Атака хакеров на системы национального комитета Демократической партии в 2016 году стала тревожным звонком для всех тех, кого волнуют международные кампании, призванные посеять хаос, и вечером 13 января у нас появилась еще одна причина беспокоиться по поводу 2020 года. Газета «Нью-Йорк Таймс» (The New York Times) и компания Area1, специализирующаяся на кибербезопасности, сообщили о том, что российские разведывательные службы взломали серверы украинской газовой компании Burisma, которая оказалась в центре дела об импичменте Трампа. В течение нескольких месяцев республиканцы намекали на ужасающую коррупцию внутри этой компании, и, если российские шпионы действительно взломали ее серверы, это поднимает весьма пугающие вопросы.
Некоторые представители конгресса уже прогнозируют повторение сценария 2016 года. Член Палаты представителей Адам Шифф (Adam Schiff) сказал следующее: «Несомненно, все выглядит так, будто они снова взялись за свое, стремясь помочь нынешнему президенту». Это довольно пугающая мысль, а учитывая отказ Трампа признать факт хакерских атак России в прошлый раз, нет никаких причин надеяться, что Белый дом станет предпринимать какие-либо меры, чтобы предотвратить новые атаки.
Однако, хотя в статье «Нью-Йорк Таймс» нарисована довольно жуткая картина, улики являются не такими однозначными и исчерпывающими, как может показаться. Есть убедительные данные о том, что Burisma стала объектом успешной фишинговой кампании, однако точно определить, кто именно стоял за этой кампанией, намного сложнее. Есть данные, указывающие на то, что в этом могло быть замешано Главное разведывательное управление Министерства обороны России, однако эти улики в основном косвенные, как это часто бывает в случаях с хакерскими кампаниями. В результате доказательства вины России оказываются разочаровывающе неполными, и, возможно, мы вступим в очередную предвыборную кампанию, имея больше вопросов, чем ответов.
Большая часть подтверждающих данных, собранных компанией Area1, уместились в докладе на восьми страницах, который был опубликован одновременно со статьей «Нью-Йорк Таймс». Главной уликой служит алгоритм фишинговых атак, которым ранее подвергались Гудзонский институт (Hudson Institute) и Джордж Сорос (George Soros) и в которых использовались одни и те же регистраторы доменов и поставщики интернет-услуг. Что еще важнее, во всех этих трех фишинговых кампаниях использовался один и тот же провайдер SSL и различные версии одного URL-адреса, замаскированного по сервис под названием "My Sharepoint". По мнению экспертов компании Area1, все это является приметами ГРУ, и компания Burisma стала всего лишь очередной жертвой российских шпионов. (Представители компании Area1 не отреагировали на наши просьбы прокомментировать ситуацию.)
Между тем далеко не все считают, что атрибуция, то есть поиски виновных, на основании домена дает гарантированный результат. Когда Кайл Эмке (Kyle Ehmke) изучал более ранние случаи применения этого алгоритма по заказу фирмы ThreatConnect, он пришел к более сдержанному выводу: он определил наличие связи этих доменов с APT28 (условное обозначение ГРУ) лишь с «относительной уверенностью».
«Мы видим некие закономерности, — сказал Эмке в интервью изданию Verge, — но в некоторых случаях эти закономерности нельзя свести к одному субъекту». Эта схема регистраций и фишинговых атак действительно кажется одной из привычных схем ГРУ, однако ГРУ пользуется не только этой схемой, и не только ГРУ ей пользуется.
На практике это значит, что операторы сети должны поднимать тревогу каждый раз, когда они фиксируют атаку, соответствующую этой схеме, но делать однозначное заключение на основании всего одного случая гораздо сложнее. Веб-структура, которая была использована в той хакерской кампании, общедоступна и может быть использована кем угодно, поэтому перечисленные выше данные нельзя рассматривать как неоспоримые доказательства. Наиболее значимой характеристикой в данном случае является термин "sharepoint", который эксперты встречали только в URL-адресах, тесно связанных с ГРУ. Однако кто угодно может зарегистрировать URL-адрес с термином "sharepoint", поэтому эту улику можно считать лишь косвенной.
«Это довольно очевидный набор постоянных признаков, которые можно искать и потенциально использовать для определения их инфраструктуры, — отметил Эмке. — Однако это вовсе не значит, что все, что обладает этими признаками, связано с APT28».
В отсутствие конкретной информации о стратегиях и целях той или иной группы, довольно трудно подкрепить утверждения о том, кто стоит за атаками, какими-то более весомыми доказательствами. Однако следование в обратном направлении — то есть от слабой атрибуции к предположениям о целях — тоже может быть опасным.
Такая слабая атрибуция, то есть слабо обоснованное приписывание тех или иных действий тем или иным субъектам, к сожалению, широко распространена в мире кибербезопасности, и она может вызвать реальные проблемы, поскольку страны сейчас пытаются выработать международные дипломатические нормы ведения конфликтов в киберпространстве. Фарзанех Баджи (Farzaneh Badii), бывший исполнительный директор проекта по управлению интернетом в Технологическом исследовательском институте Джорджии, определяет слабую атрибуцию как «косвенные доказательства, которые технически можно поставить под сомнение». Она считает это глобальной проблемой и выступает за создание международных групп, которые могли бы помочь выйти из этого тупика, чтобы обозревателям не приходилось опираться на данные, предоставляемые частными компаниями или правительственными разведывательными агентствами. В отсутствие этого решить проблему доверия будет трудно.
«Правительства зачастую финансируют кибератаки через индивидуальных подрядчиков, и сами их не проводят», — сказала Баджи. В результате провести границу между государственными субъектами и частными преступниками трудно. Если вас беспокоит то, что правительства подготавливают почву для начала войны или что частные компании стремятся к известности, проблема только усугубляется. «Компании, занимающиеся атрибуцией, не слишком честны и откровенны в вопросе о том, какие методы они используют в процессе атрибуции, поэтому оценить их механизмы атрибуции нелегко».
Если вас тревожит вероятность того, что Россия может вмешаться в президентские выборы 2020 года, ничто из этого не сможет вас успокоить. ГРУ действительно взломало серверы национального комитета Демократической партии в 2016 году, и нет никаких причин полагать, что оно не попытается сделать это снова, независимо от того, действительно ли оно стояло за этой конкретной фишинговой кампанией. Действительно, есть основания утверждать, что ГРУ было к ней причастно. Отсутствие «дымящегося пистолета» не является убедительной уликой — это лишь значит, что виновнику удалось выйти из воды относительно сухим. Но, если вы хотите знать, взломала ли Россия серверы компании Burisma, ответ на этот вопрос заключается в том, что мы пока этого не знаем.