в котором написали о взрыве в Белом Доме и ранении Барака Обамы. Анализ активности хакеров и оперативная разработка — единственные методы определения мотивов кибератаки. Ни анализ IP-адресов, ни лингвистика не дают возможности ответить на вопрос «почему», ограничиваясь только ответом на вопрос «кто».
В отдельных случаях автора можно идентифицировать постфактум по его действиям. Речь идет не только о том. что он осознанно пли случайно делится фактом своего участия в атаке в социальных сетях. Например, в случае вторжения в интернет-банк, кражи денег и перевода их на подставные или реальные счета, наблюдая за владельцем счета, можно выйти и на тех, кто стоит за ним пли кто его нанял. Также украденная информация может появиться на аукционах и биржах, публичных и закрытых. Дальше следователи могут вступить в переговоры с продавцом и провести его атрибуцию пли получить важную информацию для дальнейшей атрибуции кибернападенпя.
Из всего вышесказанного следует, что универсального и 100-процентного метода не существует. Более того, далеко не всегда техническими методами можно ограничиться. Например, когда в 2012 г. стало известно об атаке вредоносного кода Gauss на ливанские банки, многие эксперты задавались вопросом — а зачем это было нужно? Неужели нет более лакомых кусков, чем ливанские банки? II. поскольку технические методы не помогли провести правильную атрибуцию, пришлось использовать косвенные признаки. Например, по анализу функций кода Gauss исследователи предположили, что он направлен на изучение счетов организации Хезболла, которая таким образом отмывала деньги, что и интересовало тех, кто стоял за атакой на финансовые институты Ливана. А, учитывая, что Хезболла признана террористической организацией в ограниченном числе стран (в частности в США и Израиле), спектр возможных инициаторов был сужен до пары государств.
Из американской разведки вышел широко используемый в расследовании киберпреступлешш термин OSINT (open source intelligence), т. е. поиск, сбор и анализ информации, полученной из открытых источников. Сегодня без активного развития и использования инструментов OSINT сложно эффективно заниматься идентификацией спецоперацип в киберпространстве, а эта техника требует высокой квалификации лиц, которые участвуют в определении источника кибернападения. Это могут быть как сотрудники служб информационной безопасности государственных органов и критически важных объектов, так и представители правоохранительных и силовых структур, уполномоченных проводить оперативно-розыскную деятельность в киберпространстве.