Китай и США договорились не шпионить, но удержаться не могут
США жалуются, что хакеры, связанные с китайским правительством, пытались проникнуть в системы как минимум семи американских компаний за три недели, прошедших с момента подписания между Вашингтоном и Пекином соглашения, согласно которому стороны не должны заниматься коммерческим шпионажем. Об этом сообщает агентство Reuters.
Американская компания CrowdStrike сообщила, что ПО, которое она разместила в пяти американских технологических компаниях, и в двух фармацевтических, позволило обнаружить атаки из Китая, и отразить их. Сооснователь CrowdStrike Дмитрий Альперович (Dmitri Alperovitch) уточнил: тот факт, что хакеры, которые атаковали эти семь компаний, работают на китайское правительство, подтверждается путем анализа ПО и серверов, которые они использовали. Отмечается, что целью атак было получение интеллектуальной собственности и коммерческой информации.
Китайская сторона уже официально отреагировала на обвинения, подчеркнув, что правительство КНР выступает против хакерства и кражи коммерческих секретов.
Из Белого Дома также отреагировали на новость, подчеркнув, что «будут судить Китай не по его словам, а по его делам».
Мы попросили экспертов ответить на наш вопрос.
Насколько вероятно определить по используемым хакерами серверам и анализу ПО, что они работают именно на китайское правительство.
Рустэм ХАЙРЕТДИНОВ,
Генеральный директор компании Appercut Security:
В сети довольно просто подделать любые свидетельства национальной принадлежности - добавить в код иероглифов или кириллицы, направить запросы через прокси-сервера в нужных странах. В тех случаях, которые удается расследовать и наказать виновных, цифровые доказательства подкрепляются оперативной работой: отслеживанием финансовых потоков, контактами с продавцом информации или шантажистом, сбором агентурных данных и т.п. Также можно действовать по принципу «кому выгодно», определить предполагаемого заказчика и сузить круг поиска. Поэтому не стоит уповать только на цифровые доказательства - они могут быть сформированы так, чтобы направить вас по ложному руслу.
Алексей ЛУКАЦКИЙ,
эксперт по ИБ компания Cisco:
Атрибуция атак – это достаточно непростое дело, требующее анализа большого количества разрозненных данных. Если не рассматривать вариант, что в данной ситуации атрибуция носила признаки политического заказа, то в качестве исходных данных для определения источника атак могут быть использованы:
· Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки.
· Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится.
· ВременнЫе параметры.
· Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке.
· Помимо изучения фрагментов кода, отдельные исследователи пытаются даже изучать «почерк» программистов и определять по нему школу программирования - американская, русская, китайская и т.п.
· С анализом почерка тесно связана и лингвистика, а точнее стилометрия, которая позволяет определить стилистику языка в тех же самых комментариях или сопутствующих текстах.
· Обманные системы или honeypot/honeynet.
· Оперативная разработка.
· Анализ активности на форумах и в социальных сетях.
К сожалению, одного универсального и стопроцентного метода не существует. Наверное, только полная перестройка архитектуры Интернета помогла бы решить эту проблему с технической стороны. Но это недостижимая, а может быть и вредная мечта. Остается только совершенствовать указанные технические рецепты, обильно сдабривая их правовыми и дипломатическими приправами, позволяющими с большей уверенностью утверждать, что правильная атрибуция инициаторов спецопераций в киберпространстве возможна.
Эльман БЕЙБУТОВ,
руководитель направления JSOC компании Solar Security:
Действительно, в ходе расследования и выявления «заказчика» атаки, аналитики ИБ проводят тщательное изучение используемого хакерами ПО и серверов, на которые уходят информационные потоки с хостов компаний-жертв. Очень часто дизассемблирование вредоносной программы позволяет выявить косвенные признаки, указывающие на страну, хакерскую группировку или даже на конкретного программиста. Например, китайский язык в комментариях к исходному коду или ссылки на файлы с китайскими названиями, или даже проявления тщеславия разработчика программы, составившего в теле программы приветствие словами известной китайской мудрости.
Что же касается серверов злоумышленников, то опрос таких хостов сканерами уязвимостей позволяет получить данные об установленных языках, о геолокации в настройках или именах пользователей операционной системы. Конечно, если такая информация содержит в себе намек на Китай, можно с высокой вероятностью говорить о стране происхождения произведенной атаки.
Опубликовано 21.10.2015