Петя и Vnuk: как определяют "национальность" компьютерных вирусов

  • 16 февраля 2018
Computer Правообладатель иллюстрации TIM BRAKEMEIER / GETTY IMAGES
Image caption Россия, США, Китай и другие крупные державы занимаются кибершпионажем и обвиняют в этом друг друга. Как им удается вычислить источники кибератак?

Британский МИД официально возложил на российские власти ответственность за массированную кибератаку с использованием вируса-вымогателя NotPetya, заразившего в июне прошлого года сотни тысяч компьютеров по всему миру.

"Правительство Соединенного Королевства приходит к выводу, что ответственность за разрушительную кибератаку NotPetya в июне 2017 года несут российские власти, а именно российская армия", - заявил 14 февраля заместитель министра иностранных дел Великобритании Тарик Ахмад.

На следующий день, 15 февраля, эту точку зрения поддержал и министр обороны Дании Клаус Хьорт Фредериксен.

В Британии от вируса пострадали десятки организаций, в том числе почта, рекламные, юридические, логистические и финансовые компании. Однако почти три четверти случаев заражения были зафиксированы на Украине.

Как утверждают в МИД Великобритании, кибератака была лишь обставлена как вымогательство, однако истинной целью вируса было не получение выкупа, а нарушение работы украинских госучреждений, финансового и энергетического секторов экономики.

Спецслужбы не раскрывают инструменты, с помощью которых они устанавливают страну, из которой проводилась кибератака. Несмотря на это, с версией о российском следе соглашаются в FireEye и других компаниях из сферы кибербезопасности. На чем строятся подобные обвинения?

Turla-ля

В сентябре 1998 года миновало два месяца с момента назначения Владимира Путина главой ФСБ России. В это время небольшая лондонская компания получила сообщение от министерства обороны США. Как теперь кажется, не менее исторически важное.

Из него следовало, что сервер и сайт лондонской компании были взломаны и использовались без ведома владельцев как узел первой в истории кампании кибершпионажа в отношении американских спецслужб. Ее назвали Moonlight Maze ("Лунный лабиринт").

Следы взлома вели в Хартли Уинтни - деревню на юге Англии, знаменитую своими полями для крикета. Местный житель и владелец сервера, 52-летний Дэвид Хеджес без раздумий пошел на сотрудничество с ФБР и Скотланд-Ярдом и предоставил им доступ к серверу.

Следователи начали собирать логи - записи о событиях на сервере в хронологическом порядке. Это позволило оценить ущерб от кибератаки: информация, в том числе о траекториях движения спутников на Атлантическим океаном, была похищена у десятков ведомств.

В итоге изучение логов позволило выйти на предполагаемых организаторов атаки.

Для взлома сервера использовался вирус LOKI2. Код вируса, помимо собственно текста программы, содержал слова на ломаном английском, а также имена возможных авторов - iron, max и rinat. Также в коде встречалось слово Vnuk.

Шпионя за шпионами, удалось вычислить IP - уникальные сетевые адреса компьютеров, которые участвовали в кибератаке. Замминистра обороны США Джон Хамре заявил в Конгрессе, что эти адреса принадлежали учреждениям Российской академии наук. "Мы находимся в сердце кибервойны", - рапортовал Хамре.

Но официально США так и не предъявили России никаких претензий.

В 2016 году профессор Лондонского королевского колледжа, соавтор пособия "Атрибутирование кибератак" Томас Рид связался с уже ушедшим на пенсию Хеджесом. Компьютер HP9000, бывший объект внимания ведущих спецслужб мира, все еще пылился у Хеджеса под столом.

Правообладатель иллюстрации BRENDAN SMIALOWSKI / GETTY IMAGES
Image caption Вашингтон обвиняет российских хакеров и ФСБ в кибератах на компанию Yahoo и министерство юстиции США в 2014 году

Рид изучил логи 18-летней давности и пришел к выводу, что вирус LOKI2, усовершенствованный и известный уже под названием Turla, по-прежнему используется для кибератак на западную компьютерную инфраструктуру. Так, в 2014 году от него пострадала швейцарская технологическая компания RUAG.

"Лаборатория Касперского", впрочем, указывает, что в основном от Turla страдают организации в Казахстане, России, Китае, Вьетнаме, и только потом - в США.

Узлом же одной из атак Turla стала фотография певицы Бритни Спирс в "Инстраграме". Неужели именно ее слушали хакеры на заре своей деятельности?

Цифровые кошки-мышки

Методы, которые использовались 20 лет назад для определения национальности хакеров Moonlight Maze, едва применимы сегодня: если хакеры и оставляют свои имена в коде вирусов - то намеренно.

Так, в программном коде Stuxnet - вируса, созданного для подрыва ядерной программы Ирана - обнаружили дату 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника, еврея по национальности Хабиба Элгханиана. В совокупности с другими факторами это позволило сделать вывод, что за кибератакой стоят Израиль и США.

Пройти за злоумышленниками весь путь по сетевым адресам также удается нечасто. В 2009 году это получилось с операцией "Аврора", направленной против Yahoo, Adobe и других технологических гигантов США: одна из мишеней, компания Symantec, "отмотала" кибератаку к источнику - китайским военным.

Правообладатель иллюстрации Twitter/@RozenkoPavlo
Image caption Эксперты отмечают сходство NotPetya c кибератакой Black Energy, поразившей Украину в 2016 году

Исследователи изучают время создания вирусов: код Moonlight Maze, например, писался с раннего утра до 17 часов по Москве.

Также помогает лингвистика (а точнее, стилометрия): использование определенных слов в текстах, сопровождающих кибератаку, позволяют понять, в какой культуре и языковой среде воспитывался автор. Так "Лаборатория Касперского" выяснила, что за кибератакой "Маска" против органов власти и энергетических компаний в 31 стране стоят испаноговорящие хакеры.

Сложнейший метод - это определение школы программирования вирусов. Китайцы и русские не только говорят, но и программируют по-разному.

У спецслужб - отдельный арсенал для обнаружения источников кибератак. Благодаря бывшему сотруднику ЦРУ и Агентства национальной безопасности США Эдварду Сноудену стало известно, что они не гнушаются использовать методы криминальных хакеров.

Вопрос вероятности

Насколько уверенно можно говорить, что за вирусом NotPetya стоят российские военные? Этот вопрос Русская служба Би-би-си задала российским экспертам по кибербезопасности.

Александр Мамаев, генеральный директор "Лаборатории цифровой форензики", директор по позиционированию Diamond Guard:

"Говорить о национальности хакеров нецелесообразно. Современные вирусы - это сложный продукт, в создании которого могут принимать участие десятки специалистов из разных стран, каждый из которых отвечает за свой участок "производства".

Анализируя программы, специалисты способны выявлять некоторые особенности, свидетельствующие о национальной принадлежности.

Однако с таким же успехом эти признаки в программном коде могут оставлять специально, чтобы запутать следы и перевести стрелки на северокорейских, китайских, русских хакеров (нужное - подчеркнуть в зависимости от геополитической обстановки). Именно поэтому, пока нет прямых доказательств, все рассуждения строятся исключительно на косвенных признаках.

О российских хакерах заговорили только и исключительно из-за международной повестки дня. В 2012 году, после китайских атак на сайты Washington Post и New York Times, "Твиттер"-аккаунты американских чиновников, Вашингтон грозил Пекину санкциями. Кто сегодня вспоминает о китайских хакерах? Никто. Но разве они прекратили работу? Нет, более того: в армии КНР уже с начала 2010-х годов действуют хакерские бригады, но о них вспоминают довольно редко.

Я хочу еще раз подчеркнуть: продукт, например вирус, могут разработать люди одной национальности, а запустить - уже совсем другие. iPhone ведь тоже считается американским продуктом, хотя собирается в Азии".

Илья Шарапов, руководитель аналитического подразделения по информационной безопасности ООО "ТСС":

"Безусловно, вредоносные программы являются своего рода кибероружием. NotPetya стал продолжением вирусов-шифровальщиков WannaCry и Bad Rabbit, использовавших уже известные уязвимости в ПО, и появление NotPetya было лишь вопросом времени.

Но стоит напомнить: атака NotPetya была рассеянной - помимо компьютерных систем украинского правительства, аэропорта "Борисполь", "Укрпочты", "Укртелекома", от вируса пострадали и российские компании, например, "Роснефть" и "Башнефть", банк "Хоум Кредит".

Поэтому вряд ли стоит говорить, что атака NotPetya была серьезной кибератакой. Совсем другое дело - таргетированные атаки, которые имеют конкретную цель, как было в случае с компьютерным червем Stuxnet, направленным против ядерной программы Ирана.

Стоит смириться с реальностью: кибератак - как массовых, неадресных, так и нацеленных против конкретных госструктур и компаний - будет становиться все больше, как и обвинений со стороны одних государств в адрес других.

Неудивительно, что многие страны озаботились вопросом информационной безопасности на высшем уровне. Так, после атаки WannaCry премьер-министр Израиля Биньямин Нетаньяху заявил, что, строя систему киберзащиты, власти этой страны руководствовались пониманием того, что угроза еще впереди. Благодаря этому Израиль практически не пострадал от вируса".

Александр Литреев, специалист по информационной безопасности:

"Определить страну происхождения вредоносных программ можно не со стопроцентной, но с высокой вероятностью. Для этого проводится лингвистическая экспертиза исходного кода программы и языковых настроек софта, с помощью которого вредонос делается.

Какая была исходная точка заражения? Какие серверы были задействованы? В случае с NotPetya, например, первыми пострадали серверы украинской компании M.E. Doc, создающей с программы для документооборота. Эта программа и послужила переносчиком вируса в Украине.

Естественно, хакеры часто пытаются замести следы и используют те же лингвистические и технические приемы, с помощью которых их вычисляют. Поэтому, в том числе по NotPetya, недостаточно фактов, чтобы однозначно определить причастность России или КНДР".

Новости по теме