США рассматривают возможность введения новых санкций в отношении России как ответ на взлом серверов Демократической партии. Американская разведка считает, что в кибератаке виноваты поддерживаемые российскими властями хакеры. Однако спецслужбы США не раскрывают информацию, доказывающую их точку зрения и не называют имен тех, кто якобы причастен к атаке.

В результате взлома на сайте WikiLeaks стали доступны почти 20 тыс. электронных писем Демократической партии, после чего кандидат в президенты от Демпартии Хиллари Клинтон обвинила Россию в причастности к кибератаке. Она упрекнула российские спецслужбы в том, что они вмешиваются во внутренние политические процессы другой страны в интересах республиканца Донольда Трампа. В свою очередь основатель портала WikiLeaks Джулиан Ассандж опровергает причастность России к утечке электронной переписки Демпартии.

Российская сторона все обвинения также отрицает.

Ранее Россию уже неоднократно обвиняли в причастности к хакерским взломам. Так, в начале этого года специалисты из США предположили, что российские хакеры устроили кибератаку на электросеть украинской компании «Прикарпатьеоблэнерго». Тогда без света остался Ивано-Франковск и часть Прикарпатья. А весной этого года Берлин заподозрил российские спецслужбы в кибератаке на компьютерные системы Бундестага, которая осуществлялась в мае 2015 года. В результате взлома хакерам удалось получить некоторые документы бундестага.

Комментирует заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин:

Когда речь идет о сложных атаках и взломах, целью которых являются органы государственной власти и критические объекты инфраструктуры, специалисты кибербезопасности стараются выяснить, из какой страны осуществляется кибератака.

Как правило, выводы о том, хакер из какой страны взламывает компьютерные сети, являются косвенными, и не могут безошибочно указать на действия спецслужб той или иной страны.

Выводы эти формируются на основе анализа некоторых характеристик. Первое – где расположены управляющие серверы, с которых осуществляется хакерский взлом, в каких странах. Тут нужно понимать, что арендовать хостинги можно где угодно. Зачастую кибеорпреступники из России используют зарубежные хостинги для хищения денежных средств в России. Делается это с целью затруднить расследование киберпреступлений.

Второе – время действия хакеров. Опираясь на эти данные, можно сделать вывод о часовом поясе. Однако эти выводы тоже косвенные, тем более для России с ее огромной протяженностью по часовым поясам.

Третье – модули используемых вредоносных программ. Бывает, что в них встречают комментарии или метаданные на каком-то языке. Тут необходимо понимать, что спецслужбы любых стран могут покупать любые доступные на черном рынке модули и использовать их в своих целях. В том числе в составе одной атаки могут быть задействованы модули хакеров, например, из России и США, а управлять процессом будет программы, написанные спецслужбой другой страны.

Таким образом, пока не будет выявлена вся цепочки от непосредственно исполнителя атаки до вредоносного кода на зараженном компьютере, утверждать что-либо о причастности к кибервзлому той или иной страны – более чем абсурдно. С технической точки зрения, если опираться на описанные признаки, можно имитировать атаку с любой страны мира. Без подробных технических отчетов, материалов дел и в конце концов приговора суда любые заявления о причастности той или иной страны к кибератаке, как правило, являются популистскими и необоснованными. 

Комментирует директор лаборатории компьютерной криминалистики ИТМО Павел Кузьмич:

Механизм обнаружения страны-источника кибератаки основан на привязки адресов интернет-сети к определенным диакустическим зонам.  Но все же это является только косвенным признаком, поскольку существуют сервисы, которые позволяют пользоваться другими IP-адресами, то есть действовать через компьютер-посредник.

Важными признаками является еще и характер атаки, используемый инструментарий, оперативные разработки и компетенции тех или иных злоумышленников, а также перечень IP-адресов, которые подконтрольны тем или иным правительственным группам, привязанным к разным странам, или тем, кто действуют на международном уровне как например, группа интернет-пользователей «Анонимус».

У разных групп может быть и свой конкретный «почерк», который по косвенным признакам относят к той или иной стране.

К этим косвенными признакам относится наиболее популярное в той или иной стране программное обеспечение: в Китае пользуются одном софтом, в Европе – другим. Кроме этого, встречаются и такие забавные признаки, как используемые логины, имена. Самым простым примером такого признака могут быть иероглифы: мы видим их и понимаем, что это, скорее, хакеры из Азии. Хотя хакером с таким логином может быть человек, который, грубо говоря, любит Китай или Японию.

Определяют источник кибервзлома также и по скорости атак, перечню подконтрольных ресурсов. Существует четкий перечить того, какие бот-сети – сети зараженных вирусом компьютеров, которые предоставляют возможность управлять собой через интернет –  к кому относятся, из какой страны ими управляют.

Нельзя с полной уверенность сказать, какая страна осуществляется кибератаку. Бывает много косвенных данных, формирующих представление о том, что это был, но с полной уверенностью утверждать это невозможно.