Компромат.Ru ®

Весь сор в одной избе

Домой | Форум | Почта

Библиотека компромата

 

Хакеров связывают с Россией по филигранному написанию кода, графику работы по московскому времени, русскому языку между строк

Оригинал этого материала
© "Ведомости", 08.09.2015, Фото: "Ведомости"

Особенности национального взлома

Павел Кантышев

Compromat.Ru

В последнее время западные СМИ регулярно рассказывают о хакерских атаках на критически важные IT-системы иностранных государств, говоря при этом о российском происхождении хакеров. Иностранные эксперты обычно объясняют свои выводы свойствами вредоносных программ, такими как время наибольшей активности, совпадающее с рабочим временем в часовом поясе Москвы, и присущими только российским хакерам и программистам стилистическими особенностями написания программного кода.

В октябре 2014 г. исследовательская компания FireEye рассказала о группе хакеров (они назвали ее APT28), целью которой являются правительственные и военные организации и спецслужбы стран, входящих в сферу интересов России. Хотя у FireEye нет прямых доказательств (имен и стоящих за атаками организаций), код используемых группой вредоносных программ содержит русскоязычные фрагменты, а время их компиляций совпадает с дневным временем на европейской части России.

[ТАСС, 28.10.2014, "Американская компания утверждает, что хакеры из РФ взламывают компьютерные системы НАТО": Американская компания FireEye, специализирующаяся на компьютерной безопасности, полагает, что базирующаяся в России группа хакеров под названием APT28 регулярно похищает данные, касающиеся НАТО и союзников США. [...]
FireEye считает, что хакерская группировка APT28 примерно с 2007 года осуществляет кибератаки против лиц и структур, связанных с НАТО, чиновников стран Восточной Европы и Грузии.
В качестве доказательств этих утверждений FireEye указывает на то, что часть кода программ, которые были использованы в данных кибератаках, написана с примечаниями на русском языке. Специалисты компании считают, что APT28 интересуется главным образом информацией политического или геополитического характера, а наибольшая активность хакеров приходится на светлое время суток в Москве и Санкт-Петербурге.
Wall Street Journal также сообщает, что базирующиеся в РФ хакеры пытались внедрить созданные ими программы в компьютерные системы компаний Science Applications International и Academi LLC, выполняющих заказы для служб безопасности США и располагающих информацией Пентагона. — Врезка К.ру]


По словам главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева, «Лаборатория Касперского» давно следит за APT28 и о российском происхождении группировки позволяет судить целый комплекс улик: кроме комментариев в коде на транслите (русскими словами, набранными латинскими буквами), это и версии операционной системы, на которой создавались файлы, и часовые пояса, а также пересечение технологий с другими русскоязычными группами хакеров.

Позже, в апреле 2015 г., CNN сообщил о российском следе хакеров, атаковавших компьютерную сеть Белого дома США. Сославшись на расследование американских спецслужб, канал объяснил, что доказательством служат характерные компьютерные коды и другие индикаторы.

Отвечая на вопрос корреспондента «Ведомостей», как могут выглядеть подобные индикаторы, руководитель нидерландской фирмы, занимающейся кибербезопасностью, Fox-IT Эвинд Дрейхус привел пример. По его словам, увидев в программном коде вставки, написанные на языке ассемблера (низкоуровневый язык программирования, близкий к машинным кодам), можно делать предположение о российском происхождении автора вируса — и такие предположения нередко подтверждались. Дело в сложности написания таких вставок, присущих российской школе программирования, объяснял он.

Опрошенные «Ведомостями» эксперты по IT-безопасности оговаривались, что речь идет не о доказательстве российского происхождения кода, а только такой вероятности. Настоящие профессионалы следов не оставляют, а имитировать можно почти все что угодно, и намеренно добавленная в программный код вируса строка на иностранном языке или отличительная особенность программистов из какой-то конкретной страны могут быть призваны увести следствие по ложному следу. В хакерской атаке Duqu 2.0 часть кода была намеренно представлена как работа то китайских, то русскоговорящих специалистов, вспоминает антивирусный эксперт «Лаборатории Касперского» Игорь Суменков.

Но, с другой стороны, злоумышленникам есть что симулировать, признают собеседники «Ведомостей», — стилистических особенностей программирования, присущих российским разработчикам, немного, но все же они есть.

Русский язык между строк

Использование ассемблера и языка программирования Си c минимумом структур и шаблонов из более позднего языка Си++ характерно для выпускников Московского инженерно-физического института (МФТИ), объясняет ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов, сам закончивший этот вуз.

«Русский стиль» отличает филигранное написание очень сложных и интересных частей вредоносного кода и крайне небрежное — достаточно простых и рутинных, уверен гендиректор Digital Security Илья Медведовский. По его словам, другие разработчики пишут код равномерно — или одинаково хорошо, или одинаково плохо. У россиян же такие куски могут соседствовать, говорит Медведовский.

Русские программисты в среднем пишут код медленнее китайских или индийских разработчиков, но зато они способны работать по нечеткому плану или без плана совсем, замечает гендиректор группы компаний Infowatch Наталья Касперская. Стиль написания кода, по ее словам, зависит не от национальности, а от школы программирования, а в России их несколько.

Родина разработчика может проявиться в названиях элементов: классов, методов, переменных, а в комментариях к коду могут всплыть языковые и культурные нюансы, говорит руководитель направления собственных разработок компании «Крок» Сергей Стрелков. С ним соглашается руководитель группы разработки интегратора AT Consulting Артур Щеглов, обращающий внимание на комментарии к коду. Впрочем, часто российские программисты грешат отсутствием комментариев вовсе — в Mango Office программисты иногда говорят: «Хороший код сам себя документирует», — отмечает IT-директор этой компании Дмитрий Метлин.

Российских программистов может также отличать не самое лучшее знание английского языка, соглашаются Щеглов и Метлин. Так, иногда российского программиста может выдать некорректный перевод имен. Например, слово «счетчик» переводится двумя способами: первый принятый в отрасли перевод — сount, но иногда российские программисты используют непривычное слово аmount, рассказывает Метлин. Иногда автор вируса делает ошибки в написании слов с использованием английского алфавита, рассказывает ведущий антивирусный аналитик Eset Артем Баранов.

Создатели вредоносных приложений оставляют и другие следы. «Наши американские коллеги как-то обнаружили в коде непонятную им надпись, и, когда они показали нам ее, мы обнаружили оскорбительное послание от русскоязычного хакера», — вспоминает Голованов из «Лаборатории Касперского». С такими же комментариями в коде сталкивался и руководитель отдела тестирования на проникновение компании Positive Technologies Дмитрий Серебрянников. А Баранов вспоминает, как вскоре после публикации отчета о кибератаке Windigo ее исполнители передали привет аналитикам Eset в коде нового вредоносного софта.

По словам Стрелкова из «Крока», недавнего российского студента-программиста можно отличить по стремлению написать код с нуля вместо использования стандартных библиотек. По мнению гендиректора разработчика программного обеспечения «Рексофт» Александра Егорова, это характерно и для зрелых команд. Метлин из Mango Office объясняет это тем, что с собственноручно написанными функциями программистам работать легче и приятнее, чем с чужими, пусть даже это приводит к избыточности.

Распространенные в разных странах алгоритмы шифрования, которыми пользуются программисты при разработке кода, также могут указывать на их происхождение, соглашаются Суменков из «Лаборатории Касперского» и аналитик вирусной лаборатории Eset в Словакии Питер Кошинар.

Виновата математика

В особенностях кода русских программистов, как правило, виновато естественно-научное образование, говорит директор центра информационной безопасности интегратора «Инфосистемы джет» Алексей Гришин. По его словам, большинство российских программистов помимо самого программирования изучали математику, что накладывает свой отпечаток.

Советская школа программирования развивалась на математических и физических факультетах элитных вузов, поэтому подразумевала, что программист — это не просто «кодер», но и алгоритмист, и архитектор, поэтому первые программы были практически произведениями искусства, говорит замдиректора Infowatch Рустэм Хайретдинов. Национальной особенностью кода он называет архитектуру самого приложения, стремящуюся к компактности. По словам Хайретдинова, эта особенность берет начало из времен ограниченных ресурсов — оперативной памяти, графических возможностей, сменных носителей — первых персональных компьютеров в 1980-х, когда зарождалась советская школа программирования. В качестве примера он приводит операционную систему PS-DOS, написанную в МФТИ: она полностью повторяла возможности MS-DOS, но требовала в несколько раз меньше памяти.

Однако в современной бизнес-среде и лицензия на софт, и труд программиста стоят гораздо дороже инфраструктуры, подобные навыки не востребованы: компании проще докупить лишнюю память или процессор, чем заботиться об оптимизации кода, объясняет Хайретдинов. Поэтому советская школа программирования теряет преимущества перед китайской и индийской, уверен он. Теперь кроме информационной безопасности талантливые программисты могут применить себя разве что в высокочастотном трейдинге — отрасли, где миллисекундное преимущество в скорости позволяет зарабатывать деньги, рассказывает Хайретдинов. Не случайно большинство разработчиков торговых роботов для высокочастотного трейдинга получили советское или постсоветское образование, замечает он.

Привычку российских программистов к преждевременной оптимизации отмечает и Метлин из Mango Office: по его словам, игра за повышение эффективности и борьба с мелочами может длиться бесконечно.

Порядок бьет происхождение

Такие понятия, как «китайский код» или «индусский код», скорее свидетельство массовости профессии программиста в этих странах, а не национальная особенность, рассуждает замдиректора по исследованиям и разработкам ABBYY Александр Марков. Причем огромное количество из них непрофессиональны: сравнивая российского и индийского разработчика, зачастую приходится сопоставлять выпускника МГУ и закончившего курсы, продолжает Марков. С ним соглашается Гришин из «Инфосистемы джет», по словам которого в Индии есть множество небольших школ программирования, где обучение длится несколько месяцев, продолжает он.

Китайские программисты часто пишут код как придется, не думая о его качестве, говорит Суменков из «Лаборатории Касперского». Дело во множестве индийских и китайских разработчиков на рынке, объясняет Щеглов из AT Consulting. Он напоминает, что было время, когда индийским разработчикам платили за количество строк, что вызывало дублирование кода и нежелание его оптимизировать.

Индустриальное производство кода отлично налажено в американских компаниях, которые по этому показателю опережают весь остальной мир на 7–10 лет, говорит Егоров из «Рексофта». По его словам, все разработчики сейчас пользуются единой терминологией, используют единые стандарты и правила — и в таких условиях происхождение программиста почти теряет роль.

***

Международные взломщики

В середине августа Комиссия по ценным бумагам и биржам США (SEC) предъявила иск 30 ответчикам, большинство из которых живет на Украине (Киев, Одесса) и в России (Москва, Воронеж) и некоторые — в штате Джорджия (США). В иске говорится, что украинские хакеры Иван Турчинов и Александр Еременко взламывали ленты раскрытия информагентств США и получали доступ к финансовым отчетам компаний раньше, чем они становились публичной информацией. Среди пострадавших компаний Hewlett-Packard, Oracle, Boeing, Panera Bread, Caterpillar. Эти данные они передавали знакомым трейдерам, которые зарабатывали на них. По данным SEC, хакеры и трейдеры в 2010–2014 гг. незаконно заработали $100 млн.

 






Наверх

Другие материалы раздела:

Паутина для доверчивых
Фильтрация Компромaт.Ру +
Дубик всеблокирующий=>
Кремль атакует Рунет +
Yota стала цензором
ГосНетКонтроль
Охота на экстремизм в Сети +
Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Как отбиться от хакера
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
"Черные списки" в Интернете
Основы информационной войны
Сурковская сеть +
Спам-канализация "ЕдРа"
DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Rexona опиарилась в блогах
Тролли в Рунете +
Политические форумы Рунета
Сайты власти +
Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
YouTube запрещен без суда
Атака на сайт президента РФ
Угрозы Матвиенко +=>
Дело сайта "УфаГубЪ" +
"Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
Дело Терентьева (Коми)  +
Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
Адагамов (drugoi) педофил +
Вербицкий и "дело о бороде"
Белоусов vs Рябыко +
Волож и Yandex.Ru +
Гельман Марат =>
Греков Ярослав (Моська) +
Дуров и "ВКонтакте" +
Енцов и "Литмир"
Карачинский Анатолий =>
Клименко и торренты Torrnado
Олег Куваев и Масяня +
Лебедев Артемий +
Мамут и Афиша-Рамблер-SUP +
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
Носик Антон +
Павловский Глеб =>
Попков и "Однокласники"
Рыков Константин (Форис) +
Огородникова взяли за взятку +
Себрант Андрей
Экслер Алекс
Криминальные услуги Auto.Ru +
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
Газета.Ру +
Подтасовки от Газеты и Ленты
Блокировка Ингушетия.Ру +
"Комстару" закон не писан
Лента.Ру +
Макхост: упали 25 тыс. сайтов
"Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
Mail.Ru (Port.Ru).Три жизни +
"Новый фокус" конфисковали +
Черный пиар "Озоновой дыры"
"РБК" +
Русские зомби-машины RBN
RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
Пираты из ФЛБ +
Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
"Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
Группа "Али Баба и 4"
Богачев и GameOver Zeus +
Ваулин и KickassTorrents
Потрошитель корп.счетов Глотов
Игорь Гусев и Glavmed +
Золотарев, Лопатин и Carder.su
Врублевский и Chronopay +
Козловский, Еремин и Lurk
Спамер-педофил Л.Куваев +
Спамер Николаенко и Mega-D
"Троян" Никиты Кузьмина +
"Троян" SpyEye Панина
Банковские боты Покорских
Похититель карт Селезнев +
Смилянец и похитители карт +
Хорохорин и CarderPlanet
Хакер Хэлл - Максимов
Цукерберг и Facebook +
Союз хакеров и трейдеров +
Сайт адюльтера AshleyMadison +
Файлообменник EX.ua
Торрент-трекер Interfilm.ru +
"Отмывочная" Liberty Reserve +
Криминальный Megaupload.com
Сайт RusLeaks.com
Анонимусы взломали Stratfor
Продажная Wikipedia +
Фемида судит по "Википедии"
Компромат-сайт Wikileaks.org +
Sony хакнули за Ким Чен Ына +
Майер и Yahoo +
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
"Право быть забытым" +
Хостеры пиратам не подельники
Интернет и "большой брат" +
Кто за кем следит
Shodan: охота за устройствами
Секс-шалости "звезд". Фото
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Votersleaks в США
Записная книжка Пэрис Хилтон
Яндекс нашел блядей в СПС =>
Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
"Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
Эпплбаум и Tor Project
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты

Знаком '+' отмечены подразделы,
а '=>' - перекрестные ссылки между разделами

   




TopList



Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+