Сеть улик
Можно ли определить национальность хакеров
Российских киберпреступников наделили новыми способностями. Как сообщают американские СМИ, они теперь могут получить доступ к энергосистеме США и обесточить целые города. Как вычисляют «русский след»? Разбиралась Альбина Хазеева.
Российские хакеры прочно вошли в число самых влиятельных мировых сил. Они якобы нарушили ход американских выборов и помогли победить Дональду Трампу, а также «подставили» Катар, спровоцировав кризис на Ближнем Востоке. Даже нелепую ошибку на последней церемонии «Оскар», когда «лучшим фильмом» назвали не ту картину, в США назвали «проделками русских». На этот раз, правда, в шутку.
Новую «страшилку» опубликовала The Washington Post. Газета со ссылкой на экспертов сообщает, что российские программисты создали мощный вирус, который способен на срок от нескольких часов до нескольких дней остановить работу компьютеров, отвечающих за энергообеспечение в Штатах. Каким образом удалось снова выйти на «русский след», причем еще до атаки, не сообщается.
В предыдущих инцидентах фигурировали разнообразные косвенные улики. К примеру, в истории со взломом серверов Демократической партии указывали на ник Felix Edmundovich и даже на «смайлики»-скобки, которые на Западе не используются.
После каждой кибератаки криминалисты тщательно изучают почерк хакеров, отметил президент консорциума «Инфорус» Андрей Масалович.
«Есть более полусотни параметров, по которым можно определить почерк киберпреступников. Имеет значение то, какой была клавиатура, какое время было установлено на компьютерах и то, в какой период была осуществлена атака, какими были комментарии в программах. Этой группе факторов присваивается имя. Раньше американцы просто обозначали их номерами, сейчас им еще дают названия. Если атака с похожим почерком повторяется еще раз, то ее приписывают к определенной группе. Таким образом у правоохранительных органов начинают накапливаться определенные факты, история», — пояснил он.
Эксперты, расследующие киберпреступления, обращают внимание на характерные слова и выражения, анализируют построение фраз и график активности. Считается, к примеру, что хакеры из России «вкалывают» в течение недели перед Новым годом, а злоумышленники из исламских стран — во время рамадана. Часы работы были весомым аргументом в пользу связей группировки Fancy Bear с российским правительством: хакеры осуществляли свою деятельности по будням с восьми часов утра до шести часов вечера по московскому времени.
Очень часто к таким фактам сводятся все доказательства, заявил замруководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин: «Если мы говорим о каких-то технических вещах, то, например, лингвистический анализ, анализ скобочек, — это вещи совершенно непредметные. Для того чтобы делать какие-то утверждения, нужно проводить исследование, демонстрирующее полную цепочку действий — от взломанного сервера до злоумышленников с IP-адресами, всеми службами-анонимайзерами. Обычно таких данных никто из обвинителей не предоставляет. Вместо этого они все чаще апеллируют к эмоциям».
Вычислить реальный источник атаки крайне сложно. Хакеры могут покупать вредоносный код или даже перехватывать его у конкурентов. К тому же, частные группировки или спецслужбы способны намеренно допускать ошибки и использовать почерк других киберпреступников, чтобы запутать следы.
Ранее американские эксперты заявили, что вычислили при помощи лингвистики национальную принадлежность создателей вируса WannaCry. Авторами вредоносной программы, которая атаковала компьютеры по всему миру, назвали жителей южного Китая, Тайваня, Гонконга или Сингапура. Их выдал диалект: преступники сначала написали фразу о блокировке на китайском, а затем перевели ее на английский в переводчике Google.