•  Лабораторией Касперского, которая раскрыла кампании Маска и Красный октябрь;

•  Group-IB, нашедшей след Исламского государства в атаках на многие российские организации;

•  BAE Systems, исследовавшая атаки на украинские компьютеры и нашедшая на них русские отпечатки;

• Check Point, раскрывшая ливанскую хакерскую группу Volatile Cedar (Летучий кедр);

• Taia Global, которая вопреки распространенному мнению, что компанию Sony взломали хакеры из Северной Кореи, доказала, что Sony все-таки атаковали из России.

Надо сказать, что киберактивность военного назначения сегодня превратилась в инструмент геополитической борьбы. Что может быть проще, чем обвинить то или иное государство в агрессии только на том основании, что с его территории зафиксирована кибератака? И, как мы неоднократно наблюдали за последнее время, отдельные страны и блоки стран активно используют этот прием.

Желание связать конкретную атаку с конкретным государством, не разбираясь в реальных источниках и причинах, вполне объяснимо — это удобный прием в геополитической борьбе, особенно если нужно быстро создать образ врага.

Отдельно стоит упомянуть, что идентификация источника в сложной атаке, проходящей через несколько государственных границ и континентов, требует активного взаимодействия представителей государств, не только находящихся в разных юрисдикциях, но иногда и агрессивно, даже враждебно по отношению друг к другу настроенных. Можно ли быть уверенным, что такое сотрудничество будет налажено? Далеко не всегда, но можно. Например, на конференции Positive Hack Days в Москве представители ФСБ заявили, что в настоящий момент большая часть хакерской активности, направленной против России, идет с территории Украины, но нормально взаимодействовать с украинскими спецслужбами не удается по вполне понятным причинам. Хотя иногда наблюдается и обратная картина. Например, во время подготовки и проведения зимних Олимпийских игр в Сочи американские и российские спецслужбы достаточно активно взаимодействовали в рамках обеспечения безопасности игр. И это несмотря на уже произошедшее охлаждение дипломатических отношений, заморозку отдельных контактов и приостановление ряда рабочих групп.

1.6.3. Основные технические сложности с идентификацией источника кибератаки

Технические причины заключаются в невозможности простого определения источника атак в киберпространстве, причем независимо от формы ilx реализации — в виде DDoS-атак, путем проникновения через защитные экраны, в виде рассылок вредоносного кода через электронную почту или путем заражения сайтов и флешек, через которые вредоносное ПО попадает во внутреннюю сеть предприятия.

В 1960-1970-е гг., когда создавались протоколы, положившие начало современному Интернету; никто не задумывался о необходимости однозначной идентификации всей цепочки передачи пакетов данных из точки А в точку Б. Более того, сама по себе технология работы Интернета подразумевает децентрализацию и распределенность. И то. что устраивало всех последние 40 лет. сейчас стало играть с нами дурную шутку. Как определить реального автора пришедшего мне на компьютер сетевого пакета, если технически возможно изменить адрес отправителя? Все известные версии протокола IP в принципе не подразумевают однозначной идентификации и аутентификации инициатора соединения (хотя разговоры об ннтернет-паспортах и идентификации всех, кто входит в Интернет, ведутся давно).

Но отсутствие в имеющейся на момент выхода книги версии протокола IPv4 необходимых атрибутов для определения местоположения источника атаки — не единственное препятствие. Никто не может помешать злоумышленнику, желающему скрыть свое истинное местоположение, использовать любой имеющийся в Интернете прокси-сервер (серверпосредник) или анонимайзер. В случае реализации атаки через них мы увидим в качестве адреса источника атаки не реальный адрес злоумышленника, а адрес сервера-посредника. Как быть в таком случае? А ведь такие сервера во множестве разбросаны по разным национальным сегментам Интернета. Находясь в Пекине, атакующий может реализовать атаку через посредника в Пекине, Москве, Сеуле или Гонолулу.