Историята с „руските хакери” в САЩ отиде твърде далеч. Тя не се базира на някакви конкретни, публични доказателства. А факт e, че съобщенията за хакерските атаки често са толкова раздути, че не постигат своята цел, а стават проблем само за тези, които ги интересува кампанията за дезинформация и журналистическите стандарти, тоест един много малък сегмент от обществеността. Обаче новият правителствен доклад на САЩ, който има за цел да установи техническите детайли на неотдавнашните хакерски атаки, организирани от руското разузнаване също не постигна своята цел и теоретично може да нанесе реални щети на множество хора и организации. В съвместния доклад на Министерството на вътрешната сигурност и ФБР се дава прекалено гръмкото кодово наименование „Grizzly Steppe” на „опасната руска кибер-активност”. Създават се неограничени възможности за разследване на операции „под чужд флаг”, които правителството на САЩ обещава да припише на Русия. Целта на този документ не е да бъдат представени доказателства, да речем за намесата на Русия в президентските избори на САЩ, а да бъде предоставена възможност на американските служби да откриват следи на руското кибер-разузнаване и да съобщават за подобни инциденти на правителството на САЩ.

Този документ трябва да покаже на мрежовите администратори какво конкретно трябва да търсят. За тази цел в доклада е включено правилото YARA, което представлява код за разпознаване на „malware” (софтуер, предназначен да повреди, повлияе или открадне данни от компютърни системи). В доклада се говори за хакерската програма, PAS Tool PHP Web Kit. Някои любознателни експерти в сферата на кибер сигурността потърсиха програмата в интернет и се оказа, че тази програма може съвсем безпрепятствено да бъде свалена от сайта profexer.name. Макар, че в понеделник, 2 януари, тази програма вече беше недостъпна, изследователите от feejit, разработили компютърната защита Wordfence за продукта WordPress, направиха скрийншотове на този сайт където гордо беше изписано, че продуктът е произведен в Украйна. Разбира се, не е задължително да се вярва на това, защото в интернет може да бъде всеки и отвсякъде. Предполагаемият разработчик на тази вирусна програма активно присъства на рускоезичните хакерски форуми под псевдонима Profexer. Той рекламира безплатната програма PAS и благодари на спонсорите, които са пожертвали суми в размер от няколко долара до няколкостотин долара. Тази програма представлява така наречения „webshell”, тоест това, което хакерите слагат на сървъра, до който са получили достъп, за да направят незабележима кражбата на файлове и по-нататъшните хакерски действия. Има множество подобни програми. PAS се „използва от стотици, ако не и от хиляди хакери, които често се свързват с Русия, но които могат да се намират в която и да било точка на света”, както писа в своя блог Робърт Греъм от Errata Security. Тази версия на PAS, за която се говори в правителствения доклад е с няколко версии по-стара от текущата към момента. Марк Маундър от Wordfence пише: „Напълно разумно би било да се предположи, че агентите на руското разузнаване разработват свои собствени програми, или в краен случай използват съвременни вирусни програми, взети от външни източници. Това също не е много логично предположение. Всеки хакер, било той свързан с руското разузнаване или не, може да използва всякакви инструменти и програми, които намира за удобни, включително и старата версия на безплатно разработената в Украйна програма. Даже програмата Xagent, твърдо асоциирана с хакерски групи свързани с руското разузнаване, известни под името Advanced Persistent Threat 28 или Fancy Bear, може да ползва почти всеки потребител, притежаващ достатъчно знания в тази област. През октомври 2016 г. компанията ESET публикува доклад, в който се казва, че е успяла да намери целия изходен код на тази вирусна програма. Това означава, че ако ESET е могла да получи кода, другите хакери също са могли да направят това. Сега, когато американското правителство твърдо свързва PAS със спонсорираните от руското правителство хакери, това става като покана към всеки второстепенен хакер да използва същата програма (или упоменатата също в доклада Xagent), за да представя своята незаконна дейност като действия на руското разузнаване. На разследването не помогна и това, че властите на САЩ публикуваха списък с IP адреси, свързани според тях с атаките на Москва. Болшинството от тези адреси нямат никаква очевидна връзка с Русия, а други от тях са изходни точки от анонимната мрежа Tor, която е част от структурата на т.нар. „Dark net”. Тези адреси също могат да бъдат използвани от всеки, който пожелае, както и от всяка една точка на света. Microsoft Word е програма разработена в САЩ. Въпреки това се ползва в различни страни, даже и от агентите на руското разузнаване. Точно по същия начин, един живеещ в САЩ хакер, желаещ да получи паролите и номерата на кредитните карти, а така също и такъв, който иска да има по-голям авторитет, може да се възползва от която и да било достъпна вирусна програма разработена в Русия или Украйна. Бъркотията обаче започна. Миналата събота вестник The Washington Post съобщи, че „код свързан с руската хакерска операция под наименованието „Grizzly Steppe” е бил намерен в компютъра на една енергийна компания във Върмонт. Това предизвика от страна на политиците лавина от резки коментари, обвиняващи Русия в опит да засегне електроснабдяването в САЩ. Скоро стана ясно, че този лаптоп, в който уж е открит кодът, въобще не е свързан с електрическата мрежа и вероятно става въпрос за лъжлива тревога. Хиляди неорганизирани хакери ежедневно разпращат милиони фишинг мейли, за да накарат нищо неподозиращия потребител да ги отвори и по този начин да открие на хакерите достъп до своя компютър. Сега те имат удобна възможност да използват създадените в Русия Back Doors, за да атакуват цели в САЩ. За руското разузнаване това също може да бъде удобна възможност, ако те не са толкова лениви, колкото ги представят авторите на доклада. Сега на тях им предстои да се превключат на вирусни програми разработени от нерускоезични експерти. Защото техните действия се приписват на руското правителство въз основа на коментарите в кодовете написани на руски език и други косвени доказателства, които напълно устройват американското правителство. Разузнаването на САЩ стана за смях, действайки под политическия натиск на отиващата си администрация и някои ястреби от Конгреса. Не е възможно да се установят изпълнителите на хакерските атаки въз основа на достъпни за всички програми и IP-адреси. Нещо повече, от това няма никаква полза. Трябва да се изработи механизъм за предотвратяване на подобни атаки, а не да се търсят виновниците, когато всичко е приключило и вредата е факт. Най-информативната част от доклада на ФБР и Министерството на вътрешната сигурност, по ирония стана тази, в която става дума за намаляване на риска. В нея се препоръчва постоянно подновяване на програмното обезпечаване, обучаване на персонала в основите на кибер сигурността, ограничаване на административните привилегии и използване на мощни антивирусни програми. В голяма част от случаите това помага да се предотвратят кибератаки от руски, китайски и американски хакери. Американските демократи можеха да имат голяма полза от тези съвети преди да пробият системата им. Жалко, че те или не бяха получили тези съвети, или просто ги бяха игнорирали.

Автор: Леонид Бершидски
Източник: Bloomberg

Превод: а-спекто