США давно звинувачують Росію в причетності до хакерських атак. Фокус з'ясував, як агенти ФБР знаходять хакерів і визначають, що зловмисники діяли з конкретної території.
Днями перша заступниця помічника міністра оборони США з питань політики в кіберпросторі Міці Оянг у процесі слухань в комітеті у справах ВС сенату конгресу США заявила, що Пентагон знайшов простий спосіб фіксування місцезнаходження хакерів. За її словами, кіберзлочинці самі підказали, додавши в код свого шкідливого ПЗ обмеження на зараження компʼютерів, де російська є мовою, встановленною за замовчуванням. Фокус звернувся до експерта з кібербезпеки з питанням, чи дійсно це так? І якщо так, то навіщо хакерам підставляти самих себе?
Як спецслужбам вдається вирахувати хакерів
Іноді хакери "попадаються", здійснюючи прості (і навіть дурні) помилки. І в цьому немає нічого дивного, адже вони не всемогутні всезнайки, якими їх показують в екшен-фільмах, а звичайні люди, як ми з вами. Тому їм теж властиво помилятися.
Наприклад, закінчивши писати код шкідливої програми, вони можуть забути видалити супутні коментарі. Якщо хакери з Росії, то, швидше за все, коментарі будуть написані російською мовою. Зламавши код, агенти іноземних спецслужб легко здогадаються, "звідки ноги ростуть", лише побачивши кирилицю.
"Також залишаються домени, IP-адреси — за цією інформацією кіберзлочинців теж можна відстежити", — говорить Андрій Баранович, фахівець з кібербезпеки.
Був випадок, коли зловмисник забув скористатися VPN для зміни своєї IP-адреси, внаслідок, був спійманий на крадіжці коштів із рахунків мирних громадян, за що й отримав термін на 5 років.
Існує величезна кількість форумів, як закритого типу в Інтернеті, так і в даркнеті, де хакери активно спілкуються між собою: розповідають останні новини, діляться враженнями від зломів, шукають підрядників, тестують ПЗ тощо. У спецслужб є необхідні навички і можливості, щоб бути прийнятими модераторами таких "говорилок", створивши фейкові акаунти і заздалегідь продумавши легенди. Перебуваючи "в тилу ворога", агенти можуть стежити за поведінкою зломщиків і зрозуміти, звідки вони родом, або місцезнаходження хакерів.
"Угрупування типу Darkside, Revil, Cl0p навіть не приховують того, що діють з території Росії. Вони намагаються не мати справ з іноземцями і працюють тільки з росіянами", — пояснює Андрій.
Чому хакери демонструють свою національну приналежність?
Як стверджує експерт, у 2000-х роках, коли активно формувався чорний ринок у мережі на пострадянському просторі, вироблялися певні правила поведінки і полягали негласні договори між спецслужбами колишніх республік, з одного боку, і хакерами, — з іншого. Умови були такими: "ви нічого не зламували на території СНД, а ми закриваємо очі на все, що ви ламаєте за кордоном".
Звичайно, це "золоте правило", іноді порушується, але для великих угрупувань воно залишається головним принципом. Тому, створюючи програми-вимагачі, вони дійсно ставлять обмеження, щоб ПЗ не шкодило компʼютерам, де російська розкладка встановлена за замовчуванням або вказана локалізація. Колись правило діяло й щодо України, але хакерські атаки, що обрушилися на мережі держпідприємств, установ, банків, медіакомпаній 27 червня 2017 року, говорять про те, що наша країна викреслена зі списку "недоторканних", якщо такий насправді є. Нагадаємо, що тоді змушені були припинити роботу аеропорт "Бориспіль", ЧАЕС, "Укртелеком", "Укрпошта", "Ощадбанк", "Укрзалізниця" і низка великих комерційних підприємств.
"Найнебезпечніше шкідливе ПЗ, яке створюється угрупуваннями Darkside і Revil, поки що не було задіяне на території України. Адже хакери розуміють, що спецслужбам сусідніх країн знайти їх буде куди простіше і швидше, ніж закордонним. Тому умовного Пентагону вони не бояться", — коментує фахівець.
Трапляються спроби обмежити поширення шкідливого софту географічно й серед хакерів з інших країн, наприклад, західних. Однак кіберзлочинці, які живуть на території колишніх республік СРСР, значно частіше вдаються до такого методу з огляду на безкарність і прихильність до "традицій" місцевого чорного ринку. Як пояснив Баранович, західні "колеги" знають, що такі обмежувальні заходи не помʼякшать їм вирок у разі затримання, тому вони не бачать особливого сенсу в їньому використанні.
Reverse engineering — основний спосіб фіксування злочинців у мережі
Reverse engineering, або так звана "зворотна розробка", часто використовується антивірусними аналітиками й експертами з кібербезпеки, завдання яких знешкодити вірус і знайти тих, хто його створив і запустив. Відновивши код (або частину коду) шкідливого ПЗ, вони можуть зрозуміти як він працює, хто його писав і з якою метою. Також зворотна розробка дає можливість зафіксувати вразливості будь-якої програми з тим, щоб їх усунути, а вже після цього випускати готовий і безпечний продукт на ринок. Цей метод застосовується і для того, щоб викрити хакерів.
Чому Росія — "тиха гавань" для хакерів
Якщо хакери і держави дійсно в змові, то негласний договір, укладений між ними, працює просто: поки зловмисники не завдають шкоди держкомпаніям і держслужбам, їм дозволено робити все, що завгодно. І президент РФ Володимир Путін, говорячи про хакерів, чи не прямо заявив про це. Відповідаючи на питання гендиректора агентства ДПА Пітера Кропша про атаки з боку РФ на Німеччину, він зазначив: "…хакери — це ж люди вільні, як художники: настрій у них хороший, вони встали з ранку і займаються тим, що картини малюють. Так само і хакери".
При цьому Путін дотримувався улюбленої риторики "нас там немає": "Вони прокинулися сьогодні, прочитали, що там щось відбувається в міждержавних відносинах; якщо вони налаштовані патріотично, вони починають вносити свою лепту, як вони вважають, правильну в боротьбу з тими, хто погано відгукується про Росію. Можливо? Теоретично можливо. На державному рівні ми ніколи цим не займаємося". Держава окремо, патріотично налаштовані хакери — окремо.
Але судячи з того, що спецслужби РФ відмовляються видавати кіберзлочинців на вимогу влади США (про що Білий дім офіційно заявив перед зустріччю Путіна і президента Джо Байдена в Женеві), і за тим, що самі їх до відповідальності притягують рідко, можна зробити висновок, що вони хакерів все ж покривають. Про це красномовно свідчить статистика. Згідно з даними Судового департаменту при Верховному суді РФ, у 2017 році з 93-х засуджених у справах про злочини у сфері компʼютерної інформації (глава 28, статті 272-274 КК РФ) в місця позбавлення волі суди відправили всього 6 осіб, а 32 творці вірусів отримали умовні терміни, справи 46-ти просто були припинені.
Що насправді думають Путін і Байден про хакерів
Анонсуючи теми женевської зустрічі, президенти США та РФ говорили про кібербезпеку, як про одну з найважливіших. І, судячи з висловлювань лідера Росії, він обома руками за забезпечення безпеки в кіберпросторі, проте експерти вважають, що вірити на слово йому не можна.
Ще з 1998 року РФ на засіданнях Міжнародного союзу електрозвʼязку й ООН наполягає на держконтролі над Інтернетом, щорічно порушуючи цю тему. РФ пропонує поділити Інтернет на національні сегменти, де державам буде відведена вирішальна роль і дадуть контроль над мережею (цього домігся, наприклад, Китай).
"У такому переділі зацікавлені авторитарні режими. РФ у цьому питанні має союзників в особі Китаю, республік-сателітів із Центральної Азії і "дружніх" країн типу Венесуели. Західний підхід зовсім інший, коли всі зацікавлені сторони беруть участь в управлінні мережею: і провайдери, і користувачі, і правозахисники, й економісти. Тому Захід виступав проти держконтролю над Інтернетом", — говорить Андрій.
Коли США звинуватили РФ у причетності до атак на держвідомства США, трубопровід Colonial Pipeline, виробника мʼясопродуктів JBS, влада Росії знову почала повторювати мантру про бажання співпрацювати в сфері кібербезпеки і спільними силами боротися зі злочинцями. Однак президент США під час саміту в Женеві чітко дав зрозуміти, що якщо будуть атаковані 16 стратегічно важливих обʼєктів, ні про які переговори, ні про яку співпрацю з РФ у кіберпросторі мови бути не може.
"Я не вірю в щирість заяв Росії. Президент Байден пояснив Путіну, що на всі наступні атаки з боку РФ вживатимуть або санкції, або інші жорсткі заходи. Але по суті ніякої співпраці в сфері кібербезпеки між цими країнами не буде. Можливо, організовують показові суди, посадять кількох хакерів, щоб продемонструвати громадськості бурхливу діяльність в цій сфері — не більше", — підсумовує експерт.