Говоря об идентификации, надо заранее понять, насколько точно мы хотим ответить на вопрос кто нас атакует, до какого уровня детализации дойти. Таллинское руководство не особо глубоко погружается в детали и просто ищет основания для применения традиционных вооружений против кибернападений, поэтому атрибуция в нем ограничивается определением государства, с территории которого фиксируется кибератака.

Идентификация узла, с которого осуществляется воздействие в киберпространстве, необходима, чтобы понять, принадлежит этот узел частному лицу или организации, какой интернет-провайдер выделил IP-адреса для данного узла (возможно, этот провайдер ранее был замечен и в других кибератаках), физическое местоположение данного узла (которое зачастую можно определить), настройки узла, вплоть до используемой операционной системы и приложении. по которым можно попробовать определить языковую или национальную принадлежность атакующего, и т. д.

Идеально, если в рамках этой работы можно будет сделать вывод о мотивах совершаемых действий. Однако определение мотивации — это уже «высший пилотаж» в области идентификации спе-цопераций в киберпространстве и только техническими средствами решить эту задачу невозможно.

Сегодня в мире существует целый ряд компаний, которые специализируются только в этой области. Можно привести отдельные примеры относительно успешных операций по идентификации:

•  Cylance, которая изучала кампанию иранских хакеров Cleaver (пож мясника);

•  Partners, которая раскрыла операцию Newscaster (течеком-ментатор), также исходившую из Прана;

•  Лабораторией Касперского, которая раскрыла кампании Маска и Красный октябрь;

•  Group-IB, нашедшей след Исламского государства в атаках на многие российские организации;

•  BAE Systems, исследовавшая атаки на украинские компьютеры и нашедшая на них русские отпечатки;

• Check Point, раскрывшая ливанскую хакерскую группу Volatile Cedar (Летучий кедр);

• Taia Global, которая вопреки распространенному мнению, что компанию Sony взломали хакеры из Северной Кореи, доказала, что Sony все-таки атаковали из России.

Надо сказать, что киберактивность военного назначения сегодня превратилась в инструмент геополитической борьбы. Что может быть проще, чем обвинить то или иное государство в агрессии только на том основании, что с его территории зафиксирована кибератака? И, как мы неоднократно наблюдали за последнее время, отдельные страны и блоки стран активно используют этот прием.

Желание связать конкретную атаку с конкретным государством, не разбираясь в реальных источниках и причинах, вполне объяснимо — это удобный прием в геополитической борьбе, особенно если нужно быстро создать образ врага.

Отдельно стоит упомянуть, что идентификация источника в сложной атаке, проходящей через несколько государственных границ и континентов, требует активного взаимодействия представителей государств, не только находящихся в разных юрисдикциях, но иногда и агрессивно, даже враждебно по отношению друг к другу настроенных. Можно ли быть уверенным, что такое сотрудничество будет налажено? Далеко не всегда, но можно. Например, на конференции Positive Hack Days в Москве представители ФСБ заявили, что в настоящий момент большая часть хакерской активности, направленной против России, идет с территории Украины, но нормально взаимодействовать с украинскими спецслужбами не удается по вполне понятным причинам. Хотя иногда наблюдается и обратная картина. Например, во время подготовки и проведения зимних Олимпийских игр в Сочи американские и российские спецслужбы достаточно активно взаимодействовали в рамках обеспечения безопасности игр. И это несмотря на уже произошедшее охлаждение дипломатических отношений, заморозку отдельных контактов и приостановление ряда рабочих групп.