Минулого тижня росіянські кібер-банди вкотре атакували американців, цього разу жертвою атаки стало Міністерство фінансів та торгівлі США
Минулого тижня росіянські кібер-банди вкотре атакували американців, цього разу жертвою атаки стало Міністерство фінансів та торгівлі США. Причому цього разу наслідки були такими, що у суботу 12 грудня було скликано засідання Ради національної безпеки США (ось стаття Reuters: https://cutt.ly/zhFOL3s )
Розслідуванням інциденту займається ФБР та Агентство з кібербезпеки та безпеки інфраструктури США. Дехто з експертів пов’язує цю атаку з нещодавнім зламом руссо-хакерами відомої кібер-компанії FirEye, про це я розказував минулого тижня: https://bit.ly/2JXrgjW
Офіційно Запорєбрік поки не звинуватили, але, за даними Ройтерс, троє людей, знайомі з ходом розслідування, стверджують, що вуха расіюшки стирчать з цієї справи – аж гай шумить.
Офіційні особи держави-терориста традиційно все заперечують. Це в них така давня гра: заявляти “пакажитє ваши даказательства” і одночасно блокувати усі спроби знайти винуватців через тамтешніх Інтернет-сервіс-провайдерів.
Аналогічні випадки, – коли за атакою явно вбачаються ручки та вушка певної держави – траплялися багато раз раніше, і будуть траплятися й надалі.
Тому і звичайні люди, і деякі експерти все частіше ставлять собі питання: “Так як же відрізнити кібератаку, спонсоровану державою (nation state) від атаки звичайних груп кібер-злочиннців?”
Ладно, розкажу коротенько.
Спочатку – мотивація. Якщо потужно атакують організацію, де немає грошей, але на атаку явно витрачаються величезні кошти – це ознака номер один.
“Комерційні” кібер-банди (яких абсолютна більшість) не атакують мережі, де немає грошей. Хіба що школота у хуліганських цілях або щоб самоствердитися.
Хактівісти також можуть атакувати не за гроші, але у них – ідеали, і вони одразу заявляють хто і навіщо організував атаку.
Навряд чи можна вкрасти гроші, атакуючи наукові центри, державні установи, критичну інфраструктуру, чи Всесвітню антидопінгову агенцію. А якщо не гроші – значить цілі були політичні. Бо для кібер-криміналу є лише три основні мотивації: гроші (щоб їх самим вкрасти), гроші (які їм заплатять за хак) або емоції (вихваляння, самоствердження, протест, злість, образа, помста, ненависть і таке подібне).
Ознака номер два – кількість задіяних ресурсів. Під ресурсами у кібератаках слід розуміти використання великих (від 10 тисяч ботів) ботнетів, дорогих інструментів, витрачені тисячі спалених доменів, сертифікатів, хостів, ІР-адрес, тощо.
Наприклад, на підпільному кібер-ринку година якісної DDoS-атаки коштує від 50 до 100 доларів. Тобто три доби атаки коштуватимуть від 3600 до 7200 доларів. І такий тип атаки не приносить грошей, хіба що якщо її замовили конкуренти. А навіщо звичайним кібер-злочинцям ДДоС-ити електростанцію чи Казначейство? Там грошей нема.
При цьому якщо брати в оренду ботнет з 50 тисячами ботів, вартість оренди буде порядку 2 тисячі доларів на тиждень, з орендою не менше 2 тижнів.
Також великих грошей коштує розробка або покупка інструментів для успішної кібератаки. Наприклад, експлоїтів на основі 0-day-вразливостей. Це таке шкідливе програмне забезпечення, яке не детектується ніякими кібербезпековими системами. Вартість набору таких експлоїтів стартує від 30-50 тисяч доларів та закінчується десь у космосі, у залежності від «складності цілі». Думаю, що у випадку з FireEye розробка лише самих інструментів коштувала мільйон доларів або більше.
Ще ресурсами вважаються людино-години, і це, напевно що найкоштовніший ресурс.
Щоб вирити віртуальний підкоп під, на перший погляд, неприступною кібер-фортецею, потрібно бути майстром своєї справи, а майстри коштують дорого. Особливо, якщо це кілька команд майстрів. Послуги таких фахівців можуть сягати 200 доларів на годину, а то і більше.
І у кожної команди є свій почерк, вони діють за схожими алгоритмами, використовують схожі перевірені технології та інструменти, при цьому роблять одні й ті самі помилки та залишають схожі цифрові сліди, за якими такі групи потім ідентифікують.
Також ознакою спонсорування державою є велика розгалуженість та різна спеціалізація груп, синхронність реалізації різних фаз атаки, координація їх діяльності та ще багато чого.
І на все це є безкінечний бюджет, якого немає у “комерційних” хакерів. Звичайні кібер-банди завжди рахують витрати та зіставляють їх з очікуваними прибутками від атаки. І якщо атака на жертву вимагає більше коштів, ніж можна потім отримати – від атаки просто відмовляються і знаходять менш витратну жертву. “Фіксують збитки” і йдуть далі.
Спонсоровані державою кібер-банди ж будуть продовжувати підготовку атаки місяцями і навіть роками, не рахуючи витрат, оскільки бюджет великої потужної спецслужби набагато більше бюджету будь-якої кібер-банди, навіть самої крутої.
Ознака номер три: джерела атак.
Хоч як АРТ-28 чи АРТ-29 не ховаються за проксі, SOCKS, TOR чи VPN – все одно розмотування цих клубків приводить до конкретного провайдера конкретної країни. Для ФБР чи особливо АНБ США це не є великою проблемою, насправді.
Щоб отримати докази злочинної діяльності конкретних користувачів послуг цього провайдера – людей з ім’ям та прізвищем, – потрібні дані від самого провайдера. А провайдери деяких країн ігнорують запити іноземних та міжнародних правоохоронних структур.
Якось так вже сталося, що цими країнами здебільшого є РФ, Китай, КНДР, Іран та ще деякі так звані булет-пруф-юрисдикції. З англійської bullet-proof означає «куленепробивні», тобто такі, які не реагують ані на скарги постраждалих, ані на відповідні запити правоохоронних органів. Навіть великого та страшного ФБР США.
Звісно, крім цих трьох ознак існують багато інших, за якими можна з великою вірогідністю ідентифікувати країну походження кібератаки і навіть хто замовник.
Але якщо ця сама країна забороняє своїм провайдерам надавати розслідувачам дані логів трафіку для виявлення винних осіб, і при цьому, гидотно посміхаючись, каже “пакажитє ваши даказательства” – що тоді залишається постраждалим країнами та організаціям?
Лише публічно або напів-публічно заявити про країну походження кібератаки. І що ця країна не хоче співпрацювати у розслідуванні. Натякаючи, що таким чином влада цієї країни щонайменше покриває злочинців або, що більш вірогідно – відпочатку була з ними у змові.
І якщо у випадку КНР ми навряд чи станемо свідками спільних кібер-розслідувань правоохоронних структур Китаю та США, то арешти й допити генералів та офіцерів кібер-підрозділів ФСБ-ГРУ-СВР та їх хазяїв з кремлівських кабінетів – цілком реалістичне сподівання на наступні 10-15 років.
Особисто я собі на залишок життя запланував дочекатися саме цих історичних подій, щоб після розслідування переможно відповісти «неупередженим експертам»: «Аж ось вони, остаточні та беззаперечні докази». І звісно, вкотре проголосити споконвічне «А я ж казав».
Або просто насолодитися відчуттям невідворотності хоч якоїсь справедливості.