Печать Save as PDF +A A -A
18 июля 2017

Неправдоподобная версия о «хакерах-патриотах»

Характер кибератак на Украину свидетельствует о том, что  в большинстве случаев действовали отнюдь не националисты-любители

Когда Владимир Путин высказал абсурдное предположение о том, что за крупномасштабными кибератаками могут стоять «патриотически настроенные хакеры», он, конечно, лукавил. Количество и качество хакерских атак, проводившихся против Украины на протяжении нескольких лет, – это прямое доказательство того, что в большинстве случаев действовали отнюдь не националисты-любители.

Доказать, кто именно осуществил кибератаку, непросто, но еще труднее доказать, кто стоял за хакером, осуществившим взлом. Последняя кибератака на Украину вирусом «notPetya» наглядно демонстрирует проблему идентификации взломщика. Утром 27 июня электронные системы украинских банков, министерств, СМИ и других ключевых элементов инфраструктуры были заражены вирусом, полностью закодировавшим базы данных этих организаций и ведомств. За возобновление доступа к данным создатели вируса потребовали денег.  По мнению экспертов, на самом деле преступник сделал это не с целью наживы: атака была осуществлена не видом вируса-вымогателя «Petya» (как сообщалось ранее), а новым вирусом, который ранее не был зафиксирован. Кажется, что реальной целью этой кибератаки было создание суматохи в Украине накануне Дня Конституции. Однако вирус-шифровальщик быстро распространился за пределы Украины, поразив компьютерные системы более 60 международных организаций по всему миру. 

В этих кибератаках Украина видит российский след – впрочем, не впервые: Украина уже обвиняла Россию в организации кибератак во время выборов 2015 года, а также в последующих кибератаках на украинскую инфраструктуру в 2015 и 2016 гг. Доказать происхождение вируса непросто, это потребует много времени, но эти обвинения обретают смысл, если рассматривать их в контексте конфликта между Россией и Украиной, который вышел далеко за пределы вопроса об аннексии Крыма и оккупации Донбасса. Утверждения украинской стороны нашли поддержку среди многих экспертов, хотя следует признать, что они не спешили называть источник атаки, поскольку для этого требуются более весомые улики.

Те редкие моменты, когда хакерским атакам удается повредить компьютерные системы или привести к значительным финансовым потерям, порождают ложное впечатление, что кибератаки происходят лишь эпизодически. На самом же деле война в киберпространстве между Украиной и Россией практически никогда не прекращалась. По своей интенсивности она сопоставима с боями на фронтах востока Украины, а также с другими непрерывно используемыми в конфликте методами (шпионаж, дипломатия, экономическое давление и пропаганда).

Кибератаки – лишь одна из форм ведения такого рода войн и в обозримом будущем они не прекратятся. Поэтому следует задуматься над тем, как повысить надежность определения источника той или иной кибератаки, а также над тем, что можно достичь в кибермире, не пересекая при этом грань «ядерного варианта», к которому могут прибегнуть государство или организация. Как можно существенно улучшить способы сдерживания и защиты? Что реально можно достичь на индивидуальном или групповом уровне, как и какой ценой? Можно ли с высокой степенью достоверности вычислить хакеров в киберпространстве, где грани между терроризмом, организованной преступностью, государством и квазигосударственными субъектами все больше стираются, и если да, то какие меры должны быть приняты в ответ, помимо простой симметричной акции возмездия?

Недавно в одном из своих выступлений президент Путин упомянул «патриотически настроенных хакеров». Это обыкновенные россияне, которые, как намекнул Путин, могут совершить хакерскую атаку, если сочтут, что национальные интересы России были ущемлены, но при этом они якобы не имеют никакого отношения к российскому государству. При этом Путин дал понять, что наиболее заметной акцией «патриотически настроенных хакеров» было их возможное вмешательство в американские выборы, когда были взломаны серверы Демократической партии США.

Хакерские группировки APT 28 («Fancy Bear») и APT 29 («Cozy Bear») чаще всего упоминаются международными СМИ, когда речь заходит о киберпреступлениях различных российских спецслужб, но существуют и другие, менее разрекламированные группы. Однако «патриотически настроенным хакерам» не по силам достичь результатов, которые способны обеспечить APT. 

Разница заключается не в способности кодирования. Речь идет о сочетании воли и преступного умысла, проявляемого в течение продолжительного периода времени.  Разгадка содержится в самом названии – APT расшифровывается как Целенаправленная устойчивая угроза (Advanced Persistent Threat). 

Возникает вопрос: насколько зловредными могут быть «патриотически настроенные хакеры» по сравнению с настоящими АРТ, пользующимися поддержкой государства?

Для ответа на этот вопрос можно попробовать выстроить теоретическую APT, ведь это не программное обеспечение и не инструмент из киберпространства. АРТ – это группа людей, а не хакер-одиночка. У АРТ есть структура и процесс, есть задача и, возможно, заказчик определенной «услуги». Поэтому АРТ начинается  с людей, коллектива, а уже потом появляются идеи и объекты для атак. И только в последнюю очередь приходят искусные компьютерные премудрости, необходимые для достижения злодейских целей, какими бы они ни были.

Давайте попытаемся представить себе как выглядит APT, заглянув чуть дальше модных выражений, которые так приковывают внимание СМИ (среди этих модных выражений – атаки «нулевого дня», пакеты инструментальных средств, взломы, программные закладки и т.д.). В обыденной мирской жизни речь идет о людях, которые должны разработать, испытать, применить и поддерживать работу инструментальных средств прикладных программ, призванных обеспечить хаос в киберпространстве. Для этого требуются операторы, разработчики и системные администраторы, задачей которых является поддержание работы всякого специально сконструированного кибермероприятия на постоянной основе, а также разработка новых инструментальных средств прикладных программ для последующих киберопераций. 

Даже если предположить, что «хакер-патриот» способен выполнять несколько задач одновременно и он настолько талантлив, что обладает широким диапазоном навыков различных профессий, то и в этом случае «патриотически настроенный хакер»-одиночка должен посвящать своему делу все свое время, а не заниматься им как хобби.

Кроме того, необходимо создать такую инфраструктуру, которую будет невозможно (или по крайне мере очень непросто) отследить.  Когда речь идет о взломе компьютерных систем избирательной кампании, то даже если хакера и удалось бы идентифицировать, он отделался бы лишь кривой ухмылкой. Но вот в случае обвала финансовых рынков, блокировки национальной инфраструктуры, а также совершения действий, которые могли бы быть истолкованы как повод для войны или как военное преступление, идентификация преступника была бы крайне нежелательна. Как и пилота бомбардировщика, хакера нужно долго обучать для того, чтобы вредоносный код поразил цель точно, а непреднамеренный сопутствующий ущерб был сведен к минимуму, дабы избежать нежелательной огласки. Однако и у пилотов бомбардировщиков, и у хакеров непреднамеренный сопутствующий ущерб случается.

Наконец, встает вопрос об оплате труда. Если APT состоит из «патриотически настроенных хакеров», которые преследуют либо преступные, либо государственные цели, то кому-то придется создавать многочисленные компании-пустышки, подставные банковские счета и юридические схемы с целью максимального усложнения процесса идентификации хакера и преследования его по закону. Вряд ли «патриотически настроенный хакер»-одиночка в состоянии совершить всю эту юридическую эквилибристику.

Но даже если ему удастся успешно взломать систему, создать множество компаний-пустышек с подставными банковскими счетами, и при условии, что его задачей является извлечение данных, а не просто нанесение ущерба системе, то потребуются специалисты по анализу мегабайтов и терабайтов эксфильтрованных данных. А если эксфильтрация имеет массивные объемы и операция носит не одноразовый характер, а продолжается на постоянной основе, то специалистов по анализу данных потребуется очень и очень много.

При этом они должны свободно понимать язык страны, откуда добыты данные. Если же лингвистических талантов нет, то понадобятся переводчики. А если поставленную задачу нужно выполнить в срок, а качество должно хотя бы приблизительно соответствовать пиратскому продукту или же уровню государственного шпионажа, то требования к  кадрам APT будут постоянно расти.  Сама по себе гора необработанных данных не стоит денег, затраченных на их получение, и клиент, по заказу которого была проведена операция, останется недовольным.

Экспертам по анализу данных потребуется большое количество компьютерного оборудования и (весьма дорогого) программного обеспечения для проведения анализа.  В сущности, речь идет о таких объемах, что стоит задуматься о разработке собственного программного обеспечения для проведения анализа для целей данной организации.

Во избежание отвлечения ресурсов на второстепенные цели, а также решения кадровых проблем («патриотически настроенный хакер» может заболеть, утратить интерес к своему делу, уйти на лучше оплачиваемую работу – все вышеупомянутые профессии весьма неплохо оплачиваются во всем мире и существует конкуренция за привлечение к себе на работу специалистов такого класса), кто-то должен взять на себя управление APT.

Патриотизм – дело, конечно, хорошее, но «патриотически настроенному хакеру» нужно платить за квартиру и содержать свою семью.  

Когда речь заходит о контроле над эксфильтрованными данными, то также не следует упускать из виду проблему аутсорсинга государства. Какие функции APT могут быть переданы стороннему подрядчику, не подвергаясь при этом серьезному риску? 

В коммерческой фирме оплата труда столь высококвалифицированных сотрудников, количество которых должно быть достаточным, чтобы выдать вовремя качественный продукт, вероятно, измерялась бы миллионами долларов в год. В противном случае группа «патриотически настроенных хакеров», бесплатно работающая на государство (если, конечно, их не принудили к этому), несла бы соизмеримые финансовые потери.

После всего вышесказанного всем должно стать понятно, что «патриотически настроенному хакеру» (или даже нескольким «хакерам-патриотам») было бы весьма непросто обеспечить элемент «устойчивости» APT (Целенаправленной устойчивой угрозы), по крайне мере без существенной поддержки со стороны.

Даже если объект атаки использует слабую систему киберзащиты, которую можно было бы взломать при помощи обычных хакерских средств, и даже если в эту организацию внедрен агент, который помогает аналитикам,  группа «патриотически настроенных хакеров», выступающая в качестве прикрытия государственной или финансируемой государством APT, мало на что способна.

Мы, скорее всего, никогда не узнаем, кого имели в виду Трамп и Путин, обсуждая ныне уже похороненную идею создания российско-американского подразделения кибербезопасности. Но, возможно, Путин знает «патриотически настроенных хакеров», у которых уйма свободного времени?  

Использование материалов интернет-издания "Intersection" путем их полного воспроизведения разрешается только с разрешения редакции Intersection - intersection@intersection.eu