Судя по всему, Россия причастна к взлому почтовых серверов демократов

Судя по всему, Россия причастна к взлому почтовых серверов демократов

Томас Рид (Thomas Rid)

14 июня сразу же после полуночи издание Washington Post обнародовало информацию о том, что «связанные с российскими государственными службами хакеры» взломали компьютерную сеть Национального комитета демократической партии (DNC). В статье говорилось, что всего за несколько недель до съезда республиканской партии иностранные шпионы получили доступ ко всем материалам досье, собранного демократической оппозицией на предполагаемого кандидата от республиканцев Дональда Трампа. Как заявила Хиллари Клинтон, эта хакерская атака «вызывает беспокойство».

Начало было зловещим. Примерно двумя месяцами ранее, в апреле, демократы заметили в своих сетях что-то неладное. Затем, в начале мая, представитель DNC позвонил в компанию CrowdStrike, которая занимается вопросами кибербезопасности и специализируется на противодействии сложным, «продвинутым» сетевым угрозам. Установив свои программы на компьютерах DNC и поработав около двух часов, специалисты CrowdStrike обнаружили в компьютерной сети «две тщательно замаскированные хакерские группировки». Обе группы были хорошо известны среди специалистов по компьютерной безопасности как APT 28 и APT 29. «APT» на жаргоне хакеров означает «целенаправленная устойчивая угроза» (Advanced Persistent Threat).

Специалисты CrowdStrike указали на связь этих двух групп с «российскими влиятельными и высокоэффективными государственными спецслужбами». Предполагалось, что APT 29 работает под контролем ФСБ и внедрилась в компьютерную сеть демократической партии, по крайней мере, летом 2015 года. АPТ 28, которая, как определили специалисты, относится к управлению российской военной разведки ГРУ, проникла в сеть демократов лишь в апреле 2016 года и, вероятно, передавала информацию из досье. Специалисты CrowdStrike не обнаружили никаких фактов, указывающих на то, что эти две спецслужбы взаимодействовали друг с другом в сетях DNC, «или хотя бы знали о присутствии друг друга в этих сетях», написала в отчете CrowdStrike.

Ситуация была серьезной. Политтехнологи-демократы предположили, что с целью помочь Трампу и навредить Клинтон действовала не одна группа путинских хакеров, а две. При этом предвыборные шаги и риторика Трампа становились все более дружественными по отношению к России. Демократы решили предать эти факты огласке.

Демократы знали, что это громкое заявление следует подкрепить вескими доказательствами. Того, что было написано в статье в Washington Post, было бы недостаточно, поэтому специалисты CrowdStrike подготовили технический отчет и опубликовали его в интернете чуть позже тем же утром. Специалисты довольно обстоятельно описали некоторые вроде бы «выдающиеся» методы работы, использованные хакерами в обоих случаях вторжения в сети. Внедренные российскими хакерами программы были незаметны, они могли обнаруживать локально установленные антивирусные программы и другие средства защиты, программные средства могли настраиваться через зашифрованные конфигурационные файлы, они были постоянными и сохраняемыми, при этом хакеры использовали сложную инфраструктуру управления. Поэтому компания CrowdStrike заявила о том, что заблокировала две разведывательные операции.

А на следующий день вся эта версия развалилась.

15 июня неизвестно откуда выскочил блог WordPress blog. А вскоре в Twitter появился аккаунт @GUCCIFER_2. Первые пост и твит были озаглавлены топорно: «Сервера DNC взломал хакер-одиночка». То есть, его взломали не российские спецслужбы. Таинственный персонаж в сети утверждал, что слил Wikileaks «тысячи файлов и писем», и при этом насмехался над компанией, которая занималась расследованием этих хакерских атак: «Наверное, клиентам компании CrowdStrike следует хорошенько подумать об ее компетентности», — написал автор поста. После чего добавил «… CrowdStrike!!!!!!!!!!».

Наряду с оскорблениями, Guccifer 2.0 начал выкладывать украденные у демократов документы в блоге WordPress, на сайтах коллективного доступа к файлам и предоставил «несколько документов из многих тысяч» для печати, по крайней мере, в двух американских изданиях — The Smoking Gun и Gawker. СМИ быстро подхватили эту историю и в сотнях новостных сообщений сообщили о досье на Трампа, собранном оппозиционерами из штаба Клинтон, и выдав заранее отрепетированные аргументы против предполагаемого кандидата от республиканцев. Якобы «Трамп — человек без стержня»; что он «плохой бизнесмен», и что его следует считать «главным женоненавистником». Были обнародованы списки спонсоров с указанием контактных данных и огромных сумм.

Guccifer 2.0 также заявил, что слил WikiLeaks неизвестное количество документов, содержащих «предвыборные программы, стратегии, планы действия против республиканцев, финансовые отчеты и так далее». Через два дня WikiLeaks в качестве «подстраховочной копии» опубликовал массивный зашифрованный файл объемом 88 гигабайт. Многие подозревают, что этот файл, который Джулиан Ассанж мог разблокировать, просто сообщив ключ в Твиттер, содержит кэш DNC. 13 июля (почти через месяц после того, как факт взлома стал достоянием общественности) хакеры передали некоторые файлы исключительно изданию The Hill — вашингтонской газете, освещающей деятельность Конгресса и Белого дома — а затем открыли доступ к оригинальным файлам.

Девять дней спустя, 22 июля — сразу после того, Трамп был выдвинут кандидатом в президенты, и перед началом съезда демократической партии WikiLeaks опубликовал более 19 тысяч электронных писем демократов с более чем 8 тысячами прикрепленных файлов. «Я послал им электронную переписку, я опубликовал некоторые файлы в своем блоге», — подтвердил Guccifer в Твиттер, отвечая на вопрос, все ли файлы он передал Джулиану Ассанжу. Спустя два дня, 24 июля, Дебби Вассерман Шульц (Debbie Wasserman Schultz), председатель Национального комитета Демократической партии, объявила о своей отставке. Так в результате виртуозной хакерской атаки и утечки информации руководитель национального комитета одной из политических партий США вынужден покинуть свой пост, а съезд, на котором на пост президента страны должна будет выдвинута кандидатура Хиллари Клинтон, оказался под угрозой срыва.

Эта тактика и ее замечательный успех в корне меняют положение дел: кражи документов у политических организаций является законным видом разведывательной работы. США и европейские страны этим тоже занимаются. Но те, кто под видом «лихого» хакерства ворует документы цифровыми средствами, а затем публикует эти документы (возможно, «обработанные» и подтасованные), уже переходит грань дозволенного и создает опасный прецедент — авторитарная страна напрямую, но завуалированно пытается сорвать американские выборы.

***

Насколько же убедительны доказательства? И что все это значит?

Доказательства причастности известных российских служб к взлому почтовых серверов демократической партии, весьма убедительны. 20 июня две конкурирующие компании, работающие в сфере кибербезопасности — Mandiant (входящая в состав FireEye) и Fidelis — подтвердили первоначальные выводы специалистов CrowdStrike, что российская разведка, действительно, взломала серверы избирательного штаба Клинтон. Доказательства причастности известных хакерских группировок к взлому серверов демократической партии, довольно веские: повторно использовались программные инструменты, методы, инфраструктура и даже уникальные ключи шифрования. Например, в конце марта хакеры зарегистрировали домен misdepatrment[.]com — который был подозрительно похож на название компании MIS Department, нанятой демократами для управления сетью. Затем с помощью утилиты X-Tunnel они создали защищенное соединение между этим ложным доменом и управляющими серверами APT 28 с давно известным IP-адресом 45.32.129[.]185.

Одним из самых убедительных фактов, доказывающих причастность ГРУ к взлому почтовых серверов демократов, являются идентичные следы присутствия, обнаруженные в двух зданиях, где находились подвергшиеся взлому серверы: повторно использовавшийся адрес командного сервера 176.31.112[.]10, который был вписан во вредоносную программу, обнаруженную как в серверах немецкого парламента, так и в серверах Национального комитета демократической партии. Федеральная служба защиты конституции Германии (BfV) установила, что хакерскую атаку на серверы Бундесвера осуществила российская военная разведка. Инфраструктура, скрывавшийся за фейковым доменом MIS Department, также была связана с внедрением вредоносных программ в сети парламента Германии, как минимум, через один элемент — общий SSL-сертификат.

Доказательства, связывающие учетную запись Guccifer 2.0 с теми же самыми российскими хакерскими группами и спецслужбами, не так убедительны, хотя деятельность под ложным прикрытием — или на техническом жаргоне ГРУ «под чужим флагом» — по-прежнему весьма вероятна. Разведчики и специалисты по кибербезопасности давно знают, что такие «ложные флаги» используются все чаще. В этой связи одним из показательных примеров стал срыв вещания французского телеканала TV5 Monde в ночь с 9-го на 10-е апреля 2015 года, ответственность за который сначала взял на себя таинственный «Киберхалифат» (CyberCaliphate) — группа, предположительно, связанная с ИГИЛ (запрещенная в России террористическая организация — прим. ред.). Затем в июне французские власти заподозрили, что за этой кибератакой на телеканал стоит все та же пресловутая группировка APT 28, которая готовилась к этому с января того года. Но уловки, предпринятые при взломе почтовых серверов демократической партии, продумывались наиболее тщательно и пока представляют собой самый яркий пример. И технические детали не менее важны, чем его стратегический контекст.

Метаданные в просочившихся в СМИ документах являются, пожалуй, наиболее показательными: один из слитых документов был изменен с использованием русских языковых настроек пользователем «Феликсом Эдмундовичем» — ник которого означает имя человека, основавшего советскую тайную полицию ЧК и увековеченного в 15-тонном памятнике, стоявшем в советские времена напротив здания управления КГБ. Креативные хакеры совершали и другие ошибки: в одном просочившемся в сеть документе были сообщения об ошибках с гиперссылкой на кириллице. Это произошло из-за того, что файл редактировали на компьютере с настройками на русском языке. После того, как об ошибке стало известно, хакеры, выкладывая информацию в следующий раз, удалили из метаданных информацию на кириллице и тщательно подбирали себе ники из других регионов мира, тем самым подтверждая, что при первом сливе информации совершили ошибку.

К тому же существует языковой вопрос. «Меня бесит, что меня приписывают к России», — заявил хакер Guccifer 2.0 в интервью изданию Motherboard. И, видимо, он говорил искренне. Затем в чате в интервью журналисту издания Лоренцо Франчески-Биккераи (Lorenzo Franceschi-Bicchierai) человек, сидевший за клавиатурой, написал, что Guccifer 2.0 живет в Румынии — как и настоящий известный хакер Guccifer. Но когда его попросили рассказать, как он взламывал серверы демократической партии, на румынском языке, он не смог говорить без ошибок. Guccifer 2.0 сначала и по-английски писал плохо, но в последующих постах его английский резко улучшился — правда, только когда речь шла о политике, а не о технике, что указывает на то, что за спиной у него сидят несколько кибершпионов.

Вызывают подозрения и другие моменты. Один из них — хронология. ThreatConnect, еще одна компания, работающая в сфере кибербезопасности, отмечает в своем аналитическом докладе: различные метки времени указывают на то, что действия тех, кто работает под учетной записью Guccifer, были спровоцированы первыми сообщениями о взломе почтовых серверов демократической партии. И подготовку они начали через двое суток после публикации доклада компании CrowdStrike. И APT 28, и Guccifer использовали для связи французские домены. Специалисты ThreatConnect тогда отметили, что обе приведенные хакером-самозванцем технические спецификации эксплойтов «нулевого дня», а также предположительная хронологическая последовательность хакерской атаки на серверы DNC, вероятнее всего, фейковые. И еще один странный косвенный результат проведенного анализа — как говорят специалисты недавно созданной британской компании Ripjar, для расширения аудитории пользователя Guccifer, возможно, в социальных сетях были созданы дополнительные фейковые аккаунты.

Пожалуй, наиболее любопытным было то, что Guccifer 2.0 с самого начала не просто заявлял, что взломал сети демократической партии, но и утверждал, что на самом деле этих двух хакерских групп в сети DNC в то время не было. Обычно в представляющих интерес, но плохо защищенных сетях можно обнаружить множество хакеров. И, тем не менее, Guccifer 2.0 с полной уверенностью заявлял (не приводя в подтверждение своих слов никаких доказательств), что взлом серверов был осуществлен просто «хакером-одиночкой». Это выражение, видимо, было придумано специально для того, чтобы, отвести подозрения от России. То, что Guccifer 2.0 не отказывался общаться с журналистами, также вызывало удивление — но, вообще, это было что-то новенькое.

Агрессивное и при этом способствующее ошибкам использование учетной записи Guccifer соответствует агрессивной и предусматривающей готовность идти на риск ведомственной культуре ГРУ, а также преобладающему в российском разведсообществе менталитету военного времени. Российские спецслужбы считают себя силами быстрого реагирования, действующими в целях оказания поддержки уязвимой России, находящейся в условиях блокады со стороны Запада и особенно США.

***

Масштабные операции, характерными особенностями которых является дезориентация и дезинформация путем манипуляций, хорошо вписываются в более широкие рамки российской развивающейся военной доктрины, известной как военная стратегия нового поколения или «доктрина Герасимова», названная так в честь нынешнего начальника Генерального штаба Вооруженных Сил Валерия Герасимова. Благодаря этому новому мышлению, резко расширяется понятие того, что можно квалифицировать как военную цель, а также расширяется понятие, квалифицируемое как военная тактика. Как отметил израильский аналитик Дима Адамский (Dima Adamsky) в своем важном исследовании эволюции стратегического искусства России, опубликованном в ноябре прошлого года, обман, введение в заблуждение и дезинформация являются неотъемлемой частью этого нового подхода — как «камуфляж и маскировка».

«Информационные войны» находятся в центре стратегии нового поколения, отмечает Адамский. Информационная борьба означает «технические и психологические средства, предназначенные для манипулирования воспринимаемой противником картиной действительности, а также для того, чтобы ввести его в заблуждение, дезинформировать и, в конечном счете, вмешаться в процесс принятия решений лицами, организациями, правительствами и сообществами».

Судя по всему, действия Guccifer 2.0 спланированы и осуществляются как часть более масштабной «информационной борьбы». И их последствия чрезвычайно важны.

Во-первых, эта операция еще не закончилась. Российские кибершпионы получили в свои руки большое количество файлов с серверов Национального комитета Демократической партии и из других ресурсов. Хакерская группа APT 29 (которая, как предполагают, подконтрольна ФСБ), расшарила доступ к электронной переписке демократической партии, ее мессенджерам, прикрепленным файлам и многой другой информации. Кроме того, российские хакерские группы осуществляют атаки на более обширные электронные ресурсы избирательного штаба Клинтон, по крайней мере, с октября 2015 года. Guccifer 2.0, в электронном письме в редакцию издания The Smoking Gun даже утверждал, что у него есть «некоторые секретные документы из персонального компьютера Хиллари, которым она пользовалась, еще будучи госсекретарем США». Непонятно, является ли это утверждение точным, да и вообще непонятно, все ли просочившиеся в СМИ документы на самом деле получены в результате взлома серверов демократической партии. Примерно три недели спустя, 5 июля, директор ФБР Джеймс Коми (James Comey) оценив ситуацию, заявил, что «враждебные элементы, возможно, получили доступ к личному адресу электронной почты госсекретаря США Хиллари Клинтон». Хакеры, взломавшие почтовые серверы демократической партии, скорее всего, сохранят или восстановят этот доступ. Кроме того, учетная запись Guccifer 2.0 теперь служит местом распространения украденных конфиденциальных документов. Поэтому следует ожидать, что произойдет активизация процесса — а то и эскалация.

Во-вторых, украденные документы, переданные в СМИ в ходе операции, направленной на то, чтобы оказать влияние на принятие решений и подорвать конкурирующую партию изнутри, не являются полностью достоверными. Операции по введению противника в заблуждение предусматривают обман. Судя по метаданным, российские хакеры явно редактировали некоторые документы, а в некоторых случаях создали новые документы — после того, как 11 июня хакеров уже удалили из сети демократической партии. Например, 15 июня, более чем через сутки после того, как обо всем стало известно, был создан файл donors.xls — скорее всего, путем копирования существующего списка и вставки его в чистый документ.

Хотя пока фактическое содержание просочившихся документов изменено не было, манипуляции, соответствующие общепринятым методам оперативной деятельности, будут осуществляться в других сферах — например, будут создаваться фабрики троллей, или в СМИ будет распространяться дезинформация. В будущем противник будет заинтересован в незаметной (или заметной) «обработке» и подделке содержания этих документов. С документами, которые были украдены и преданы огласке с помощью или в ходе разведывательных операций, следует работать с большой осторожностью, и журналисты не должны считать их надежными источниками информации.

В-третьих, взлом серверов DNC вряд ли останется исключением. Политическое влияние, а также дезинформация сделали свое дело — во всяком случае, частично. Демократы лишились возможности нанести Трампу неожиданный удар, используя собранное против него досье, и некоторые СМИ уже высмеивают Хиллари Клинтон — неплохой результат операции, проведенной киберпреступниками с небольшими затратами и без особого риска.

Еще один вывод: обман не обязательно доводить до совершенства — достаточно лишь посеять сомнения. Высокие журналистские стандарты, как ни парадоксально, играют на руку ГРУ — раз уж сообщения в СМИ, которые Кремль официально опровергает, вызывают сомнения, а эксперты сомневаются в достоверности даже самых твердых улик. И если другие спецслужбы также сочтут, что эта операция увенчалась успехом (пусть даже скромным), тогда наверняка в ходе будущих выборов такие операции по внедрению «агента влияния» будут проводиться «под чужим флагом» еще чаще — особенно в Европе.

Демократии, наконец, имеют двойной недостаток. Кампании, проводимые перед общими выборами, и специально создаваемые для этого органы являются легкой и заманчивой добычей: временные, наскоро созданные и плохо защищенные сети, «взрывоопасные» документы — в сочетании с нежеланием некоторых правоохранительных органов и частных компаний заниматься тем, что может легко превратиться в опасный политический хаос.

Правда, преступники при совершении таких действий тоже столкнутся с новыми угрозами. Меры безопасности при осуществлении традиционной разведдеятельности и проведении диверсионных подрывных операций вне сети несколько отличаются. Команда Guccifer 2.0, видимо, недооценила наличие прекрасной системы привлечения через интернет огромного количества людей к самому тщательному коллективному расследованию, которая возникла как следствие их политического троллинга с использованием передовых технологий. В значительной степени этот анализ происходит в Twitter — практически в режиме реального времени, и одним из таких умудренных опытом аналитиков является, например, пользователь под ником Pwn All The Things.

Если на взлом серверов демократической партии не отреагировать политически, то будет создан опасный прецедент. Судя по всему, некая зарубежная служба, использующая в своих интересах информацию из WikiLeaks и беспощадный медиа-рынок, старательно разрабатывает и согласовывает по срокам драматическую политическую кампанию в США, борьба в ходе которой может обостриться на следующей неделе, следующей осенью, или в следующий раз. Трамп, как ни странно, прав — система на самом деле «сфальсифицирована».

Сейчас бездействие американцев угрожает фактически превратить в норму то, что все избирательные кампании в будущем, везде, станут объектом саботажа — саботажа, который может повлиять на исход этих выборов и подорвать легитимность победителя. Бездействие также создает опасность того, что будут сведены на нет результаты, которых добился Белый дом в ослаблении роли Северной Кореи после печально известной хакерской атаки на корпорацию Sony, а также результаты, достигнутые Министерством юстиции США, предъявившем обвинения китайским и иранским киберпреступникам. Удивительно, но до сих пор единственными странами, которые осмеливаются называть оперативные действия России в киберпространстве агрессивными, являются Германия и Швейцария, и в меньшей степени — Франция.

Соединенным Штатам (и Великобритании) пора начать честно выполнять свою работу — публиковать больше фактов и доказательств, указывать преступникам на политические последствия, относиться к WikiLeaks как к законной цели для действий контрразведки, и в будущем обеспечивать кандидатам и предвыборным органам не только физическую безопасность, но и повышенную безопасность их цифровых ресурсов.

Источник: inosmi.ru

Вам может также понравиться...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *