Сами виноваты: как спецслужбы США вычисляют русских хакеров

На днях первый заместитель помощника министра обороны США по политике в киберпространстве Мике Оянг в ходе слушаний в комитете по делам ВС сената конгресса США заявила, что Пентагон нашел простой способ выявления местонахождения хакеров. По ее словам, киберпреступники сами дали подсказку, добавив в код своего вредоносного ПО ограничение на заражение компьютеров, где русский является языком, установленным по умолчанию. Фокус обратился к эксперту по кибербезопасности с вопросом, действительно ли это так? И если да, то зачем хакерам подставлять самих себя?

Как спецслужбам удается вычислить хакеров

Иногда хакеры попадаются, совершая простые (и даже глупые) ошибки. И в этом нет ничего удивительного, ведь они не всемогущие всезнайки, какими их показывают в экшен-фильмах, а обычные люди, как мы с вами. Поэтому им тоже свойственно ошибаться.

Например, закончив писать код вредоносной программы, они могут забыть удалить сопутствующие комментарии. Если хакеры из России, то, скорее всего, комментарии будут написаны на русском языке. Взломав код, агенты иностранных спецслужб легко догадаются, "откуда ноги растут", только лишь увидев кириллицу.

"Также остаются домены, IP-адреса — по этой информации киберпреступников тоже можно отследить", — говорит Андрей Баранович, специалист по кибербезопасности.

Был случай, когда злоумышленник забыл воспользоваться VPN для смены своего IP-адреса, в итоге, был пойман на краже средств со счетов мирных граждан, за что и получил срок на 5 лет.

Существует огромное количество форумов, как закрытого типа в Интернете, так и в Даркнете, где хакеры активно общаются между собой: рассказывают последние новости, делятся впечатлениями от взломов, ищут подрядчиков, тестируют ПО и пр. У спецслужб есть необходимые навыки и возможности, чтобы быть принятыми модераторами таких "говорилок", создав фейковые аккаунты и заранее продумав легенды. Находясь "в тылу врага", агенты могут следить за поведением взломщиков и понять, откуда они родом, либо местонахождение хакеров.

"Группировки типа Darkside, Revil, Cl0p даже не скрывают того, что действуют с территории России. Они стараются не иметь дел с иностранцами и работают только с россиянами", — поясняет Андрей.

Почему хакеры демонстрируют свою национальную принадлежность?

Как утверждает эксперт, в 2000-х годах, когда активно формировался черный рынок в Сети на постсоветском пространстве, вырабатывались определенные правила поведения и заключались негласные договора между спецслужбами бывших республик, с одной стороны, и хакерами, — с другой. Условия были такими: "вы ничего не взламываете на территории СНГ, а мы закрываем глаза на все, что вы ломаете за рубежом".

Конечно, это "золотое правило", иногда нарушается, но для крупных группировок оно остается главным принципом. Поэтому, создавая программы-вымогатели, они действительно ставят ограничения, чтобы ПО не вредило компьютерам, где русская раскладка установлена по умолчанию или указана локализация. Некогда правило действовало и относительно Украины, но хакерские атаки, обрушившиеся на сети госпредприятий, учреждений, банков, медиакомпаний 27 июня 2017 года, говорят о том, что наша страна вычеркнута из списка "неприкасаемых", если таковой в действительности имеется. Напомним, что тогда вынуждены были прекратить работу аэропорт "Борисполь", ЧАЭС, "Укртелеком", "Укрпочта", "Ощадбанк", "Укрзализныця" и ряд крупных коммерческих предприятий.

"Самое опасное вредоносное ПО, которое создается группировками Darkside и Revil, пока что не было задействовано на территории Украины. Хакеры ведь понимают, что спецслужбам соседних стран обнаружить их будет куда проще и быстрее, чем заграничным. Поэтому условного Пентагона они не боятся", — комментирует специалист.

Встречаются попытки ограничить распространение вредоносного софта географически и среди хакеров из других стран, например, западных. Однако киберпреступники, живущие на территории бывших республик СССР, значительно чаще прибегают к такому методу ввиду безнаказанности и приверженности "традициям" местного черного рынка. Как пояснил Баранович, западные "коллеги" знают, что такие ограничительные меры не смягчат им приговора в случае поимки, поэтому они не видят особого смысла в их использовании.

Reverse engineering — основной способ выявления преступников в Сети

Reverse engineering, или так называемая "обратная разработка", зачастую используется антивирусными аналитиками и экспертами по кибербезопасности, задача которых обезвредить вирус и найти тех, кто его создал и запустил. Восстановив код (или часть кода) вредоносного ПО, они могут понять как он работает, кто его писал и с какой целью. Также обратная разработка дает возможность выявить уязвимости любой программы с тем, чтобы их устранить, а уже после этого выпускать готовый и безопасный продукт на рынок. Этот метод применяется и для того, чтобы разоблачить хакеров.

Почему Россия — "тихая гавань" для хакеров

Если хакеры и государства действительно в сговоре, то негласный договор, заключенный между ними, работает просто: пока злоумышленники не наносят вреда госкомпаниям и госслужбам, им позволено делать все, что угодно. И президент РФ Владимир Путин, говоря про хакеров, едва ли не прямо заявил об этом. Отвечая на вопрос гендиректора агентства ДПА Питера Кропша об атаках со стороны РФ на Германию, он отметил: "… хакеры — это же люди свободные, как художники: настроение у них хорошее, они встали с утра и занимаются тем, что картины рисуют. Так же и хакеры".

При этом Путин следовал излюбленной риторике "нас там нет": "Они проснулись сегодня, прочитали, что там что-то происходит в межгосударственных отношениях; если они настроены патриотически, они начинают вносить свою лепту, как они считают, правильную в борьбу с теми, кто плохо отзывается о России. Возможно? Теоретически возможно. На государственном уровне мы никогда этим не занимаемся". Государство отдельно, патриотически настроенные хакеры — отдельно.

Но судя по тому, что спецслужбы РФ отказываются выдавать киберпреступников по требованию властей США (о чем Белый дом официально заявил перед встречей Путина и президента Джо Байдена в Женеве), и по тому, что сами их к ответственности привлекают редко, можно сделать вывод, что они хакеров все же покрывают. Об этом красноречиво свидетельствует статистика. Согласно данным Судебного департамента при Верховном суде РФ, в 2017 году из 93-х осужденных по делам о преступлениях в сфере компьютерной информации (глава 28, статьи 272-274 УК РФ) в места лишения свободы суды отправили всего 6 человек, а 32 создателя вирусов получили условные сроки, дела 46-ти просто были прекращены.

Что на самом деле думают Путин и Байден о хакерах

Анонсируя темы женевской встречи, президенты США и РФ говорили о кибербезопасности, как об одной из самых важных. И, судя по высказываниям лидера России, он двумя руками за обеспечение безопасности в киберпространстве, однако эксперты полагают, что верить на слово ему нельзя.

Еще с 1998 года РФ на заседаниях Международного союза электросвязи и ООН настаивает на госконтроле над Интернетом, ежегодно поднимая эту тему. РФ предлагает поделить Интернет на национальные сегменты, где государствам будет отведена решающая роль и дан контроль над Сетью (этого добился, к примеру, Китай).

"В таком переделе заинтересованы авторитарные режимы. РФ в данном вопросе имеет союзников в лице Китая, республик-сателлитов из Центральной Азии и "дружественных" стран типа Венесуэлы. Западный подход совсем иной, когда все заинтересованные стороны участвуют в управлении Сетью: и провайдеры, и пользователи, и правозащитники, и экономисты. Поэтому Запад выступал против госконтроля над Интернетом", — говорит Андрей.

Когда США обвинили РФ в причастности к атакам на госведомства США, трубопровод Colonial Pipeline, производителя мясопродуктов JBS, власти России снова начали повторять мантру о желании сотрудничать в сфере кибербезопасности и совместными силами бороться с преступниками. Однако президент США во время саммита в Женеве четко дал понять, что если будут атакованы 16 стратегически важных объектов, ни о каких переговорах, ни о каком сотрудничестве с РФ в киберпространстве речи быть не может.

"Я не верю в искренность заявлений России. Президент Байден пояснил Путину, что на все последующие атаки со стороны РФ последуют либо санкции, либо другие жесткие меры. Но по сути никакого сотрудничества в сфере кибербезопасности между этими странами не будет. Возможно, организуют показательные суды, посадят нескольких хакеров, чтобы продемонстрировать общественности бурную деятельность в этой сфере — не более", — заключает эксперт.