Говоря об идентификации, надо заранее понять, насколько точно мы хотим ответить на вопрос кто нас атакует, до какого уровня детализации дойти. Таллинское руководство не особо глубоко погружается в детали и просто ищет основания для применения традиционных вооружений против кибернападений, поэтому атрибуция в нем ограничивается определением государства, с территории которого фиксируется кибератака.
Идентификация узла, с которого осуществляется воздействие в киберпространстве, необходима, чтобы понять, принадлежит этот узел частному лицу или организации, какой интернет-провайдер выделил IP-адреса для данного узла (возможно, этот провайдер ранее был замечен и в других кибератаках), физическое местоположение данного узла (которое зачастую можно определить), настройки узла, вплоть до используемой операционной системы и приложении. по которым можно попробовать определить языковую или национальную принадлежность атакующего, и т. д.
Идеально, если в рамках этой работы можно будет сделать вывод о мотивах совершаемых действий. Однако определение мотивации — это уже «высший пилотаж» в области идентификации спе-цопераций в киберпространстве и только техническими средствами решить эту задачу невозможно.
Сегодня в мире существует целый ряд компаний, которые специализируются только в этой области. Можно привести отдельные примеры относительно успешных операций по идентификации:
• Cylance, которая изучала кампанию иранских хакеров Cleaver (пож мясника);
• Partners, которая раскрыла операцию Newscaster (течеком-ментатор), также исходившую из Прана;
• Лабораторией Касперского, которая раскрыла кампании Маска и Красный октябрь;
• Group-IB, нашедшей след Исламского государства в атаках на многие российские организации;
• BAE Systems, исследовавшая атаки на украинские компьютеры и нашедшая на них русские отпечатки;
• Check Point, раскрывшая ливанскую хакерскую группу Volatile Cedar (Летучий кедр);
• Taia Global, которая вопреки распространенному мнению, что компанию Sony взломали хакеры из Северной Кореи, доказала, что Sony все-таки атаковали из России.
Надо сказать, что киберактивность военного назначения сегодня превратилась в инструмент геополитической борьбы. Что может быть проще, чем обвинить то или иное государство в агрессии только на том основании, что с его территории зафиксирована кибератака? И, как мы неоднократно наблюдали за последнее время, отдельные страны и блоки стран активно используют этот прием.
Желание связать конкретную атаку с конкретным государством, не разбираясь в реальных источниках и причинах, вполне объяснимо — это удобный прием в геополитической борьбе, особенно если нужно быстро создать образ врага.