За хакерской атакой на украинскую газовую компанию Burisma могут стоять российские спецслужбы
Взлом Демократического национального комитета в 2016 году стал тревожным звонком для всех, кто беспокоится о международных кампаниях управляемого хаоса. В понедельник вечером появилась новая причина для беспокойства об избирательной кампании 2020 года. Нью-Йорк Таймс и компания по кибербезопасности Area1 поделились историей о новой кибератаке российских спецслужб, нацеленных на Burisma, украинскую газовую компанию, связанную с импичментом Трампа. В течение многих месяцев республиканские оперативники намекали на какую-то ужасную коррупцию внутри компании, и если российская разведка действительно взломала компанию, это открывает пугающие возможности.
В Конгрессе США уже предсказывают повторение сценария 2016-го, так член палаты представителей Адам Шифф комментирует: "Похоже, они снова надеются помочь этому президенту". Это вызывает опасения, учитывая отказ Трампа признать российский взлом в последний раз, нет никаких гарантий того, что Белый дом предпримет какие-нибудь шаги для пресечения подобных действий сейчас.
"Умеренная уверенность"
В то время как отчет о взломе показал ужасающую картину, доказательства взлома менее конкретны, чем может показаться. Существуют убедительные доказательства того, что Burisma была успешно атакована при помощи фишинга, но гораздо сложнее определить, кто за ней стоит. Есть веские основания полагать, что за взломом стоит ГРУ, однако прямых улик, выводящих на российский след нет. В результате дело против России выглядит разочаровывающе неполным и предполагает, что президентская компания в США стартует с большим количеством вопросов, чем ответов.
Большая часть доказательств Area1 изложена в восьмистраничном отчете, опубликованном в связи со статьей Times. Основным доказательством является схема атак, которые ранее были направлены против Института Хадсона и Джорджа Сороса, обычно с использованием одних и тех же регистраторов доменов и интернет-провайдеров. Самое очевидное, что во всех трех фишинговых кампаниях использовался один и тот же поставщик SSL и версии одного и того же URL-адреса, и все они маскировались под услугу под названием "My Sharepoint". С точки зрения Area1, это игровая схема ГРУ, а Burisma - только последняя, из долгой истории, цель.
Когда Кайл Эмке исследовал более ранние шаблоны того же паттерна для ThreatConnect, он пришел к более взвешенному выводу, оценив лишь с "умеренной уверенностью", что домены, с которых проводились атаки были связаны с APT28, сокращением используемым для ГРУ России.
Такая схема регистраций и фишинговых атак действительно выглядит как распространенная схема игры ГРУ, однако они не единственные, кто может управлять этим.
С практической точки зрения это означает, что операторы сетей должны поднимать тревогу каждый раз, когда они видят атаку, которая соответствует этому профилю, но сделать однозначный вывод по одному инциденту намного сложнее. Вся веб-инфраструктура, используемая в кампании, общедоступна и используется многими другими участниками, поэтому ни одна из них не может выступать оружием в прямом смысле этого слова. Главной отличительной чертой, при этом, является термин "sharepoint", который исследователи видели только в URL-адресах, тесно связанных с ГРУ. Но любой может зарегистрировать URL со словом "sharepoint", так что связь является только косвенной.
Ничто из этого не должно обнадеживать
"Это заметный набор согласований для поиска и потенциального использования для идентификации своей инфраструктуры", - сказал Эмке. "Но это не значит, что все, где были замечены эти совпадения, было и будет APT28".
Этот вид слабой атрибуции очень часто встречается в мире кибербезопасности, и он может вызвать реальные проблемы, когда страны изо всех сил пытаются выяснить международную дипломатию кибервойны. Фарзане Бадии, бывший исполнительный директор проекта по управлению интернетом в Georgia Tech, классифицирует слабую атрибуцию как "косвенные доказательства, которые могут быть подвергнуты техническому сомнению". Она рассматривает это как глобальную проблему и выступает за международные группы атрибуции, которые могут решить задачу, поэтому наблюдателям не нужно полагаться на частные компании или правительственные спецслужбы. Без этого проблема доверия может быть трудно решаема.
"Государства в основном финансируют кибератаки через индивидуальных подрядчиков и не осуществляют их самостоятельно", - говорит Бадии, затрудняя разграничение государственных субъектов и частных киберпреступников.
"Если вы обеспокоены вмешательством России в выборы 2020 года, ничто из этого не должно обнадежвиать. ГРУ действительно взломал DNC в 2016 году, и нет никаких оснований думать, что они больше не попробуют совершить подобное, независимо от того, стояли ли они за конкретной фишинговой кампанией. Есть основания полагать, что ГРУ было замешано. Отсутствие прямых улик не обнадеживает - во всяком случае, это означает, что тот, кто это сделал, практически не оставил следов. Но если вы просто хотите узнать, действительно ли Россия взломала Burisma, то на этот вопрос пока нет ответа."
По материалам: The Verge и The New York Times.