11.01.2017

Почему американцы винят именно русских в кибератаках на себя?

Процесс Threat Hunting практически всегда начинается с гипотезы о наличии (или, реже, отсутствии) угрозы в анализируемых данных, которую вы, с помощью собранных или собираемых доказательств, должны подтвердить или опровергнуть. В атрибуции, то есть определении того, кто стоит за той или иной угрозой, ситуация аналогичная. Сначала мы высказываем гипотезу о том, кто стоит за той или иной кампанией или инцидентом, а потом пытается это доказать или опровергнуть. И вот если посмотреть на Гризлигейт (так, по аналогии с Уотергейтом, стали называть историю с российскими кибератаками на США), то становится понятно, почему такое разное отношение к опубликованному Министерством национальной безопасности JAR-отчету, а после и к позиции трех спецслужб США, о которых, кстати, мы даже не знаем, на какую целевую аудиторию они были рассчитаны (а это важно).


Когда я первый раз смотрел оба эти документа, то я, пропуская его через призму собственного опыта и размышлений, считал, что это полная фигня, которая ничего не доказывает. Такой вывод по результатам анализа приведенных индикаторов компрометации делается большинством, особенно российских, специалистов. И это нормально. Мы, явно или неявно, не хотим, чтобы нашу страну считали прибежищем хакеров и киберпреступников. Но что, если попробовать дистанцироваться от геополитики и посмотреть на кейс с отчетом DHS с точки зрения специалиста по расследованию инцидентов? Сначала мы должны сформулировать гипотезу, которую будем доказывать или опровергать. У американцев она могла звучать так: "Нас атаковали хакеры из России, за которыми стоит государство в лице ГРУ или ФСБ". А дальше их задача была найти подтверждение этой гипотезе.

Что в итоге легло в основу американской уверенности, что за атаками на демпартию и другие федеральные информационные системы стоят "русские"?
  1. Web shell под названием PAS Tool PHP Web Kit, разработанный в Украине и активно рекламируемый на русскоязычных хакерских форумах. С другой стороны, тот же Роберт Грэм из Errata Security пишет, что этот софт используется сотнями, если не тысячами, хакеров по всему миру.
  2. Вредоносное ПО Xagent, прочно увязываемое с русскими хакерами. Правда, найти его может любой желающий и квалифицированный специалист. Вон, ESET его получила и проанализировала.
  3. Большое количество IP-адресов, принадлежащих российскому оператору связи Yota, который еще и принадлежал бывшему заместителю министра связи, то есть лицу, приближенному к властям. Yota занимает первое место в списке операторов связи, владеющих IP-адресами из списка DHS. Из 876 адресов 44 принадлежит Yota (еще 5 Ростелекому). С другой стороны, если отбросить привязку к операторам связи, то по географической привязке именно в США находится наибольшее число задействованных в атаке "русских" IP-адресов. А 15% всех адресов и вовсе связаны с Tor, то есть любой желающий мог скрыть свою активность за этой анонимной сетью.
  4. Наибольшая активность хакеров происходила в те моменты, когда в Москве было рабочее время. Этот атрибут не упоминается в отчете DHS, но приводился в расследовании CrowdStrike и Mandiant. Я уже не раз писал, что Москва - это еще не вся Россия, а в московском часовом поясе также находится Ирак с Ираном, которые могут иметь зуб на США. Ну а в соседнем часовом поясе находится Турция, Сирия, Ливия, которые тоже не очень расположены к заокеанским "партнерам".
  5. Русскоязычные комментарии, использование сайтов с русскоязычным интерфейсом и файлы, созданные в ОС/ПО с поддержкой русского языка. Также отсутствующий в отчете DHS, но упоминаемый в других исследованиях атрибут. В мире русским языком владеет около 300 миллионов человек, что ставит его на 5-е место по распространенности в мире и на 2-е в Интернет. Родным его считают 160 миллионов человек и не только в России. Так что "русская Винда" могла стоять на компьютере не только в России. Хотя я прекрасно понимаю, что под термином "русский" американцы давно уже понимают всех выходцев из бывшего СССР, в том числе и не являющихся гражданами Российской Федерации.
  6. Они называют себя медведями, а где у нас по улицам ходят медведи и у какой страны медведь чуть ли не национальный герой? Опять все указывает на Россию, хотя те же гризли водятся только в США и нигде больше.
  7. В атаке на демпартию было использовано вредоносное ПО, которое раньше уже было связано с Россией! Зачем же мы будем перепроверять, не ошиблись ли эксперты в прошлый раз?
  8. Эти атаки выгодны именно России. Это, пожалуй, единственный довод, который увязывает "русских" хакеров и российские власти. Ну и что, что Китай раньше атаковал гораздо сильнее и имеются реальные факты и доказательства китайского шпионажа?.. 
  9. Российские СМИ в лице RT и ее главреда Маргариты Симоньян активно поддерживали Трампа во время предвыборной гонки и гнобили демократов. RT у нас канал государственный, значит российские власти поддерживали все, что делалось супротив США; А еще Хиллари Клинтон считает, что за атаками стоит сам Владимир Путин, а у нас нет сомнений в ее честности и правдивости, ведь она была госсекретарем США.
Какой вывод можно сделать по данным фактам? Могла ли Россия стоять за атаками на американские ресурсы? Могла. Стояла ли? Не факт. Кто занимался эксплуатацией IDS или SIEM знает, что у этих систем бывают ложные срабатывания и их бывает немало. Так и с указанным отчетом DHS. Четких доказательств именно "русского следа" до сих пор нет. В совокупности приведенные выше атрибуты вроде как указывают на Россию, что вероятно подтверждает изначально выдвинутую гипотезу, а точнее не опровергает ее.

Есть ли другие кандидаты на место России в данном кейсе? А зачем? США в текущих условиях других врагов (например, Китай) пока называть нет смысла. Поэтому как в мультфильме "Падал прошлогодний снег": "Кто в цари последний? Никого? Тогда я буду первым!" Вот так и с Россией. Никто не опроверг озвученную американцами версию с доказательствами в руках. Даже Россия молчит и, кроме пресс-секретаря нашего Президента и отдельных чиновников МИДа, никак не опровергает представленные факты, просто называя их бредом и измышлениями уходящей на покой администрации.

Есть и еще одна причина, почему американцы в рамках атрибуции обвиняют Россию. Она называется предвзятость. Большинство аналитиков, занимающихся атрибуцией киберугроз, это бывшие военные ВВС США или АНБ, которые во время службы также занимались атрибуцией, но немного в иной сфере. Более того, часто они рассматривали в качестве источника угроз именно Россию, как самого вероятного противника. А после того как они перешлю на гражданку и стали заниматься атрибуцией киберугроз, то... ничего не поменялось. психология восприятия рисков у них осталась той же.

Специалисты из России, которые оперируют тем же отчетом и списком индикаторов, скорее всего, начали бы с иной гипотезы - "Америку атаковали не российские хакеры". И опираясь на эту гипотезу специалисты будут искать доказательства ее правоты, что я, собственно, и попробовал вышел сделать, противопоставляя "фактам" из расследования CrowdStrike, Mandiant, DHS контраргументы. В современном Интернет найти доказательства правоты обеих сторон не сложно. Особенно если оперировать только IP-адресами и не подниматься на уровень TTP.


После выхода совместного доклада трех американских спецслужб ситуация явно не улучшилась. Там еще меньше доказательств "русского следа" и много жалоб на RT и ее главреда за то, что они якобы не любят американских демократов и, наоборот, превозносят Трампа, что, как это понятно всем умным людям, доказывает влияние России на американские выборы и работу российских хакеров. Правда, после истории с якобы имеющими доказательствами наличия химического оружия в Ираке верить на слово отчетам американской разведки уже как-то и некомильфо. Как, собственно, и в ссылки на якобы имеющиеся в секретном (третьем) докладе для узкого круга лиц, доказательства. Достаточно вспомнить истории с отравлением Литвиненко, сбитым MH17, взломом Sony Pictures, арестом Хансена или нелегалов "во главе" с Анной Чапман и т.п. делами, в которых секретность не сильно мешала выкладывать гораздо больше доказательств (пусть и местами спорных), чем в текущем деле. А ведь те кейсы имели зачастую гораздо более серьезные последствия, чем атаки на несколько серверов.

А вот если дистанцироваться от геополитики и отбросить в сторону всю эту шумиху вокруг отношений России и США, то отчет DHS вполне неплох, так как содержит немалое количество индикаторов компрометации, которые действительно характеризуют вредоносную активность (и не так важно, кто за ней стоит). Поэтому, если уж извлекать из этого кейса пользу, то путем внесения соответствующих правил в сетевые средства ИБ (те же МСЭ или IPS) или SIEM для обнаружения атак на вас.

ЗЫ. Кстати, теперь использование и Xagent и PAS будет однозначно указывать на русский след. Замечательный подарок США всему хакерскому сообществу, которое теперь может спокойно маскироваться под ГРУ или ФСБ :-)

10 коммент.:

Александр Германович комментирует...

Вы предлагаете доказать наперсточнику, что под его наперстками шарик отсутствует? Так он это знает лучше вас. Он для того и двигает наперстки, чтобы обмануть.
А на доказательства и "факты" ему плевать, он только похихикает над идиотами.

Руслан Мельников комментирует...

это все-таки информационные войны, игнорирование ничего не даст, необходимо реагировать так или иначе на эти вбросы, ну и пусть хихикает, а журналисты имея информацию могут и пошевелить

SK комментирует...

Доказательства их настолько расплывчаты, что их даже не опровергнешь.

Александр Германович комментирует...

2 Руслан Мельников.

А попробуйте доказать, глядя на пробирку с порошком, что в ней не хим. оружие, а какая-то хрень (в руки вам ее никто не даст).
Вот завтра Путина обвинят в колдовстве, как вы предлагаете реагировать?

Реагировать на голословные обвинения в медиасетях можно, только имея контроль над альтернативными медиасетями.

Евгений комментирует...

Мне особенно нравится атрибуция на основе активности по рабочему времени москвы. Так и встает перед глазами огромные опенспейсы ГРУ/ФСБ, полные хакеров, уткнувшихся в мониторы от 9:00 до 18:00. А вечером в метро, домой, к семье и детям...

Андрей Коненков комментирует...

Друзья, вот ещё доказательства "Русского следа", явно происки российских хакеров-собаководов, т.к. данная порода собак есть в России и методики дрессировки схожи с российскими. Собака экс-президента покусала 18-летнюю девушку: https://rg.ru/2017/01/13/sobaka-obamy-pokusala-gostiu-belogo-doma.html

Алексей Лукацкий комментирует...

Александр: доказательства представлены. Реагировать надо на них и показывать их несостоятельность

Александр Германович комментирует...

"доказательства представлены. Реагировать надо на них и показывать их несостоятельность."

Основные доказательства, как заявлено, представлены в секретной части доклада. Интересно, как вы предлагаете показывать их несостоятельность? А главное, кому? Наперсточнику?

Алексей Лукацкий комментирует...

Доказательства есть в JAR. Несостоятельность надо показывать всему миру, включая и Россию

Алексей Лукацкий комментирует...

Есть такое понятие "отстаивание интересов"