МОСКВА, 21 авг — РИА Новости. Установить принадлежность хакеров к конкретной группировке после инцидентов довольно сложно, поскольку часто преступники удаляют следы своей деятельности или намеренно оставляют ложный след, заявил РИА Новости технический директор Group-IB, глава направления Threat Intelligence Дмитрий Волков.
Ранее американская корпорация Microsoft сообщила, что зафиксировала новые попытки хакеров, связанных с Россией, повлиять на выборы в конгресс США, которые пройдут в ноябре. По данным Microsoft, "группа, тесно связанная с российским правительством", Strontium (Fancy Bear, APT28) создавала веб-страницы и URL-адреса, которые имитировали сайты Международного республиканского института, в совет директоров которого входят шесть республиканских сенаторов и кандидат в американский парламент, а также Института Хадсона.
По словам Волкова, идентифицировать хакеров в принципе можно, как по уникальному набору инструментов, так и по "почерку" — тактике действий, в том числе способу первоначального входа в сеть. "Уникальный троян (вирус — ред.), написанный конкретной группой, сразу "выдаст" группу и позволит связать все их эпизоды в одну цепочку. Атрибуция, то есть соотнесение инструментов, используемых в атаке, с конкретной группой, их тактикой проведения атак – это высший пилотаж расследований, который усложняется фактически с каждой новой атакой", — отметил он.
Но эксперт добавил, что часто одни преступники тщательно удаляют все цифровые следы своего пребывания, а кто-то намеренно использует уникальные инструменты других групп, чтобы затруднить анализ атрибутов преступления и увести расследование по ложному следу.
Microsoft при этом сама отмечала, что у нее нет доказательств, что через названные домены могли проводиться успешные кибератаки, а также что конечной целью их создания служат кибервзломы. Пресс-секретарь президента РФ Дмитрий Песков ранее во вторник заявил журналистам, что заявления о якобы имеющихся попытках вмешательства России в выборы в США не подкрепляются какими бы то ни было основаниями, и отношение у Кремля к ним соответствующее.
Русскоязычную группу Fancy Bear подозревают в серии кибератак в последние годы на государственные, информационные, военные и другие структуры ряда стран. Наиболее известным стало обвинение во взломе серверов Демократической партии США и базы данных Всемирного антидопингового агентства в 2016 году. При этом ряд компаний в сфере компьютерной безопасности, а также СМИ и спецслужбы США утверждали, что хакеры действовали по заданию властей РФ. Никаких доказательств последнего представлено не было. В Москве категорически отвергают подобные обвинения, называя их безосновательными.
