APT28 – Myth и большая ошибка России?

С учетом размаха мифа об APT28 крайне сложно изучить все материалы, опубликованные в сети, тем не менее я изучил основные доступные публично первоисточники создания мифа. Ключевыми лично для меня являлись отчеты от FireEye, Eset, TrendMicro и Crowdstrike (еще один отчет Crowdstrike — здесь). На основе данных документов я сделал вывод, что основными способами соотнесения APT28 с российскими корнями стал следующий способ – существует некое программное обеспечение, фактически ботнет и ряд сопутствующих инструментов, с использованием которых при помощи email-рассылки идет заражение компьютеров пользователей с целью последующего шпионажа. Программное обеспечение используется в атаках одно и то же. Или даже давно все явно наоборот: как только компании по кибербезопасности идентифицируют программное обеспечение злоумышленников, они соотносят его с действиями группы. То есть ключевым в распознавании следа становится использование одного и того же пакета «софта». Есть ряд крайне сомнительных косвенных признаков. Так, в программном обеспечении, связанном с APT28, обнаружены следы разработки русскими программистами. Отмечу, что русские программисты эмигрировали, наверное, во все страны мира, например, некоторые очень известные спамеры из России еще давно перебрались аж в Гану в Африке. Также компаниями опубликован вывод о времени компиляции программ, совпадающем с классическим рабочим временем по Москве - также совпадающем с крупными городами мира примерно в еще 21 стране в той же часовой зоне. Согласно первоисточнику (отчету FireEye) анализ был проведен по сэмплам программ с 2007 года по 2014 год, обнаруженное время компиляции сэмплов — с 8.00 до 18.00 - то есть, по мнению составителей отчета, в обычный рабочий день по Московскому времени UTC+4. Но Московское время было UTC+4 лишь с 2011 года по 2014 год, а до и после этого периода Москва жила по UTC+3. И я уж не говорю о том, что рабочий день в Москве начинается все же в 9 утра, а не в 8. Думаю, читателям, которые когда-либо работали с программистами, понятно, что если в ГРУ РФ программисты компилируют вирусы в 7.00, то это — абсолютный мировой рекорд. Кстати, в этих же часовых поясах примерно находится пол-Африки. Единственный след, который я смог обнаружить в СМИ о соотнесении APT28 и киберпреступной деятельности, между прочим, также указал на Африку с ее знаменитыми Нигерийскими «скамами»: в 2015 году компания Root9B обнаружила DNS-сервер связанный с APT28, проверив другие домены, использовавшие этот сервер. Компания нашла крупную фишинговую операцию против банков, связанную с уже известными игроками киберпреступного рынка в Африке. Root9B немедленно публично обвинили ряд экспертов в США в ангажированности своего отчета и попытке манипулировать курсом своих акций, то есть сразу публично поставили под сомнение сам источник этой новой информации, не смотря на то, что за компанией стоял целый ряд весомых представителей американской военной разведки. Есть еще целый ряд технических мелочей, которые наоборот указывают на то, что данная операция вряд ли проводится из России, – к примеру, в каких-то случаях использовались email-адреса в домене yandex.com, но «Яндекс» автоматически как раз присваивает email-адрес в зоне .com именно когда тот регистрируется не из России. В атаке на DNS с использованием хостинговой площадки King Servers, которая принадлежит русским владельцем и использует русскую службу поддержки, письма в русскую поддержку писались почему-то на ломаном английском, доступы к панелям администрирования осуществлялись в том числе через Tor. Где-то в исходных кодах APT28 обнаружился код на грузинском. В общем, мы видим следующую логическую цепочку. Крайне спорные косвенные признаки имеют небольшое значение, но есть некое программное обеспечение, явно когда-то успешно соотнесенное с Главным разведывательным управлением (ГРУ) России каким-то не декларируемым публично образом. В последующем использование именно этого программного обеспечения абсолютно в любой атаке автоматически соотносить именно с ГРУ. В любом расследовании иногда нужно строить выводы, отталкиваясь вовсе не от того, что видишь, а наоборот — от того, что должен видеть. Что мы не видим? Нет ни одного технического следа, указывающего на Россию в деятельности APT28. Фактически с точностью наоборот, например, из отчета TrendMicro мы видим десятки C&C серверов по всей Европе и миру (кроме России). Из публичного соотнесения адресов атаки на демократическую партию от ФБР и ThreatConnect мы знаем, что адреса серверов атаки были тоже не из России. Мы также не видим расследований финансового следа — а это о поразительно с учетом того, что инфраструктура атак является длительной и постоянной, как минимум кто-то покупает серверы, доменные имена, пусть анонимно, причем за рубежом, причем в немалом количестве. Мы также не видим вообще использования данного программного обеспечения в каких-либо еще попытках криминального заработка. А эти данные вряд ли могут быть скрыты (кроме описанного выше случая с Root9B), ведь точно таким же, полуавтоматическим, путем, как сейчас любая атака с использованием этого программного обеспечения соотносится с ГРУ, — точно так же в случае его использования для криминального заработка, любая подобная попытка попала бы в отчеты по деятельности данной группы. Итак, мы имеем группу, использующую одно и то же программное обеспечение исключительно для политических и военно-технических шпионских атак, в течении длительного времени, не размещающую инфраструктуру в России, не зарабатывающую на своей деятельности криминальным путем. Каждая из этих особенностей имеет достаточно сложные и витиеватые объяснения. Если предположить, что за действиями группы стоит действительно ГРУ (например, серверы арендуются за рубежом для отведения подозрений от России, но попытки «прятать» не слишком удачны), то непонятно, как ГРУ прячет финансовые следы управления всей этой «империей зла. При этом сотрудники ГРУ упорно и изо всех сил, с практически маниакальной настойчивостью, используют один и тот же «софт», начинают в семь утра. программисты смогут это делать разве, что под пытками, а кадровые сотрудники начинают работу за зарплату, вероятно, позже. Думаю, что реальной целью этой операции, вероятно, является подружить западные компании в сфере кибербезопасности со всеми целями атак — по крайней мере, мне другого смысла для основания деятельности APT28 в этой логике обнаружить не удалось. Если допустить, что мы имеем дело с классической операцией «под чужим флагом», то каждая из перечисленных выше особенностей имеет простое объяснение. Например, в России нет задействованной технической инфраструктуры для атак, возможно, это сделано чтобы лишить ее возможности провести собственное расследование. Финансовый след не ищут, потому что это опасно и, возможно, вообще развалит всю операцию. Использование софта для атак в криминальных целях не происходит по этой же причине: криминальный мир слабо контролируем, в нем полно информаторов от достаточно независимых полицейских служб всех стран, включая и Россию. Таким образом, остается не отвеченным лишь один, но вероятно наиболее важный из всех вопрос: почему используется одно и то же программное обеспечение? Ответ кроется в другом вопросе, прямо из него вытекающим. А именно: а кто, собственно говоря, автор этого программного обеспечения и какова его судьба? Предположим, что я прав относительно операции под чужим флагом. На мой взгляд, для корректного соотнесения возможности кого-либо атаковать при помощи чужого программного обеспечения ключевым фактором является обладание «исходниками» - исходными кодами. В теории, сам факт получения вируса из сети уже позволяет опытным программистам провести реверс-инжиниринг и, опять же, в теории — успешно мимикрировать под данное программное обеспечение. Но в реальной жизни это сложно. Зато если у тебя есть чужие исходные коды — это элементарно. Само по себе данное программное обеспечение по функционалу очень похоже на классические программы для краж в финансовом секторе - Zeus и им подобные. Таковых в России действительно разрабатывалось достаточно немало, если верить экспертам. Как правило «исходники» не лежат в сети. Основной способ получения «исходников» — при оперативно-розыскных мероприятиях, когда хакеры сами отдают исходные коды своих творений, они нужны как доказательная база. Именно таким образом следствие сравнивает найденный в сети вирус с исходным кодом, представленным хакером. Для экспертизы кода, как правило, привлекаются компании по кибербезопасности, из рук которых исходные коды весьма часто явно путешествуют направо и налево — лично мне известен случай, когда исходный код ботнета, изъятый на следственных мероприятиях в России, каким-то образом явно оказался у компании ESET, не имевшей никакого отношения к расследованию. Кстати, именно ESET еще несколько лет назад публиковала отчет, из которого следовало, что им доступны также и исходные коды APT28. Я бы предположил (лишь как версию, конечно), что вся история с APT28 – это история исходного кода, утекшего в руки экспертов, причем при следственных мероприятиях в России, в дальнейшем использованного для наведения тени на плетень в чьих-либо интересах. Истина где-то рядом. С геополитической точки зрения, реакция России на эти обвинения является абсолютно идеальным кошмаром. Наше общество, видимо, просто привыкло к тому, что обвинение кого-либо в чем-либо (ситуация с реакцией власти на расследования Алексея Навального это иллюстрирует), ни к чему не приводит - и поэтому со временем забывается. В США и на Западе совершенно другие нормы. Новый президент США фактически поставлен в ситуацию, что его легитимность оспаривается мнимым сговором с Россией. В США нельзя взять и уволить директора ФБР и забыть об этом. Поэтому в США президент, если хочет работать на своей должности и дальше, найдет виновных - в любом случае, как минимум, докажет свою непричастность к сговору. С этой точки зрения ключевым для анализа корней APT28 во многом становится позиция самой России и ее экспертного сообщества: она не может противоречить позиции по данному вопросу новой администрации в США, и даже просто отмалчиваясь, мы успешно вступаем в серьезный конфликт уже с новой администрацией. Однако многие российские эксперты идут еще дальше — например, озвучиваются идеи международных договоров о кибервооружениях. Если вдуматься, президент США объясняет, что никаких кибератак на демократов не было. В то время как эксперты из России публично предлагают договориться и «поладить» - желательно в ООН в прямом эфире CNN - по вопросам использования боевых вирусов. В общем-то, это можно классифицировать как предложение не просто «забыть обо всем» хотя бы ненадолго, а зафиксировать версию избрания Трампа с применением кибероружия - и в мировых СМИ, и в мировой истории в целом. Есть и еще целый ряд действий, которые Россия по какой-то причине настолько игнорирует. Во-первых, международное право позволяет выяснить истинность обвинений независимых экспертов частного сектора в суде. Иными словами, если коммерческие компании — FireEye, TrendMicro и Crowdstrike — считают допустимым выносить обвинения против целой страны, обосновывая это часовым поясом разработки программы и языком общения программиста и скрывая другие причины, то кажется абсолютно резонным решением оспорить такую практику в суде в США по месту нахождения этих компаний. Во-вторых, деятельность APT28 абсолютно точно противозаконна и подпадает под уголовную ответственность в РФ в рамках как минимум ст. 273 УК РФ ( создание вредоносных программ). Что мешает российским органам расследовать данное преступление в рамках неустановленного круга лиц и получить представление о данных программах от собственных экспертов уже в рамках действующего законодательства. Остается самый главный вопрос — а кто, собственно, стоит за операцией под ложным флагом? Я, конечно, могу лишь фантазировать. Но вот что любопытно: из четырех упомянутых мной компаний, все четыре формально сотрудничают со многими службами, но как минимум две из них – Crowdstrike и FireEye — слишком тесно связаны именно с ФБР США и их сотрудничество явно выходит за любые рамки экспертного. Так, Дмитрий Альперович, основатель Crowdstrike, «взлетел» благодаря своей длительной работе «информатором» в операции агента ФБР Кита Муларски по закрытию форума Dark Market. С работой FireEye и ФБР связана такая история: при закрытии другого криминального форума, Darkode, одним из обвиняемых в создании вирусов внезапно оказался сотрудником, проходившим стажировку в FireEye. Причем подразделение Mandiant в FireEye, по сообщениям СМИ, является основным партнером ФБР по созданию технологий нападения - то есть, вирусов. Эксперт, обвинивший компанию Root9B, также был тесно связан популяризацией материалов киберрасследований именно ФБР в СМИ. Какие интересы могло преследовать ФБР, насколько они вообще совпадали с интересами США? Я даже думать об этом не хочу - фантазии, возможно, должны оставаться фантазиями.