Русские хакеры у всех на устах: их обвиняют в манипуляции итогами выборов в США и кризисе вокруг Катара. Но на самом деле ничего не изменилось: поймать хакеров сложно, как и раньше.
Фото: Reuters/K. Pempel
Реклама
"Снова они?" - спросит себя тот, кто прочел сообщение CNN о том, что российские хакеры якобы вызвали напряженность между Катаром и рядом его соседей. В Москве уже заявили, что Кремль тут не при чем. Достоверность сообщений, в которых фигурируют хакеры, не только из России, остается проблематичной по одной простой причине: в отличие от мира вне интернета, установить личность нападающих в киберпространстве крайне сложно, если вообще возможно. Объясняем, почему это так.
Хакеры неуловимы, но в этом нет их заслуги
Идентифицикация лиц, занимающихся киберпреступностью и особенно атаками, преследующими военные и политические цели, остается объективно сложной задачей из-за слабого уровня защиты современной компьютерной инфраструктуры. Речь идет о базовых программах таких фирм, как Microsoft, Apple, SAP и Google, которыми пользуются миллиарды людей по всему миру, говорят эксперты.
Операционная система Windows, например, имеет порядка 100 миллионов строк кода. А небольшая вредоносная программа обходится буквально несколькими сотнями строк. Спрятать ее легко, найти - нет: "хороший" код и "плохой" выглядят, на первый взгляд, одинаково.
Ассиметрия во всем
Другая проблема - как правило, атакуемые системы не реагируют на неудачную попытку взлома, значит, у нападающих есть преимущество во времени. Они могут искать "дыру" в системе столь долго, сколько им хочется. Нападающим достаточно одной удачной попытки, в то время как защищающийся должен уметь выдержать и несколько тысяч атак. Кибервойна ассиметрична, констатирует Сандро Гайкен (Sandro Gaycken), независимый советник по IT-безопасности при НАТО.
WannaCry помешал работе многих компаний по всему миру, включая концерн Deutsche BahnФото: picture-alliance/dpa/P. Götzelt
Но главное неравенство в положении атакующих и тех, кто подвергается нападению, заключается в факторе анонимности. Следы кибератаки легко стираются, вредоносный код программы только ненадолго занимает место на физическом носителе, а затем исчезает. Остается только содержание вредоносной программы. Но и этого недостаточно для идентификации атакующего.
Всегда можно манипулировать цифровым кодом, указывает Гайкен, и поэтому даже найденным следам не стоит придавать слишком много значения. Улики можно сознательно оставить, чтобы навести на ложный след, объясняют эксперты. Фактически однозначно идентифицировать нападающего может только он сам - признавшись в атаке и приведя соответствующие доказательства.
Хакер "Игорь"
Окончательную путаницу в вопрос идентификации внесли в этом году утечки, обнародованные Wikileaks и мало известной группой взломщиков, называющих себя Shadowbrokers. Благодаря им в публичный доступ попали различные вредоносные программы, которыми, по всей вероятности, ранее пользовались американские спецслужбы. Скачать их можно и сегодня. Как утверждают специалисты по IT-безопасности, некоторые из программ можно использовать сразу, для других хакерам достаточно дописать пару строк кода, и вот уже вирус готов.
Штаб-квартира АНБФото: picture-alliance/dpa
Теоретически каждый теперь может в интернете изображать из себя спецслужбу - с непредсказуемыми последствиями для международной безопасности: достаточно посмотреть на тот ущерб, который нанес вирус WannaCry. Это был первый известный случай, когда неизвестные сделали главным инструментом атаки программу, разработанную в недрах Агентства национальной безопасности (АНБ) США.
Убедительных доказательств того, что за этим нападением стоят северокорейские хакеры, пока никто не представил. Утечка вирусов АНБ усложнила задачу отличить хакера на службе у государства от обычного мошенника, о чем свидетельствует разоблачение компании Symantec. В недавнем сообщении компании говорится, что обнаруженную ею фишинговую атаку - технику, обычно используемую "политическими" хакерами - использовал мелкий жулик из Молдовы под псевдонимом Игорь. Его идентифицировали, потому что, в отличие от хакеров на службе у государства, мошенники хотят заработать, а следы денег найти легче, чем участников кибератак.
Особенности работы
Чаще всего для идентификации хакеров приходится пользоваться косвенными уликами - это могут быть типичное время их работы, выбор целей, уровень организованности и масштаб атак. Вероятно, таких косвенных улик оказалось достаточно для АНБ. В опубликованном изданием The Intercept секретном документе этой американской спецлужбы утверждается, что манипулировать результатами выборов президента США в прошлом году пытались именно хакеры ГРУ - российской военной разведки.
Правда, в распоряжении The Intercept попала только часть документа, и в ней нет исходных сведений, объясняющих, как АНБ пришло к выводу о том, что за попыткой взлома избирательных машин стоят именно российские хакеры.
Возможно, пролить больше света на работу ГРУ смогли российские журналисты из издания The Insider. Они утверждают, что смогли идентифицировать человека, чье имя фигурирует в метаданных взломанной почты предвыборного штаба французского президента Эмманюэля Макрона.
Некто Георгий Рошка, по данным The Insider, являлся или является действующим сотрудником ГРУ, специалистом войсковой части №26165, которая занимается криптографией. Человек с таким именем и должностью числился в списке гостей международной конференции "Параллельные вычислительные технологии", состоявшейся в прошлом году в Архангельске.
Смотрите также:
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Сообщения о взломах, утечках личных данных и хакерских атаках появляются регулярно. Многих хакеров подозревают в связях со спецслужбами РФ. Но не только. Фотогалерея DW - о самых резонансных случаях.
Фото: picture-alliance/dpa/W. Kumm
Жертва российских хакеров - SolarWinds
Американский IT-гигант Microsoft сообщил о новой волне хакерских атак из России. По данным Microsoft, именно хакеры из группировки Nobelium стояли за серьезной кибератакой в 2020 году на производителя программного обеспечения SolarWinds. В результате проникновения злоумышленников в системы этой компании пострадали не менее 40 государственных структур США и неизвестное число частных фирм.
Фото: BRENDAN MCDERMID/REUTERS
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные - в том числе, паспортные и кредитных карт - 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Фото: picture-alliance/U.Baumgarten
Российские "мишки"
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров - Cozy Bear (дословно "уютный медведь", известна еще как APT29), Fancy Bear ("модный медведь", APT28) и Energetic Bear ("энерегетический медведь"), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Фото: S. Elkin
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам американских спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Фото: picture-alliance/dpa/J. Stratenschulte
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото - офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Фото: picture-alliance/dpa/J. Lo Scalzo
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Фото: Imago/T. Trutschel
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Фото: picture-alliance/dpa/O. Berg
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Фото: picture-alliance/dpa/P. Götzelt
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Фото: DW/M. von Hein
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы ("трояна"). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Фото: picture-alliance/dpa/W. Kumm
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го - Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Фото: Reuters/B. Snyder
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Фото: Imago/Reporters
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Фото: picture-alliance/ dpa/dpaweb
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.
Фото: picture-alliance/AP Photo/M. Jose Sanchez
14 фото1 | 14
Как кибермошенники "ловят" чужие деньги методом фишинга
