Читаем Кибероружие и кибербезопасность. О сложных вещах простыми словами полностью

Анализ программного кода, в котором могучи быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке. Анализ функциональности программного кола позволяет сузить число возможных нарушителей. Например, анализ кода Stuxnet показал, что для его создания надо было не только знать, как работают центрифуги IR-1 в Натанзе, но и иметь стенд для проверки работоспособности вредоносного кода, который позже вывел из строя большое количество центрифуг по обогащению урана. Но многие ли акторы способны приобрести центрифуги для тестирования Это позволило существенно снизить число возможных нападавших. а дополнительные сведения позволили даже назвать государства, которые стояли за разработкой Stuxnet, — США и Израиль.

Помимо изучения фрагментов кода, отдельные исследователи пытаются даже изучать почерк программистов и определять по нему школу программирования: американская, русская, китайская и т. п.

С анализом почерка тесно связана и лингвистика, а точнее стилометрия. которая позволяет определить стилистику языка в тех же самых комментариях или сопутствующих текстах. Известно, что то. в какой стране родился человек, в какой культуре рос. в какой языковой среде воспитывался, определяет его стиль письма, который можно выделить и зафиксировать. Например, выросший в России пли Советском Союзе человек, позже уехавший в Великобританию пли США. никогда не будет говорить на языке так же. как коренной англичанин пли американец. Эти различия позволили, например, специалистам компании Taia Global сделать вывод о том, что за атаками на Sony стоят не северокорейские, а русские хакеры. Аналогично эксперты Лаборатории Касперского предположили, что за шпионской кампанией Маска стоят испаноговорящие хакеры. Причиной такого вывода послужило использование в коде испанских слов и сленга, которые никогда не используется англоговорящей аудиторией.

Обманные системы или honepot/honeynet - популярный в свое время инструмент, интерес к которому со временем поугас. а сейчас возвращается вновь. Идея проста: в сети запускается фальшивый, подставной узел, который злоумышленник атакует, оставляя следы своей несанкционированной активности. — вот ее-то и изучают эксперты.

Еще один метод — оперативная разработка. Он мало чем отличается от того, что мы знаем из боевиков пли детективов. Внедренные агенты, стукачи, сочувствующие и другие источники информации позволяют идентифицировать или хотя бы сузить спектр возможных акторов, стоящих за той или иной атакой. Хороший пример — Эдвард Сноуден, который успел рассказать немало интересного о деятельности спецслужб, в которых ему довелось служить.

Анализ активности на форумах и в социальных сетях. Именно так в 2007 г. была выяснена причастность молодежного движения Наши к атакам на ряд эстонских ресурсов. Однако связь Наших с российскими властными структурами в данном конфликте так и не была подтверждена. Аналогичным образом после публикации ролика на YouTube иранской хакерской группировки k: ad-Din al-Qassam Cyber Fighters была доказана роль иранских хакеров (но не самого государства) в атаках на американские банки. Наконец. Сирийская электронная армия регулярно берет на себя ответственнось за атаки на отдельные американские ресурсы. Например, именно они заявили о взломе учетной записи в Твиттере агентства Assocaited Press", в котором написали о взрыве в Белом Доме и ранении Барака Обамы. Анализ активности хакеров и оперативная разработка — единственные методы определения мотивов кибератаки. Ни анализ IP-адресов, ни лингвистика не дают возможности ответить на вопрос «почему», ограничиваясь только ответом на вопрос «кто».

В отдельных случаях автора можно идентифицировать постфактум по его действиям. Речь идет не только о том. что он осознанно пли случайно делится фактом своего участия в атаке в социальных сетях. Например, в случае вторжения в интернет-банк, кражи денег и перевода их на подставные или реальные счета, наблюдая за владельцем счета, можно выйти и на тех, кто стоит за ним пли кто его нанял. Также украденная информация может появиться на аукционах и биржах, публичных и закрытых. Дальше следователи могут вступить в переговоры с продавцом и провести его атрибуцию пли получить важную информацию для дальнейшей атрибуции кибернападенпя.