29.03.2017

Конфуз с атрибуцией "русских хакеров"

Не раз обращась к теме атрибуции атак, уже высказывал мысль, что в современных условиях это очень непростая задача, которая сегодня носит скорее политизированный характер, чем позволяет реально обнаруживать истинных злоумышленников, стоящих за той или иной атакой. И вот на днях разгорелся скандал с известным обличителем "русских хакеров" - компанией CrowdStrike, которую основал родившийся в Москве в 1980-м году Дмитрий Альперович, уехавший в 1995-м году вместе с семьей в Канаду.

Напомню предысторию. 22 декабря прошлого года CrowdStrike опубликовала отчет с результатами своего расследования, согласно которому "русские хакеры", стоявшие за взломом DNC (а его также расследовала компания Альперовича), взломали и артиллерийское приложение, разработанное в Украине, что позволило российскому ГРУ получать доступ к координатам украинской артиллерии и выводить ее из строя. По версии CrowdStrike благодаря "русским хакерам" Украина потеряла до 80% своей боевой техники определенной модели.


23-го марта Международный институт стратегических исследований обвинил CrowdStrike в подтасовке данных, а точнее в манипулировании выводами, сделанными на основе данных, собранных IISS. Это привело к тому, что CrowdStrike вынуждена была сначала убрать нашумевший отчет со своего сайта, а потом внести в него несколько изменений, дезавуировавших прошлые заявления о потерях ВСУ.


Правда, удалили спорные цифры не везде :-)


При этом компания Альперовича продолжает настаивать на том, что "русские хакеры" взломали артиллерийское приложение, отказавшись только от заявлений о потерях военной техники. Однако, официальные представители ВСУ Украины отрицают факт взлома и считают, что это стало бы сразу известно. Об этом же говорит и автор приложения, высказавший серьезные сомнения в уме тех, кто писал этот отчет. Позже выяснилось, что в данном приложении вообще отсутствовал функционал, связанный с передачей местоположения артиллерийских установок.


Однако заявление и Шерстюка, и МинОбороны Украины не имело столь широкого резонанса, как отчет CrowdStrike, который активно обсуждался в американских СМИ и послужил еще одним кирпичиком в стене доказательств атак "русских" на американскую демократию. Этот же отчет усилил ранее высказанные обвинения CrowdStrike в атаках на сайт Демпартии США.

В настоящий момент Альперович отказывается от интервью и комментариев на эту тему, а пресс-служба CrowdStrike продолжает настаивать на своей первоначальной версии. Оно и понятно. Оказавшиеся шитыми белыми нитками доказательства по атаке на украинское мобильное приложение ставит под сомнение и отчет CrowdStrike по русскому следу в атаках на DNC, которое уже распиарено больше некуда и на которое Альперович сделал очень большую ставку, обвиняя страну своего рождения во всех смертных грехах. Признать свой провал в отчете по атрибуции атак на артиллерийское приложение, значит признать провал и в отчете на DNC, что имеет далеко идущие последствия для всех тех, кто использовал его как базу для своих обвинений России. Да и для Альперовича такое признание потаканию сиюминутной геополитической выгоде может оказаться финальным аккордом в карьере.

А тут еще масла в огонь подлила утечка из ЦРУ, в результате которой, на портале WikiLeaks стали публиковаться доказательства наличия у этой американской спецслужбы не только богатого арсенана кибервооружений, но и способности маскироваться под уже известных нарушителей, в том числе и из других стран. Иными словами, WikiLeaks опубликовала доказательства возможности (неизвестно, применялась ли данная тактика в реальности) ЦРУ выдавать себя за других хакеров. Интересно, что примерно в это же время специалисты по кибербезопасности компании BAE Systems опубликовали исследование, в котором исследуется тактика неизвестных хакеров маскироваться под "русских" в атаких на польские банки и другие организации в конце прошлого - начале этого года. Обнаружив русский язык в теле вредоносных программ, польские политики поспешили обвинить Россию в атаких на себя, однако на деле оказалось, что кто-то просто пытался замаскировать свою активность, пользуясь шумихой вокруг "русских хакеров в погонах". Так что получается, что данные WikiLeaks не являются вымыслом, а вполне могут быть реальной практикой, применяемой американскими (возможно и иными) спецслужбами для затруднения атрибуции кибератак. На этом фоне цена утверждений CrowdStrike о русском следе падает еще сильнее.

Я могу понять желание Альперовича нажиться на теме с русскими хакерами. Тут и бюджеты от государства, и бесплатный PR в СМИ и новые заказчики, и нелюбовь к бывшей Родине (в своих интервью он нелицеприятно высказывался о своем детстве в Советском Союзе, необходимости молчать о том, что думаешь, поездках отца на устранение аварий в Чернобыле, смерти и болезнях от радиации близких друзей). С другой стороны он сильно подмочил свою репутацию непроверенными до конца фактами. Мог бы ограничиться только публикацией индикаторов компрометации и артефактами, но он решил погрузиться в атрибуцию и прогорел. Предположу, что сейчас многие заказчики откажутся от услуг (но не факт, что продуктов) CrowdStrike после того, как выяснилось, что эта компания подменяет результаты своих расследований в угоду сиюминутной политической повестке дня.

Данный кейс лишний раз показывает, что атрибуция кибератак сегодня - это не так просто, как кажется. Это совсем не threat hunting, столь модный в последнее время. Тут последствия гораздо серьезнее. Можно как взлететь на волне PR о <имярек> следе и происках хакеров, спецслужб, киберпреступников, имеющих национальную принадлежность. А можно и крупно провалиться, если станет известно, что доказательства подтасованы, а заявления не основаны на реальных фактах, а базируются на заголовках СМИ или неподтвержденных фактах. Желание присосаться к бюджету и бесплатному PR понятно, но стоит учитывать последствия, когда в угоду политической ситуации, начинают жертвовать своим профессионализмом.

ЗЫ. А пока CrowdStrike будет под присягой отвечать перед Конгрессом за подтасоку фактов.