Как быть в таком случае? А ведь такие сервера во множестве разбросаны по разным национальным сегментам Интернета. Находясь в Пекине, атакующий может реализовать атаку через посредника в Пекине, Москве, Сеуле или Гонолулу.
Ситуация усугубляется тем. что злоумышленник может арендовать специальные сервера (так называемый abuse-устойчивый хостинг), которые будут целенаправленно скрывать истинный адрес злоумышленника. И таких промежуточных серверов может быть много — 5. 10. 100. В такой ситуации атака обладает динамически меняющимися пространственными характеристиками, что коренным образом отличает ее от обычных наступательных вооружений. Может ли ядерная боеголовка динамически менять свое местоположение? Да. но очень медленно, если возить ее на специальном автотранспорте пли поезде. Но и в этом случае ее географические координаты ограничены границами одного государства, в крайнем случае блока. Для кибератаки поменять за несколько минут или даже секунд географическую привязку и числиться на разных континентах в порядке вещей.
Аналогичная ситуация возникает, и если подняться выше по так называемому стеку интернет-протоколов и посмотреть на электронную почту, которая может содержать угрозы или реальный вредоносный код. Идентифицировать настоящего отправителя почты, если он того не желает, практически невозможно. Для этого надо пройти по цепочке всех узлов, через которое проходило почтовое сообщение и которые могут находиться в разных странах и юрисдикциях.
Отдельный вопрос с файлами и вредоносным программным обеспечением. У них нет «печати» и. как правило, не стоит подпись автора, который желал бы оставить свой след в истории. Поэтому исследователям приходится просматривать огромные объемы информации в поисках зерен правды, позволяющих с определенной долей вероятности определиться с источником атаки. Например, в рамках расследования операции Нож мясника вышеупомянутая компания Cylance собрала и изучила свыше 8 Гб данных. 80 000 файлов, журналы регистрации на узлах жертв и т. и. И только после этого она смогла заявить об «иранском следе», и то с оговорками. Однако технический анализ так и не смог дать ответ на вопрос, стояло за этой операцией государство пли это была частная инициатива.
1.6.4. Основные методы определения источников кибератак
Как уже было указано выше, такие компании как Group-IB, Лаборатория Касперского, Cisco, Cyiance, Taia и другие проводят свои расследования используя в качестве доказательств следующие индикаторы (признаки) [А. Лукаикий. Определение источника кибератак. ИНДЕКС БЕЗОПАСНОСТИ № 2 (113), Том 21].