Разделы
Материалы

Террористическая Сеть. Как понять, что за кибератакой стоит государство или спецслужбы?

Чтобы вырыть виртуальный подкоп под, на первый взгляд, неприступной кибер-крепостью, нужно быть мастером своего дела, а мастера стоят дорого. Особенно, если это несколько команд мастеров. 

На прошлой неделе хакеры снова атаковали американцев — жертвой атаки стало Министерство финансов и торговли США. Причем, на этот раз последствия были столь значительными, что в субботу 12 декабря было созвано заседание Совета национальной безопасности США .

Расследованием инцидента занимается ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США. Некоторые эксперты связывают эту атаку с недавним взломом российскими хакерами известной кибер-компании FirEye.

Официально Россию пока не обвинили, но, согласно данным Reuters, три человека, знакомые с ходом расследования, утверждают, что россияне действительно причастны.

Официальные лица РФ, традиционно, все отрицают. Им свойственно заявлять "покажите ваши доказательства" и одновременно блокировать все попытки найти виновников с помощью местных интернет-провайдеров.

Аналогичные случаи — когда за атакой явно стояло определенное государство, — бывали и ранее, и будут повторяться впредь. Поэтому и обычные люди, и некоторые эксперты все чаще задаются вопросом: "как отличить кибератаку, спонсируемую государством (nation state) от атаки обычных групп кибер-преступников?". Поясню вкратце.

  • Мотивация.

Кибер-преступления совершаются по трем мотивам: кража денег, заработок за взлом, эмоциональный мотив (самоутверждение, популярность, протест, злость, обида, месть, ненависть и пр.).

Если какая-то организация, не имеющая средств, подверглась мощной атаке, но понятно, что на взлом явно тратятся огромные средства, — это признак номер один, говорящий, что хакеры отрабатывают заказ.

"Коммерческие" кибер-банды (которых абсолютное большинство) не атакует сети, где нет денег, разве что "школота" в хулиганских целях, или чтобы самоутвердиться."Хактивисты" тоже могут атаковать не за деньги, а за идею. При этом они сразу заявляют кто и зачем организовал атаку.

  • Большое количество задействованных ресурсов.

Признак номер два — количество задействованных ресурсов. Под ресурсами в кибератаках следует понимать использование больших (от 10 000 ботов) ботнетов, дорогих инструментов, потраченные тысячи "спаленных" доменов, сертификатов, хостов, IP-адресов и т.п. ("спаленный" домен, — когда регистрируются домены под кратковременные задачи, как правило, незаконные. Потом эти домены банят, например, за распространение спама.Таких доменов могут регистрировать 10-20 штук в секунду, — авт.).

Например, на подпольном кибер-рынке час качественной DDoS-атаки стоит от $50 до $100. То есть, трое суток атаки будут стоить от $3600 до $7200. И такой тип атаки не приносит денег, разве что если ее заказали конкуренты. А зачем обычным кибер-преступникам ддосить электростанцию ​​или казначейство? Там денег нет.

При этом, если брать в аренду ботнет с 50 000 ботов, стоимость аренды будет порядка $2000 в неделю, с арендой не менее двух недель.

Также больших денег стоит разработка или покупка инструментов для успешной кибератаки, например, эксплоитов на основе 0-day-уязвимостей. 

Это такое вредоносное программное обеспечение, которое не детектируется никакими системами кибербезопасности. Стоимость набора таких эксплоитов стартует от $30 000 — $50 000 и заканчивается где-то в космосе, в зависимости от "сложности цели". 

Думаю, что в случае с FireEye разработка только самих инструментов стоила $1 млн или больше.

Еще ресурсами считаются человеко-часы, и это, наверное что самый ценный ресурс.

Чтобы вырыть виртуальный подкоп под, на первый взгляд, неприступной кибер-крепостью, нужно быть мастером своего дела, а мастера стоят дорого. Особенно, если это несколько команд мастеров. 

Услуги таких специалистов могут достигать $200 в час, а то и больше. И у каждой команды есть свой почерк, они действуют по схожим алгоритмам, используют схожие проверенные технологии и инструменты, при этом делают одни и те же ошибки и оставляют узнаваемые цифровые следы, по которым такие группы затем идентифицируют.

Также признаком спонсирования государством является большая разветвленность и разносторонняя специализация групп, синхронность реализации различных фаз атаки, координация их деятельности и многое другое. И на все это выделяется "бесконечный" бюджет. 

Обычные кибер-банды всегда считают расходы и сопоставляют их с ожидаемыми доходами от атаки. И если атака требует больше, чем можно потом получить, — от заказа просто отказываются и находят менее затратную работу. "Фиксируют убытки" и идут дальше. 

А спонсируемые государством кибер-банды будут продолжать подготовку к атаке месяцами и даже годами, не считая расходов, поскольку бюджет большой и мощной спецслужбы гораздо больше бюджета любой кибер-банды, даже самой крутой.

  •  Источники атак.

Как бы хакерские группировки вроде АРТ-28 или АРТ-29 не прятались за прокси, SOCKS, TOR или VPN — все равно при "размотке клубков" можно прийти к конкретному провайдеру конкретной страны. Для ФБР или АНБ США это не является большой проблемой, на самом деле. 

Чтобы получить доказательства преступной деятельности конкретных пользователей услуг этого провайдера — людей с именем и фамилией, — нужны данные от самого провайдера. 

А провайдеры некоторых стран игнорируют запросы иностранных и международных правоохранительных структур. Так уж случилось, что этими странами, в основном, являются РФ, Китай, КНДР, Иран и еще некоторые так называемые bullet-proof — юрисдикции. 

В переводе с английского "bullet-proof" означает "пуленепробиваемые", то есть такие, которые не реагируют ни на жалобы пострадавших, ни на соответствующие запросы правоохранительных органов. Даже великое и страшное ФБР.

Конечно, кроме этих трех признаков существуют многие другие, по которым можно с большой вероятностью идентифицировать страну происхождения кибератаки и даже выяснить, кто заказчик.

Первоисточник. 

Публикуется с согласия автора.