
«Мы на протяжении нескольких лет наблюдаем за группировкой APT28, и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Решения лаборатории детектируют и блокируют используемую ими вредоносную программу Sofacy. Более того, летом 2014 года в одной из стран СНГ мы расследовали крупный инцидент, в котором была задействована эта хакерская группа. Вместе с тем у нас нет свидетельств связи хакеров с правительственными структурами», – сказал Гостев.
По его данным, о русскоязычности хакеров свидетельствуют и некоторые комментарии в коде – не на русском, конечно, а транслитом на латинице, уточнил он. Уликами могут быть и версии операционной системы, на которой файлы создавались.
«Кроме того, есть ряд дополнительных факторов: пересечение некоторых технологий в коде с другими ранее известными группами, также считающимися русскоязычными (например, с Miniduke), использованные при регистрации доменов (еще в 2007 году) данные, некоторые ошибки в написании английских слов, свойственные русскоязычным авторам и т.д. Таким образом, получается целый комплекс улик, каждая из которых по отдельности мало что значит, но, сложив их воедино, мы получаем общую картину», – пояснил специалист.
Между тем доцент кафедры «Компьютерные системы и сети» МГТУ им. Баумана, к.т.н. Алексей Попов заявил, что ни время атаки, ни прописанный код не помогут определить конкретную страну или личности хакеров.
«Страну никак нельзя причислить к совершению атак. Можно обнаружить, откуда поступают запросы по Сети. Но даже если IP-адрес «прописан» в России, это не будет доказательством того, что человек, инициировавший атаку, родом из России. Потому что хакеры могут захватить персоналку любого пользователя и использовать ее для вторжения или рассылки вредоносных программ. Однозначным подтверждением принадлежности к какой-то стране может быть только одно: если конкретного хакера поймают и он признается», – заявил Попов.
По его словам, действительно, в каком-нибудь вредоносном коде могут встречаться русские слова в транслитерации на английский, но и это никак не может быть подтверждением причастности страны.
«Можно выйти в Google Translator и протранслитировать слова и сымитировать, что ты русский или китаец. Бесспорным подтверждением может быть, если атака будет исходить с адреса Кремля. Его же не могут так просто взломать. А сейчас они просто ухватились за ниточку, которая ведет на территорию России, и говорят об этом как о свершившемся факте», – возмутился он.
Анализируя сведения FireEye, в частности, о времени «работы» хакеров, ученый заявил, что это также не может быть основанием для утверждений о причастности россиян.
«Хакеры сидят по ночам. И я их понимаю. Днем плохо думается. Хакеры не работают на рабочих местах, их так изловить было бы легче. Все атаки делают автоматически, все было заложено и в нужный момент проснулось. Пишется программа, которая запускает весь процесс, чтобы человек вручную ничего не делал. И время можно было поставить любое.
Это крайне примитивный вывод, что время соответствует Москве, и поэтому Москва все организовала. Для нормального человека такие выводы просто курам на смех, – заметил Алексей Попов. – Недавно во время поездки в Германию вместе с немецкими коллегами обсуждали тему того, как простому человеку доказать невиновность, если с его компьютера была совершена атака.
Доказать очень непросто. Многие из нас, например, используют операционную систему Windows, в которой много лазеек. Вот и оказывается, что хакер – из России. А на самом деле за компьютером сидит какая-нибудь бабушка и не знает, что у нее там происходит, главное, чтобы пасьянс работал».
По его мнению, Россию стали активно обвинять в хакерских атаках, поскольку «проще все свалить на нас и китайцев». «Чтобы сделать из нас врагов в информационном мире, чтобы на нас показывали пальцем, чтобы наши зарубежные коллеги считали нас проходимцами», – посетовал Попов.
Напомним, США неоднократно называли Китай и Россию главными источниками киберугроз. Еще в ноябре 2011 года управление национальной контрразведки в докладе Конгрессу сообщало, что хакеры из этих двух стран наиболее активно пытаются через интернет проникнуть на защищенные серверы, где хранится экономическая и оборонная информация. Пекин неоднократно отвергал свою причастность к любым формам действий в киберпространстве и заявлял об американской киберактивности в китайском интернете.
Автор:
