Российские хакеры, которые действуют по заказу государства, оказались самыми эффективными. Им нужно меньше 19 минут для того, чтобы после взлома начать решать поставленные задачи, подсчитала компания Crowdstrike.

Подробнее. Государственные хакеры гораздо эффективнее по breakout time (время, которое требуется хакерам для перехода после взлома к решению задач), чем частные наемники, следует из исследования Crowdstrike. А российские проправительственные хакеры еще и на голову впереди зарубежных конкурентов.

Всех самых активных госхакеров Crowdstrike разделила на типы: российские проходят под условным обозначением «медведь».

• «Медведи» по показателю breakout time сильно превосходят конкурентов: у них он составляет всего 19 минут.
• На втором месте по оперативности хакеры Северной Кореи (типология «Чхоллима»). Им для самоорганизации требуется 2 часа 20 секунд.
• На третьем месте китайские хакеры (4 часа, «Панда»), на четвертом — иранские (чуть больше 5 часов, «Котенок»).

Отчет Crowdstrike основан на анализе 30 тысяч попыток взлома. «Государственных» хакеров разных стран в ходе исследования сравнивали с коммерческими. Последние (типология «Паук») заняли лишь пятое место в результатах анализа с почти 10 часами.

Сравнение времени организации различных групп хакеров

Контекст. Параметр breakout time является ключевым при анализе проникновения, так как определяет, сколько времени есть у защитников взломанных систем.

• По данным Crowdstrike (pdf), в прошлом году средний показатель breakout time существенно вырос. Если в 2017 году он составлял 1 час 58 минут, то в 2018-м — уже 4 часа 37 минут.
• Причиной увеличения времени стало как более частое использование медленных атакующих, так и развертывание более совершенных защитных систем.

Александр Амзин