Ситуация усугубляется тем. что злоумышленник может арендовать специальные сервера (так называемый abuse-устойчивый хостинг), которые будут целенаправленно скрывать истинный адрес злоумышленника. И таких промежуточных серверов может быть много — 5. 10. 100. В такой ситуации атака обладает динамически меняющимися пространственными характеристиками, что коренным образом отличает ее от обычных наступательных вооружений. Может ли ядерная боеголовка динамически менять свое местоположение? Да. но очень медленно, если возить ее на специальном автотранспорте пли поезде. Но и в этом случае ее географические координаты ограничены границами одного государства, в крайнем случае блока. Для кибератаки поменять за несколько минут или даже секунд географическую привязку и числиться на разных континентах в порядке вещей.

Аналогичная ситуация возникает, и если подняться выше по так называемому стеку интернет-протоколов и посмотреть на электронную почту, которая может содержать угрозы или реальный вредоносный код. Идентифицировать настоящего отправителя почты, если он того не желает, практически невозможно. Для этого надо пройти по цепочке всех узлов, через которое проходило почтовое сообщение и которые могут находиться в разных странах и юрисдикциях.

Отдельный вопрос с файлами и вредоносным программным обеспечением. У них нет «печати» и. как правило, не стоит подпись автора, который желал бы оставить свой след в истории. Поэтому исследователям приходится просматривать огромные объемы информации в поисках зерен правды, позволяющих с определенной долей вероятности определиться с источником атаки. Например, в рамках расследования операции Нож мясника вышеупомянутая компания Cylance собрала и изучила свыше 8 Гб данных. 80 000 файлов, журналы регистрации на узлах жертв и т. и. И только после этого она смогла заявить об «иранском следе», и то с оговорками. Однако технический анализ так и не смог дать ответ на вопрос, стояло за этой операцией государство пли это была частная инициатива.

1.6.4. Основные методы определения источников кибератак

Как уже было указано выше, такие компании как Group-IB, Лаборатория Касперского, Cisco, Cyiance, Taia и другие проводят свои расследования используя в качестве доказательств следующие индикаторы (признаки) [А. Лукаикий. Определение источника кибератак. ИНДЕКС БЕЗОПАСНОСТИ № 2 (113), Том 21].

Место регистрации IP-адресов и доменов, участвующих в атаке или предоставляющих инфраструктуру для реализации атаки. При этом анализируется не только страна регистрации, но и сопутствующая информация, которая может быть получена с помощью сервиса WHOIS: ФИО владельца домена или IP-адреса, его контакты. Все это позволяет при превышении определенного порогового значения сделать вывод о стране, которая стоит за кибернападением. Если же злоумышленник не очень квалифицированный, можно идентифицировать и физическое место расположения источника атаки.

Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится. Такой функционал есть у многих маршрутизаторов, на которых построен Интернет. Помимо механизма Traceback, использующегося на сетевом оборудовании. для идентификации злоумышленников могут быть использованы фильтрация трафика на интерфейсах маршрутизатора (ingress filtering), протокол ICMP для возврата отброшенного на жертву трафика обратно его инициатору. Например, в случае шпионской кампании Лунный лабиринт (Moonlight Маzе^]0), направленной против ВПК США. НАСА и ряда американских государственных структур, отследить организаторов удалось именно путем анализа обратного маршрута до серверов, зарегистрированных в России (правда, связь с государственными структурами так и не была установлена).

Временные параметры. Как показали ранее приведенные примеры. нередко исследователи анализируют время создания вредоносного кода, время начала операции в киберпространстве или время наибольшей активности. Пусть и с оговоркаьш. но эта информация может служить основой дальнейшего анализа. И хотя она не укажет на конкретного нарушителя, она позволит сузить число стран, которые могли бы быть причастны к анализируемой ситуации.