С тех пор как этой весной представители Национального комитета Демократической партии впервые узнали, что их база данных была взломана, все больше экспертов и должностных лиц отмечали доказательства того, что в этом виновато правительство России.
В течение нескольких месяцев эта история делала удивительные и часто причудливые повороты, с кульминацией в виде политического скандала, который разгорелся перед началом Национального съезда демократической партии в Филадельфии 25 июля. Но кое что остается постоянным – возрастающее количество данных судебной экспертизы о причастности российского правительства.
Бизнесмен и филантроп Макс Фишер в своей статье для The New York Times рассказал о всех имеющихся доказательствах связи взлома сети Национального комитета демократической партии (DNC) с российскими службами безопасности, и о том, как Россия пытается отвлечь от себя внимание.
Первые признаки начались в мае, когда комитет заметил необычную активность у себя в системе. Для расследования они наняли компанию CrowdStrike, которая занимается кибербезопасностью, и её эксперты быстро нашли источник этой активности – в конце апреля группа хакеров получила доступ к базе данных комитета, которая содержит компрометирующую информацию об оппонентах, и из которой были изъяты два файла с информацией о Дональде Трампе, который позже стал кандидатом в президенты США от Республиканской партии.
Следователи установили, что хакеры были частью группы APT 28, которая хорошо известна специалистам в сфере кибербезопасности. Название является аббревиатурой "advanced persistent threat", (целенаправленная устойчивая угроза – ред.), что, как правило, относится к правительственным хакерам. Охранные фирмы и сотрудники правоохранительных органов также использовали имя Fancy Bear, ссылаясь на распространенное мнение о том, что группа находится в ведении военной разведки России – ГРУ.
Следствие могло на этом закончиться, но CrowdStrike обнаружила еще одного, намного более незаметного шпиона в компьютерах DNC – группу, известную как APT 29, или Cozy Bear, которая считается более профессиональной, и у которой прослеживались связи с ФСБ – главной преемницей КГБ.
У Cozy Bear, по-видимому, был полный доступ к системе комитета в течение почти года (последующие расследования, проведенные двумя другими фирмами по кибербезопасности, подтвердили выводы CrowdStrike.)
Установление связей взлома с конкретной группой хакеров, и связей этой группы с государственными органами всегда основывается на косвенных доказательствах. Но собранные экспертами доказательства связи этих вторжений с российскими ведомствами были очень сильными по сравнению с другими случаями.
Например, группа APT 28 часто использует одну и ту же тактику – регистрирует домен, имя которого похоже на домен их цели, чтобы обманным путем заставить пользователей раскрыть свои пароли при входе в систему на неправильном сайте. В этом случае хакеры создали misdepatrment.com – переставив местами две буквы (вместо misdepartment.com – ред.) – целью которого были пользователи отдела разработки информационной системы управления (MIS Department), который управляет внутренней сетью DNC.
Более показательно – хакеры связали этот домен с IP-адресом, который они использовали в предыдущих нарушениях, дав экспертам возможность найти закономерности. Они также использовали те же хакерские инструменты, которые иногда содержат уникальные ключи безопасности или шифрования – своего рода цифровой отпечаток пальца. Эти отпечатки пальцев были найдены в других взломах, как, например, атака на сайт парламента Германии в 2015 году, которая, по словам службы разведки страны, вероятно, была проведена Россией, в частности APT 28.
APT 28 и APT 29 использовали методы, которые "соответствуют возможностям национального государственного уровня", согласно отчету CrowdStrike, и они ориентированы на иностранных военных и контрактных военных в схеме, которая "точно отражает стратегические интересы российского правительства".
Другой отчет, выданный охранной фирмой FireEye в июле 2015 года, отметил, что хакеры, по-видимому, не были в сети во время российских государственных праздников и работали в течение времени, которое совпадает с российскими рабочими часами.
Такие вмешательства, пусть и тревожные, находятся в пределах ожидаемых границ международного шпионажа. Дело приняло неожиданный оборот в июне, после того как должностные лица Демократической партии, вероятно, увидев возможность показать Трампа в качестве предпочитаемого Москвой кандидата, рассказали о предполагаемом российском внедрении изданию The Washington Post.
В течение 24 часов кто-то под именем Guccifer 2.0 создал блог на сайте WordPress и сделал надуманное утверждение, что именно он, а не Россия, несет ответственность за взлом сети DNC, и сделал он это в одиночку.
Он также сказал, что украл тысячи внутренних электронных писем – первое публичное упоминание о подобной краже. Guccifer 2.0 представил доказательства, опубликовав часть украденных документов и передав другие новостным агентствам и Wikileaks. Его имя, сказал он, это дань уважения известному румынскому хакеру с псевдонимом Guccifer, который находится в тюрьме с 2014 года.
Но предоставленные Guccifer 2.0 документы, хотя и подлинные, противоречат его утверждениям, что он действовал в одиночку, и даже предоставили доказательства причастности российского государства. Например, метаданные некоторых файлов показывали, что они были открыты на компьютерах, в настройках которых основным языком был русский. Другой был изменен с помощью текстового процессора, зарегистрированного на Феликса Эдмундовича, прописанного кириллицей – открытый намёк на Феликса Эдмундовича Дзержинского, основателя советской тайной полиции.
Guccifer 2.0 общался с журналистами, что криминальные хакеры практически не делают. Он настаивал, что Россия не проникала в базу DNC – довольно странное заявление, с учетом того, что он никак этого знать не мог. При обсуждении того, как он совершил взлом, его комментарии были противоречивы и, по мнению специалистов в области кибербезопасности, они показали, что у него нет достаточных технических знаний, чтобы понять и, тем более, совершить такие атаки. Он также утверждал, что он румын, но не смог поддержать разговор на этом языке в ответ на запрос от репортера технологического сайта Motherboard.
Но если Guccifer 2.0 не тот, за кого себя выдает, тот как он получил тысячи похищенных у комитета документов? И почему он лжет?
Компания ThreatConnect, занимающаяся анализом систем безопасности, пришла к выводу, что Guccifer 2,0 - это"скорее всего, попытка дезинформации", направленная на то, чтобы поставить под сомнение ответственность России. Позже обнаружились метаданные в сообщениях электронной почты Guccifer 2.0, которые предполагают, что он посылал их через российские сети, а также некоторые параллели с сетями, используемыми российской группой ATP 28.
Широко популярная среди аналитиков в сфере кибербезопасности теория состоит в том, что российские спецслужбы после того, как отчет The Washington Post раскрыл их причастность, создали Guccifer 2.0, чтобы отвлечь от себя внимание. Доводы в пользу этого подробно описаны в официальной российской военной доктрине, где содержатся призывы к притворству и дезинформации, часто через так называемые информационные операции, чтобы посеять сомнения и сохранить возможность отрицания вины.
На прошлой неделе хакеры обнародовали около 20 000 писем через другой канал – WikiLeaks, который имеет многолетний опыт работы очистки документов от уличающей информации, поэтому этот случай не предоставит новых аналитических данных. Но эксперты в сфере безопасности говорят, что у нас может больше возможностей получить подсказки – у хакеров был доступ к гораздо большему количеству данных, чем эти письма, и после такого маневра на прошлой неделе, может возникнуть соблазн "слить" еще больше информации.
