IT NewsНовости рынкаБезопасность

Китай и США договорились не шпионить, но удержаться не могут

Ольга Блинкова | 21.10.2015

Китай и США договорились не шпионить, но удержаться не могут

США жалуются, что хакеры, связанные с китайским правительством, пытались проникнуть в системы как минимум семи американских компаний за три недели, прошедших с момента подписания между Вашингтоном и Пекином соглашения, согласно которому стороны не должны заниматься коммерческим шпионажем. Об этом сообщает агентство Reuters.

Американская компания CrowdStrike сообщила, что ПО, которое она разместила в пяти американских технологических компаниях, и в двух фармацевтических, позволило обнаружить атаки из Китая, и отразить их. Сооснователь CrowdStrike Дмитрий Альперович (Dmitri Alperovitch) уточнил: тот факт, что хакеры, которые атаковали эти семь компаний, работают на китайское правительство, подтверждается путем анализа ПО и серверов, которые они использовали. Отмечается, что целью атак было получение интеллектуальной собственности и коммерческой информации.

Китайская сторона уже официально отреагировала на обвинения, подчеркнув, что правительство КНР выступает против хакерства и кражи коммерческих секретов.

Из Белого Дома также отреагировали на новость, подчеркнув, что «будут судить Китай не по его словам, а по его делам».

Мы попросили экспертов ответить на наш вопрос.

Насколько вероятно определить по используемым хакерами серверам и анализу ПО, что они работают именно на китайское правительство.

Рустэм ХАЙРЕТДИНОВ,

Генеральный директор компании Appercut Security:

В сети довольно просто подделать любые свидетельства национальной принадлежности - добавить в код иероглифов или кириллицы, направить запросы через прокси-сервера в нужных странах. В тех случаях, которые удается расследовать и наказать виновных, цифровые доказательства подкрепляются оперативной работой: отслеживанием финансовых потоков, контактами с продавцом информации или шантажистом, сбором агентурных данных и т.п. Также можно действовать по принципу «кому выгодно», определить предполагаемого заказчика и сузить круг поиска. Поэтому не стоит уповать только на цифровые доказательства - они могут быть сформированы так, чтобы направить вас по ложному руслу.

Алексей ЛУКАЦКИЙ,

эксперт по ИБ компания Cisco:

Атрибуция атак – это достаточно непростое дело, требующее анализа большого количества разрозненных данных. Если не рассматривать вариант, что в данной ситуации атрибуция носила признаки политического заказа, то в качестве исходных данных для определения источника атак могут быть использованы:

·         Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки.

·         Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится.

·         ВременнЫе параметры.

·         Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке.

·         Помимо изучения фрагментов кода, отдельные исследователи пытаются даже изучать «почерк» программистов и определять по нему школу программирования - американская, русская, китайская и т.п.

·         С анализом почерка тесно связана и лингвистика, а точнее стилометрия, которая позволяет определить стилистику языка в тех же самых комментариях или сопутствующих текстах. 

·         Обманные системы или honeypot/honeynet.

·         Оперативная разработка.

·         Анализ активности на форумах и в социальных сетях.

К сожалению, одного универсального и стопроцентного метода не существует. Наверное, только полная перестройка архитектуры Интернета помогла бы решить эту проблему с технической стороны. Но это недостижимая, а может быть и вредная мечта. Остается только совершенствовать указанные технические рецепты, обильно сдабривая их правовыми и дипломатическими приправами, позволяющими с большей уверенностью утверждать, что правильная атрибуция инициаторов спецопераций в киберпространстве возможна.

Эльман БЕЙБУТОВ,

руководитель направления JSOC компании Solar Security:

Действительно, в ходе расследования и выявления «заказчика» атаки, аналитики ИБ проводят тщательное изучение используемого хакерами ПО и серверов, на которые уходят информационные потоки с хостов компаний-жертв. Очень часто дизассемблирование вредоносной программы позволяет выявить косвенные признаки, указывающие на страну, хакерскую группировку или даже на конкретного программиста. Например, китайский язык в комментариях к исходному коду или ссылки на файлы с китайскими названиями, или даже проявления тщеславия разработчика программы, составившего в теле программы приветствие словами известной китайской мудрости.

Что же касается серверов злоумышленников, то опрос таких хостов сканерами уязвимостей позволяет получить данные об установленных языках, о геолокации в настройках или именах пользователей операционной системы. Конечно, если такая информация содержит в себе намек на Китай, можно с высокой вероятностью говорить о стране происхождения произведенной атаки.

Ключевые слова: информационная безопасность, хакеры

Журнал: Журнал IT-News [№ 10/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

19.11.2019 — 20.11.2019
MarTech Expo 2019

Москва, DigitalLoft

20.11.2019
BIS-2019

Санкт-Петербург, отель «Holiday Inn Московские ворота»,

28.11.2019
Второй Северо-Западный Форум CISCO

Санкт-Петербург, Гранд Отель Европа

28.11.2019
Dell Technologies Forum

Санкт-Петербург, Отель "Введенский", П.С., Большой пр.,37