Темы расследованийFakespertsПодписаться на еженедельную Email-рассылку
Политика

Хакеры в погонах. Почему Россию обвиняют в кибератаках на США

Сегодня хакеры выложили новую порцию переписки Демократической партии США, в новом массиве содержатся различные документы, касающиеся предвыборной кампании в штате Флорида, в том числе предвыборные стратегии кандидатов. А несколькими днями ранее хакеры опубликовали электронные адреса и номера мобильных телефонов почти 200 демократов. Все это – часть общего массива, заполученного хакерами после взлома Комитета по выборам в Конгресс Демократической партии (DCCC). В свою очередь взлом DCCC – это уже не первая атака на демократов, до этого были взломаны также сервера Демократического национального комитета (DNC), и почта Хиллари Клинтон. Все эти взломы в разгар выборов стали сильным ударом по демократам, а скандал с электронной почтой Клинтон и вовсе стал главным предвыборным оружием республиканцев. Многие американские СМИ связывают эти хакерские атаки с Россией – на это указывают и данные независимых организаций, занимающихся кибер-безопасностью, и ФБР, и общий политический контекст.

Более того американские чиновники уже рассматривают вопрос о введении новых санкций против России в ответ на взлом серверов Демократической партии, об этом пишет The Wall Street Journal со ссылкой на свои источники. По данным издания, ФБР и другие американские спецслужбы уверены в причастности России к кибератаке, но для введения санкций потребуется выдвинуть официальные обвинения. На чем эти обвинения могут основываться?

Политический контекст

Кибератаки на амеркианских политиков и государственные органы США происходят уже не первый год, но именно сейчас американские СМИ активно стали обсуждать «российский след». Отчасти это объясняется общим политическим контекстом. Атаки идут только на демократов, причем в разгар выборов, что вредит Хиллари Клинтон, имеющей свою историю отношений с Путиным (она заявляла, что у КГБ-шника Путина не может быть души и что действия России в Восточной Европе похоже на то, что Гитлер делал в 30-е годы, Путин отвечал, что такие заявления – проявления слабости, но «для женщины слабость – не самое плохое качество»). Одновременно хакерские атаки играют на руку Трампу, сделавшему целый ряд заявлений, которые должны были очень понравится Кремлю: он обещал наладить отношения с Путиным, заявлял о готовности начать переговоры о признании Крыма и критиковал НАТО. Кроме того, Трамп, американские СМИ также подозревают, что значительная часть его бизнеса может быть связана с Россией (скажем, его сын заявлял: «На россиян приходится непропорционально большая часть наших активов. Мы видим, что из России идут огромные потоки денег»). Наконец, Трамп и сам призвал однажды Россию опубликовать переписку Хиллари Клинтон. Все это дает основания полагать, что Россия не безучастно смотрит на американские выборы и может, действительно, быть заинтересована в хакерских атаках на демократов. Но что об этом говорят эксперты в области кибер-безопасности?

Следы России

Помимо ФБР сразу четыре компании в области информационной безопасности независимо друг от друга обнаружили российский след в хакерских атаках на американских политиков и госорганы США. Первой стала компания Trend Micro, которая обнаружила мощную хакерскую группу с особым стилем атак, названную компанией Pawn Storm (пешечный штурм). Компании удалось установить, что одна и та же группа использовалась и при атаке на российских оппозиционеров, и при атаке на сервера американских военных ведомств.  Подробнее об этих эксперт Trend Micro рассказал в интервью The Insider. Затем в октябре стало известно, что Pawn Storm атаковали также и личную почту Хиллари Клинтон.

Группа Pawn Storm также известна под именами Fancy Bear, APT28, Sofacy, Tsar Team, Strontium, TG-4127 и Sednit. То, что именно эта группа причастна к последним взломам, подтвердили и две другие компании, занимающиеся информационной безопасностью: Fidelis Cybersecurity и ThreatConnect. Эксперты проанализировали фейковый домен secure.actblues[.]com , который маскировался под домен с похожим названием secure.actblue[.]com, используемый демократами для сбора средств в пользу DCCC. Фейковый домен был зарегистрирован на ту же почту ( fisterboks@email[.]com ), что и три других домена, связанные с Fancy Bear/Pawn Storm. Более того, два DNS-сервера, используемые этим почтовым адресом были также связаны с другой хакерской атакой – также для создания фейкового домена, но уже для взлома не DCCC, а DNC.

Время регистрации домена тоже дает подсказку: в тот же день, когда была опубликована информация о взломе DNC, был создан тот самый фейковый домен actblues, через которой потом взломали DCCC – эксперты объясняют это тем, что хакеры, как только первый взлом был раскрыт, переключились на вторую цель.

Четвертая организация в области безопасности – SecureWorks – в июне также связала атаки Pawn Storm с Кремлем. В марте 2016 года эксперты обнаружили кампанию с фишинговыми письмами, рассылаемые по Gmail, и использовавшие ссылки Bitly для сокрытия вредоносных ссылок. Похожую кампанию SecureWorks наблюдала в 2015 году, цели были почти те же – ряд аккаунтов в России и странах СНГ, действующий и бывшие американские и европейские чиновники, лица, связанные с оборонными предприятиями а также некоторые журналисты. Но на этот раз среди целей также были люди так или иначе связанные избирательной кампанией Хиллари Клинтон и DNC. Эксперты приходят к выводу, что эта кампания показывает готовность хакеров расширить список своих мишеней, включив в него и другие объекты, интересующие российское правительство.

При этом Fancy Bear/Pawn Storm не единственная группа, которая атаковала Демократическую партию. Есть и вторая группа - Cozy Bear, также известная как Cozy Duke и APT29. По данным еще одной компании, занимающейся кибер-безопасностью – CrowdStrike – Cozy Bear также связана с Кремлем, но действует независимо от Fancy Bear, и более того, группы даже, по-видимому, не знали о существовании друг друга. Cozy Bear ранее уже атаковала Белый дом, Госдепартамент, Объединённый комитет начальников штабов вооруженных сил США. Впрочем, атаковали они не только американские цели, но и объекты в Европе, Бразилии, Китае, Японии, Мексике, Новой Зеландии, Южной Корее, Турции и некоторых Центральноазиатских странах. Обычно они это делали посредством фишинговых писем, которые активировали код, устанавливающий несколько инструментов удаленного доступа Remote Access Tools (RATs), в том числе AdobeARM, ATI-Agent и MiniDionis.

Фальшивый румын

В июне несколько интервью дал некто, называющий себя хакером Guccifer 2.0, он взял на себя ответственность за атаки на демократическую парию и заявил, что он к России не имеет никакого отношения, русский язык не знает, а сам вообще румын. Вот только метаданные его писем показали, что он использует VPN, интерфейс которого работает только на русском языке. Когда же его попросили в онлайн-чате поговорить по-румынски, он отвечал так косноязычно, что носители языка уверены – для него это не родной язык и скорее всего он использовал онлайн-переводчик.

Примечательно также, что Guccifer использовал для слива почты именно WikiLeaks, владелец которого – Джулиан Ассанж – вел свою программу на телеканале Russia Today.

Альтернативные версии

Чтобы применить к России санкции, США должны будут предоставить веские доказательства того, что за хакерами стоят именно российские власти. Пока же достаточно хорошо доказано лишь то, что как минимум часть из хакеров, взламывавших американские правительственные ведомства и сайты Демократической партии, делали это из крупных городов России в рабочее время и сами говорят на русском языке. Известно также, что они очень хорошо подготовлены, тратили на свои операции значительное время и средства. Но главное, объекты атак одних и тех же хакеров совпадают с политическими противниками Кремля, будь то оборонные предприятия НАТО, или Минобороны Грузии, американские политики или российские оппозиционеры внутри страны. Причем, время атак тоже имеет значение – скажем, во время скандала с переносом памятника воину-освободителю в Эстонии, хакеры блокировали несколько сайтов государственных служб и банков этой страны.

Значит ли это, что существует некая «фабрика кремлевских хакеров», наподобие «фабрики троллей»? В группе Анонимный интернационал в этом сомневаются: «Никакой фабрики хакеров не существует. Ну, выполняла некая команда чей-то заказ... Несомненно есть некие команды, которые работают на околоправительственные структуры, но у них реализация материалов идет по другому», - сообщили The Insider представители группы.

Если «выполняющая заказ» группа и не являлась аффилированной с российским государством, то она как минимум является постоянным его подрядчиком, так и Fancy Bear и Cozy Bear регулярно атаковали цели, которые едва ли могли бы быть интересны кому-то еще, и если, скажем, можно представить какого-то другого заказчика для атак на Минобороны Грузии, то вряд ли кому-то кроме российского государства могли понадобиться активисты из российской Партии 5 декабря (в Trend Micro по просьбе The Insider проанализировали фишинговые письма, отправленные членам этой партии, и подтвердили, что они принадлежали Pawn Storm/Fancy Bear).

Пока, однако, нельзя сказать, что хакерская атака на ресурсы Демократической партии оказалась очень эффективной. В последнее время разрыв между Хиллари Клинтон и Трампом по опросам вырос до примерно 6% (что много для президентской гонки в США), и одним факторов снижения популярности Трампа может как раз стать его обращение к России с просьбой выложить письма Клинтон, именно за лояльность Кремлю его особенно критикуют в последние дни. Впрочем, весьма вероятно, что в запасе у хакеров есть еще какие-то не выложенные письма, поэтому итоги подводить еще рано.