В проведении масштабной кибератаки на организационный комитет Игр-2018 подозревают Северную Корею, Китай и Россию. Исследователи не исключают, что любая их этих сторон могла подставить другую.
Летающие кони, панды или медведи: кто стоит за кибератакой на Олимпиаду
Вечером 9 февраля в южнокорейском Пхёнчане проходила церемония открытия зимней Олимпиады. Один из талисманов соревнований - черный гималайский медведь Пандаби - развлекал многомиллионную аудиторию на пару со своим коллегой, тигром Сухораном.
В это время другие медведи, если верить американской разведке, пытались эту церемонию сорвать. "Медведи" - это универсальное название политически мотивированных хакеров из России. В США считают, что они потратили много сил на изучение электронной инфраструктуры Игр, при этом изначально не планировали похищать у оргкомитета ценные данные (или монетизировать кибератаку другим способом).
Незадолго до начала церемонии хакеры "уронили" сайт Игр - некоторые зрители не смогли распечатать билеты, и их места пустовали. 3 тысячи журналистов в пресс-центре лишились беспроводного интернета, на экранах прекратилась трансляция церемонии.
Похоже, единственной целью этой сложной, задействовавшей недоступную большинству хакеров инфраструктуру кибератаки было вызвать дискомфорт у зрителей и организаторов церемонии.
Газета Washington Post 24 февраля со ссылкой на анонимные источники в американской разведке написала, что за этой диверсией стоит Главное управление Генштаба министерства обороны России (бывшее ГРУ). А точнее - Главный центр специальных технологий (ГЦСТ). Би-би-си не удалось найти каких-либо упоминаний этой организации на публичных ресурсах Минобороны.
Якобы так военная разведка отомстила за допинговый скандал и запрет российским спортсменам выступать на Олимпиаде под своим флагом. При этом, по версии издания, русские пытались выдать кибератаку за дело рук северокорейских хакеров (или "крылатых коней", как их называют исследователи).
Ранее США, Украина, Великобритания и Дания обвинили минобороны России в создании вируса NotPetya, поразившего тысячи организаций по всему миру, прежде всего на Украине.
Еще до публикации в Washington Post министерство иностранных дел России дало понять, что знает о готовящихся обвинениях и назвало их "псевдорасследованиями".
"Никаких доказательств, естественно, миру, как и прежде, представлено не будет", - заявил МИД. И действительно - следы этой кибератаки - что медвежьи, что конские - могли быть подделаны.
Еще больше зверей
Исследователям инцидента 9 февраля не удалось установить гражданство злоумышленников. Американская компания CrowdStrike упоминает Россию и Северную Корею, но лишь как страны, у которых есть политические мотивы нападать на Олимпиаду-2018.
Другая американская компания Cisco Talos нашла в коде "Разрушителя Олимпиады" фрагменты вируса NotPetya.
Там же обнаружились и фрагменты, ранее использовавшиеся хакерской группой Lazarus. Американские власти обвиняют ее во взломе серверов Sony Pictures Entertainment в ноябре 2014 года - вскоре после того, как киностудия выпустила комедию "Интервью" о северокорейском диктаторе Ким Чен Ыне.
Также в коде "Разрушителя" нашлись фрагменты целевых кибератак (APT) № 3 и № 10, за которыми стоят соответственно "Готическая панда" и "Каменная панда". "Пандами" этих хакеров называют из-за китайского происхождения. Особенно этих "панд" интересуют данные аэрокосмических и оборонных предприятий западных стран.
"Многие быстро подходили к выводам и приписывали "Разрушителя Олимпиады" конкретным группам, - резюмируют в Cisco Talos. - Однако основания для таких обвинений часто слабы. Теперь, когда мы видим, что авторы вредоносных программ размещают [в коде] "ложные флаги", атрибуция, основанная только на образцах вредоносных программ, стала еще сложнее".
Южноафриканский исследователь под псевдонимом Grugq, напротив, склоняется к версии американской разведки о причастности российских хакеров.
"Это была не только эффективная операция влияния, которая привела к утверждению статуса России как кибердержавы… Использование "ложных флагов" заложило основу для будущей информационной войны. Признавая, что произошла серьезная, реальная кибератака с "ложными флагами", американские разведчики дали корм для будущих теорий заговора. Тролли и другие участники информационной войны смогут указать на эти "ложные флаги", чтобы посеять сомнения относительно атрибуции", - пишет Grugq.
Мир, дружба, кибератаки
Северная Корея - страна с наибольшим соотношением хакеров на тысячу пользователей интернета. Учитывая, что количество пользователей там едва превышает эту тысячу. В 2014 году интернет-провайдер Akamai насчитал в стране всего 1024 уникальных сетевых адреса.
В Северной Корее один провайдер, который "импортирует" интернет из Китая, и - большую часть трафика - из России.
В октябре 2017 года исследователи Dyn Research обнаружили, что канал связи с российской стороны принадлежит компании "Транстелеком" (ТТК) - "дочке" РЖД. В момент наблюдения по этому каналу проходило две трети северокорейского трафика.
Магистральные сети ТТК связаны с Северной Кореей с 2009 года. Представитель компании заявил газете "Ведомости", что, по условиям договора, российский оператор связи может приостановить оказание услуг КНДР "в случае недобросовестного и неправомерного использования ресурсов - спама, преступной деятельности, хакерских атак и прочего".
Именно этого опасались западные исследователи. Эксперт FireEye Брайс Боланд сказал агентству Reuters, что подключение через Россию может позволить Северной Корее лучше координировать кибератаки, которые обычно проводятся из-за пределов этой страны.
В России ТТК предоставляет доступ к интернету частным и государственным клиентам, в частности, минобороны и его структурам.
Есть ли среди клиентов ТТК обвиняемый Вашингтоном Главный центр специальных технологий? Контракты подобных организаций не публикуются. Хотя не исключено, что эта организация вовсе не существует.