Киберконфликты являются «отражением» человеческих конфликтов в реальной жизни. И чем серьезнее такой конфликт, тем сильнее бросается в глаза его «кибер-тень». Давайте взглянем на противостояние России и Украины и посмотрим, сможем ли мы увидеть его отражение в киберпространстве.

Один из наиболее надежных способов  обнаружить взаимодействие в компьютерных сетях это посмотреть на вредоносные «callback» – коммуникации исходящие от зараженного компьютера к command&control (С2) серверу атакующего. Компания FireEye Inc. обнаруживает и анализирует такой трафик каждый год.

Таблица 1 демонстрирует список «Топ 20 стран», которые получают вредоносные «callback» ( данные FireEye за последние 16 месяцев).

Таблица 1. «Callback». Данные за 16 месяцев.

Проанализировав полученные данные мы видим как изменилась интенсивность callback как в Россию так и в Украину в связи с развитием конфликта:

  • В 2013, Россия занимала среднее 7-е место, в 2014 – 5-е
  • В 2013, Украина занимала среднее 12-е место, в 2014 – 9-е

Самым большим скачком интенсивности «callback» стал Март 2014, когда Россия сдвинулась с 7-го на 3-е место. В этот же период в России и Украине произошли следующие события:

  • Российский парламент разрешил использование вооруженных сил в Украине;
  • Владимир Путин подписал законопроект, включающий Крымский полуостров в состав Российской Федерации;
  • США и ЕС ввели запреты на поездки и замораживание активов некоторых высокопоставленных российских чиновников;
  •  Российские вооруженные силы сосредоточились на границе Украины;
  • Русский Газпром пригрозил прекратить подачу газа в Украину.

На графике ниже приведена активность «callback» в марте 2014 по сравнению с февралем.

На Рисунке 1 показан значительный рост вредоносных «callback» в Россию из трех из четырех крупнейших стран-экспортеров в феврале: Канада, Южная Корея, и США (Великобритания имели незначительное снижение).

Описание: http://www.fireeye.com/blog/wp-content/uploads/2014/05/ru2.jpg

Рисунок 1 – «callback» в Россию в феврале / марте 2014

На рисунке 2 представлены данные общего роста «callback» в Россию из многих других странах по всему миру.

Описание: http://www.fireeye.com/blog/wp-content/uploads/2014/05/ru3.jpg

Рисунок 2 – «callback» в Россию в феврале / марте 2014: Остальной мир

 

Рисунок 3 показывает, что резкий рост «callback» в Россию в марте 2014 был замечен в каждой отрасли

Описание: http://www.fireeye.com/blog/wp-content/uploads/2014/05/ru4.jpg

Рисунок 3 «callback» в Россию в феврале / марте 2014: индустрии

В Таблицах 2 и 3 показывается сравнение роста callback в Россию и Украину по сравнению с ростом количества callback в другие страны мира (Февраль\Март 2014). Практически все страны мира показали тенденцию на снижение.

В Таблице 2 приведены страны, показавшие наибольший рост по количеству територий из которых к ним были отправлены «callback». И Украина и Россия разместились в первой десятке по этому показателю, Украина выросла на 10 пунктов, Россия на 8.Описание: http://www.fireeye.com/blog/wp-content/uploads/2014/05/ru5.jpg

Таблица 2 – Callback в 2014

 

Таблица 3 показывает рост числа вредоносных сигнатур связанных с callback в каждую страну.  Украины в «топ 10 нет» ( занимает 15 место), но Россия разместилась на 4 месте.

Описание: http://www.fireeye.com/blog/wp-content/uploads/2014/05/ru6.jpg

Таблица 3 – количество вредоносных сигнатур при «callback»

Общий анализ трафика и понимание его характера даже, для чего не всегда необходимо знать точное его содержание или оригинал индивидуальных сообщений, может быть использованы для понимания связи между крупномасштабной программой вредоносной активности и важным геополитическим событием. Иными словами, рост числа callback  в Россию и Украину (или в любую другую страну или регион мира) во время вспышки геополитической напряженности дает понимание того, что имея серьезные успехи в противостоянии в киберпространстве, можно получить конкурентное преимущество в конфликте в целом.