З того часу, як цієї весни представники Національного комітету Демократичної партії вперше дізналися, що їхня база даних була зламана, все більше експертів і посадових осіб відзначали докази того, що в цьому винен уряд Росії.
Протягом декількох місяців ця історія робила дивовижні і часто химерні повороти, з кульмінацією у вигляді політичного скандалу, який розгорівся перед початком Національного з'їзду демократичної партії у Філадельфії 25 липня. Але дещо залишається постійним - зростаюча кількість даних судової експертизи про причетність російського уряду.
Бізнесмен і філантроп Макс Фішер в своїй статті для The New York Times розповів про всі наявні докази
зв'язку злому мережі Національного комітету демократичної партії (DNC) з російськими службами безпеки, і про те, як Росія намагається відволікти від себе увагу.
Перші ознаки почалися в травні, коли комітет помітив незвичайну активність у себе в системі. Для розслідування вони найняли компанію CrowdStrike, яка займається кібербезпекою, і її експерти швидко знайшли джерело цієї активності - в кінці квітня група хакерів отримала доступ до бази даних комітету, яка містить компрометуючу інформацію про опонентів, і з якої були вилучені два файли з інформацією про
, який пізніше став кандидатом в президенти США від Республіканської партії.
Слідчі встановили, що хакери були частиною групи APT 28, яка добре відома фахівцям у сфері кібербезпеки. Назва є абревіатурою "advanced persistent threat" (цілеспрямована стійка загроза - ред.), що, як правило, відноситься до урядових хакерів. Охоронні фірми і співробітники правоохоронних органів також використовували ім'я Fancy Bear, посилаючись на поширену думку про те, що група є у веденні військової розвідки Росії - ГРУ.
Слідство могло на цьому закінчитися, але CrowdStrike виявила ще одного, набагато більш непомітного шпигуна в комп'ютерах DNC - групу, відому як APT 29, або Cozy Bear, яка вважається більш професійною, і у якої простежувалися зв'язки з ФСБ - головною спадкоємицею КДБ.
У Cozy Bear, мабуть, був повний доступ до системи комітету протягом майже року (наступні розслідування, проведені двома іншими фірмами з кібербезпеки, підтвердили висновки CrowdStrike.)
Встановлення зв'язків злому з конкретною групою хакерів і зв'язків цієї групи з державними органами завжди ґрунтується на непрямих доказах. Але зібрані експертами докази зв'язку цих вторгнень з російськими відомствами були дуже сильними в порівнянні з іншими випадками.
Наприклад, група APT 28 часто використовує одну і ту ж тактику - реєструє домен, ім'я якого схоже на домен їх цілі, щоб обманним шляхом змусити користувачів розкрити свої паролі при вході в систему на неправильному сайті. В цьому випадку хакери створили misdepatrment.com - переставивши місцями дві літери (замість misdepartment.com - ред.), метою якого були користувачі відділу розробки інформаційної системи управління (MIS Department), який управляє внутрішньою мережею DNC.
Більш показово - хакери зв'язали цей домен з IP-адресою, яку вони використовували в попередніх порушеннях, давши експертам можливість знайти закономірності. Вони також використовували ті ж хакерські інструменти, які іноді містять унікальні ключі безпеки або шифрування - свого роду цифровий відбиток пальця. Ці відбитки пальців були знайдені в інших зломах, як, наприклад, атака на сайт парламенту Німеччини в 2015 році, яка, за словами служби розвідки країни, ймовірно, була проведена Росією, зокрема APT 28.
APT 28 і APT 29 використовували методи, які "відповідають можливостям національного державного рівня", згідно зі звітом CrowdStrike, і вони орієнтовані на іноземних військових і контрактних військових в схемі, яка "точно відображає стратегічні інтереси російського уряду".
Інший звіт, виданий охоронною фірмою FireEye в липні 2015 року, зазначив, що хакери, мабуть, не були в мережі під час російських державних свят і працювали протягом часу, який збігається з російськими робочими годинами.
Такі втручання, нехай і тривожні, перебувають в межах очікуваних кордонів міжнародного шпигунства. Справа набула несподіваного обороту в червні, після того як посадові особи Демократичної партії, ймовірно, побачивши можливість показати Трампа в якості пріоритетного для Москви кандидата, розповіли про ймовірне російське втручання виданню The Washington Post.
Протягом 24 годин хтось під ім'ям Guccifer 2.0 створив блог на сайті WordPress і зробив надумане твердження, що саме він, а не Росія, несе відповідальність за злом мережі DNC, і зробив він це поодиноко.
Він також сказав, що вкрав тисячі внутрішніх електронних листів - перша публічна згадка про подібну крадіжку. Guccifer 2.0 представив докази, опублікувавши частину вкрадених документів і передавши інші новинним агентствам і Wikileaks. Його ім'я, сказав він, це данина поваги відомому румунському хакеру з псевдонімом Guccifer, який сидить у в'язниці з 2014 року.
Але надані Guccifer 2.0 документи, хоча і справжні, суперечать його твердженням, що він діяв сам, і навіть надали докази причетності російської держави. Наприклад, метадані деяких файлів показували, що вони були відкриті на комп'ютерах, в налаштуваннях яких основною мовою була російська. Інший був змінений за допомогою текстового процесора, зареєстрованого на Фелікса Едмундовича, прописаного кирилицею - відкритий натяк на Фелікса Едмундовича Дзержинського, засновника радянської таємної поліції.
Guccifer 2.0 спілкувався з журналістами, що кримінальні хакери практично не роблять. Він наполягав, що Росія не проникала в базу DNC - досить дивна заява, з урахуванням того, що він ніяк цього знати не міг. Під час обговорення того, як він здійснив злом, його коментарі були суперечливі і, на думку фахівців в області кібербезпеки, вони показали, що у нього немає достатніх технічних знань, щоб зрозуміти і, тим більше, зробити такі атаки. Він також стверджував, що він румун, але не зміг підтримати розмову на цій мові у відповідь на запит від репортера технологічного сайту Motherboard.
Але якщо Guccifer 2.0 не той, за кого себе видає, то як він отримав тисячі викрадених у комітету документів? І чому він бреше?
Компанія ThreatConnect, що займається аналізом систем безпеки, дійшла висновку, що Guccifer 2,0 - це "швидше за все, спроба дезінформації", спрямована на те, щоб поставити під сумнів відповідальність Росії. Пізніше виявилися метадані в повідомленнях електронної пошти Guccifer 2.0, які припускають, що він посилав їх через російські мережі, а також деякі паралелі з мережами, що використовуються російською групою ATP 28.
Широко популярна серед аналітиків у сфері кібербезпеки теорія полягає в тому, що російські спецслужби після того, як звіт The Washington Post розкрив їх причетність, створили Guccifer 2.0, щоб відвернути від себе увагу. Доводи на користь цього докладно описані в офіційній російській військовій доктрині, де містяться заклики до удавання і дезінформації, часто через так звані інформаційні операції, щоб посіяти сумніви і зберегти можливість заперечення провини.
Минулого тижня хакери оприлюднили близько 20 000 листів через інший канал - WikiLeaks, який має багаторічний досвід роботи очищення документів від викривальної інформації, тому цей випадок не надасть нових аналітичних даних. Але експерти в сфері безпеки кажуть, що у нас може бути більше можливостей отримати підказки - у хакерів був доступ до набагато більшої кількості даних, ніж ці листи, і після такого маневру минулого тижня може виникнути спокуса "злити" ще більше інформації.