Росію впіймали на гарячому, але вона відволікає увагу - експерти про хакерську атаку на США
Категорія
Світ
Дата публікації

Росію впіймали на гарячому, але вона відволікає увагу - експерти про хакерську атаку на США

Росію впіймали на гарячому, але вона відволікає увагу - експерти про хакерську атаку на США
Джерело:  The New York Times

З того часу, як цієї весни представники Національного комітету Демократичної партії вперше дізналися, що їхня база даних була зламана, все більше експертів і посадових осіб відзначали докази того, що в цьому винен уряд Росії.
Протягом декількох місяців ця історія робила дивовижні і часто химерні повороти, з кульмінацією у вигляді політичного скандалу, який розгорівся перед початком Національного з'їзду демократичної партії у Філадельфії 25 липня. Але дещо залишається постійним - зростаюча кількість даних судової експертизи про причетність російського уряду.


Бізнесмен і філантроп Макс Фішер в своїй статті для The New York Times розповів про всі наявні докази

зв'язку злому мережі Національного комітету демократичної партії (DNC) з російськими службами безпеки, і про те, як Росія намагається відволікти від себе увагу.


Перші ознаки почалися в травні, коли комітет помітив незвичайну активність у себе в системі. Для розслідування вони найняли компанію CrowdStrike, яка займається кібербезпекою, і її експерти швидко знайшли джерело цієї активності - в кінці квітня група хакерів отримала доступ до бази даних комітету, яка містить компрометуючу інформацію про опонентів, і з якої були вилучені два файли з інформацією про

Дональда Трампа

, який пізніше став кандидатом в президенти США від Республіканської партії.


Слідчі встановили, що хакери були частиною групи APT 28, яка добре відома фахівцям у сфері кібербезпеки. Назва є абревіатурою "advanced persistent threat" (цілеспрямована стійка загроза - ред.), що, як правило, відноситься до урядових хакерів. Охоронні фірми і співробітники правоохоронних органів також використовували ім'я Fancy Bear, посилаючись на поширену думку про те, що група є у веденні військової розвідки Росії - ГРУ.


Слідство могло на цьому закінчитися, але CrowdStrike виявила ще одного, набагато більш непомітного шпигуна в комп'ютерах DNC - групу, відому як APT 29, або Cozy Bear, яка вважається більш професійною, і у якої простежувалися зв'язки з ФСБ - головною спадкоємицею КДБ.


У Cozy Bear, мабуть, був повний доступ до системи комітету протягом майже року (наступні розслідування, проведені двома іншими фірмами з кібербезпеки, підтвердили висновки CrowdStrike.)


Встановлення зв'язків злому з конкретною групою хакерів і зв'язків цієї групи з державними органами завжди ґрунтується на непрямих доказах. Але зібрані експертами докази зв'язку цих вторгнень з російськими відомствами були дуже сильними в порівнянні з іншими випадками.


Наприклад, група APT 28 часто використовує одну і ту ж тактику - реєструє домен, ім'я якого схоже на домен їх цілі, щоб обманним шляхом змусити користувачів розкрити свої паролі при вході в систему на неправильному сайті. В цьому випадку хакери створили misdepatrment.com - переставивши місцями дві літери (замість misdepartment.com - ред.), метою якого були користувачі відділу розробки інформаційної системи управління (MIS Department), який управляє внутрішньою мережею DNC.


Більш показово - хакери зв'язали цей домен з IP-адресою, яку вони використовували в попередніх порушеннях, давши експертам можливість знайти закономірності. Вони також використовували ті ж хакерські інструменти, які іноді містять унікальні ключі безпеки або шифрування - свого роду цифровий відбиток пальця. Ці відбитки пальців були знайдені в інших зломах, як, наприклад, атака на сайт парламенту Німеччини в 2015 році, яка, за словами служби розвідки країни, ймовірно, була проведена Росією, зокрема APT 28.


APT 28 і APT 29 використовували методи, які "відповідають можливостям національного державного рівня", згідно зі звітом CrowdStrike, і вони орієнтовані на іноземних військових і контрактних військових в схемі, яка "точно відображає стратегічні інтереси російського уряду".


Інший звіт, виданий охоронною фірмою FireEye в липні 2015 року, зазначив, що хакери, мабуть, не були в мережі під час російських державних свят і працювали протягом часу, який збігається з російськими робочими годинами.


Такі втручання, нехай і тривожні, перебувають в межах очікуваних кордонів міжнародного шпигунства. Справа набула несподіваного обороту в червні, після того як посадові особи Демократичної партії, ймовірно, побачивши можливість показати Трампа в якості пріоритетного для Москви кандидата, розповіли про ймовірне російське втручання виданню The Washington Post.


Протягом 24 годин хтось під ім'ям Guccifer 2.0 створив блог на сайті WordPress і зробив надумане твердження, що саме він, а не Росія, несе відповідальність за злом мережі DNC, і зробив він це поодиноко.


Він також сказав, що вкрав тисячі внутрішніх електронних листів - перша публічна згадка про подібну крадіжку. Guccifer 2.0 представив докази, опублікувавши частину вкрадених документів і передавши інші новинним агентствам і Wikileaks. Його ім'я, сказав він, це данина поваги відомому румунському хакеру з псевдонімом Guccifer, який сидить у в'язниці з 2014 року.


Але надані Guccifer 2.0 документи, хоча і справжні, суперечать його твердженням, що він діяв сам, і навіть надали докази причетності російської держави. Наприклад, метадані деяких файлів показували, що вони були відкриті на комп'ютерах, в налаштуваннях яких основною мовою була російська. Інший був змінений за допомогою текстового процесора, зареєстрованого на Фелікса Едмундовича, прописаного кирилицею - відкритий натяк на Фелікса Едмундовича Дзержинського, засновника радянської таємної поліції.


Guccifer 2.0 спілкувався з журналістами, що кримінальні хакери практично не роблять. Він наполягав, що Росія не проникала в базу DNC - досить дивна заява, з урахуванням того, що він ніяк цього знати не міг. Під час обговорення того, як він здійснив злом, його коментарі були суперечливі і, на думку фахівців в області кібербезпеки, вони показали, що у нього немає достатніх технічних знань, щоб зрозуміти і, тим більше, зробити такі атаки. Він також стверджував, що він румун, але не зміг підтримати розмову на цій мові у відповідь на запит від репортера технологічного сайту Motherboard.


Але якщо Guccifer 2.0 не той, за кого себе видає, то як він отримав тисячі викрадених у комітету документів? І чому він бреше?


Компанія ThreatConnect, що займається аналізом систем безпеки, дійшла висновку, що Guccifer 2,0 - це "швидше за все, спроба дезінформації", спрямована на те, щоб поставити під сумнів відповідальність Росії. Пізніше виявилися метадані в повідомленнях електронної пошти Guccifer 2.0, які припускають, що він посилав їх через російські мережі, а також деякі паралелі з мережами, що використовуються російською групою ATP 28.


Широко популярна серед аналітиків у сфері кібербезпеки теорія полягає в тому, що російські спецслужби після того, як звіт The Washington Post розкрив їх причетність, створили Guccifer 2.0, щоб відвернути від себе увагу. Доводи на користь цього докладно описані в офіційній російській військовій доктрині, де містяться заклики до удавання і дезінформації, часто через так звані інформаційні операції, щоб посіяти сумніви і зберегти можливість заперечення провини.


Минулого тижня хакери оприлюднили близько 20 000 листів через інший канал - WikiLeaks, який має багаторічний досвід роботи очищення документів від викривальної інформації, тому цей випадок не надасть нових аналітичних даних. Але експерти в сфері безпеки кажуть, що у нас може бути більше можливостей отримати підказки - у хакерів був доступ до набагато більшої кількості даних, ніж ці листи, і після такого маневру минулого тижня може виникнути спокуса "злити" ще більше інформації.

Залишаючись на онлайні ви даєте згоду на використання файлів cookies, які допомагають нам зробити ваше перебування тут ще зручнішим

Based on your browser and language settings, you might prefer the English version of our website. Would you like to switch?