Просто о сложном

Как хакерская атака повлияла на выборы в США

Николай Овчинников

Одна из главных новостей предвыборной гонки в США — взлом серверов Национального демократического комитета, в котором обвинили хакеров, связанных с российскими властями. Apparat объясняет, что случилось, кого подозревают во взломе и при чём здесь русские медведи.

Что произошло?

Неизвестные злоумышленники взломали почтовый сервер национального комитета Демократической партии США (NDC) и в июне 2016 года передали данные оттуда сайту WikiLeaks. Из опубликованных документов следовало, что демократы в ходе праймериз делали всё возможное, чтобы в них победила Хиллари Клинтон, а не Берни Сандерс, сенатор из Вермонта, который внезапно завоевал большую популярность.

Ответственность за атаку на себя взял хакер под ником Guccifer 2.0. Он представляется жителем Румынии и отрицает связь с российскими государственными структурами.

Как действия хакеров повлияли на выборы в США?

Публикация на Wikileaks вызвала скандал. Председатель NDC Дебби Вассерман-Шульц ушла в отставку. Разоблачения хакеров использовал в своих заявлениях кандидат от республиканцев Дональд Трамп. На одной из пресс-конференций он заявил: «Россия, если ты меня сейчас слышишь, я надеюсь, ты способна найти 30 тысяч пропавших электронных писем» (противники Клинтон полагают, что часть писем из её взломанной переписки была уничтожена).

Хотя стопроцентных доказательств того, что именно российские спецслужбы организовали кибератаку, нет, большинство официальных представителей и экспертов в последние месяцы не подвергали эту версию сомнению. Во многом благодаря этому впервые со времени распада СССР российская тема стала одной из основных в ходе президентских дебатов. На последних — 19 октября — Хиллари Клинтон заявила, что Кремль пытается повлиять на результаты выборов в США. По её словам, никогда ещё в истории внешние силы не предпринимали таких шагов. «Они делают это [взламывают компьютеры американских учреждений], чтобы помочь Дональду Трампу».

Республиканский кандидат неоднократно одобрительно высказывался о Владимире Путине и обещал установить более тесные отношения между Вашингтоном и Москвой. После взлома серверов DNC и первых подозрений в отношении российских хакеров, целый ряд представителей демократического истеблишмента заявил, что атаки проводились, чтобы скомпрометировать Клинтон и демократов и помочь Трампу выиграть. Некоторые сочувствующие Клинтон издания прямо назвали миллиардера агентом Кремля. Заодно вспомнили, что советник Трампа Пол Манафорт раньше помогал экс-президенту Украины Виктору Януковичу, а другой советник — Майкл Флинн — был на 10-летии российского пропагандистского канала RT, сидел рядом с Владимиром Путиным, а ещё ему заплатили за речь.

Откуда версия, что за взломом стоят «русские хакеры»?

Таковы выводы компании CrowdStrike, которую демократы попросили расследовать обстоятельства взлома. Специалисты фирмы выяснили, что серверы NDC взламывали сразу две группы хакеров. По мнению CrowdStrike, обе группы связаны с российскими спецслужбами, одна из которых — Главное разведывательное управление (ГРУ). Первая группа называется Fancy Bear («Модный медведь»), вторая — Cozy Bear («Уютный медведь»). Как объяснил директор CrowdStrike в интервью Esquire, эти названия отражают систему классификации хакерских группировок: «Медведь — это Россия, панда — Китай, тигр — Индия, а котенок — Иран. Определения cozy и fancy отражают методы, используемые хакерами. Например, fancy — отсылка к методу Sofacy — вирусу, который при скачивании способен брать под контроль компьютер жертвы».

Выводы CrowdStrike подтверждают в словацкой компании ESET. На связи с Россией, по мнению специалистов фирмы, указывает график активности хакеров, совпадающий с рабочим днем по московскому времени.

В ESET следили за деятельностью Fancy Bear два года. Специалисты компании определили почерк хакеров. Те сперва стараются получить данные e-mail’ов сотрудников атакуемого учреждения с помощью фишинга. За март-сентябрь 2015 года хакеры отправили почти 1900 фишинговых сообщений. Для ссылок хакеры использовали сервис для сокращения ссылок Bitly. Правда, злоумышленники случайно сделали результаты своей работы публичными.

Версию о российском следе поддерживает и эксперт в области спецслужб Андрей Солдатов. По его словам, основная проблема — поиск «аттрибуции», идентификации инициаторов действий хакеров. В отличие от Китая, кибератаки в интересах Кремля часто проводят группы, которые формально не имеют отношения к государству.

В США точно уверены, что NDC взломали россияне?

Неизвестно. Советник Барака Обамы по безопасности Лиза Монако заявила о возможном ответе на «российские кибератаки», а глава Агентства национальной безопасности США (АНБ) Майк Роджерс сообщил о «подозрениях» в отношении российских спецслужб.

Кто такие Fancy Bear и Cozy Bear?

Обе хакерские группировки известны давно. Примерно 10 лет они атакуют серверы государственных и коммерческих учреждений в разных странах мира. Fancy Bear также известна как Sednit, Sofacy и APT 28. Среди последних жертв Fancy Bear — сайт французского телеканала TV5, немецкий Бундестаг, «Анонимный интернационал» и Международное антидопинговое агентство (WADA). У последнего хакеры похитили информацию о тестах спортсменов, которая, по их мнению, указывает на предвзятость WADA, которая отсеяла часть российской олимпийской сборной перед играми в Рио. Выбор объекта атаки позволил экспертам говорить, что Fancy Bear имеют отношение к России. Cozy Bear называют также APT29.

А раньше «русских хакеров» подозревали в атаках на американские учреждения?

Да, и как раз APT29. Осенью 2014 года эксперты из компании FireEye заявили, что уже несколько лет находят следы российских хакеров в компьютерах американских военных. Также «русских хакеров» подозревали во взломе серверов Госдепа США и Белого дома. Доказательством связи хакеров с Россией в FireEye считают использование кириллицы в коде и время активности злоумышленников, совпадающее с рабочим днём в Москве.

Как российские власти реагируют на заявления из США?

После новостей о взломе Белого дома пресс-секретарь российского президента Дмитрий Песков заявил, что обвинять во всём Москву «уже превратилось в вид спорта». После взлома NDC Владимир Путин заявил, что связи хакеров с чьими-либо властями — «абсолютно труднопроверяемая вещь, если вообще возможно ее проверить», и что «на государственном уровне мы этим [взломами] точно не занимаемся».

Что могут сделать власти США, если будет доказана причастность России к кибератакам?

В апреле 2015 года Барак Обама подписал указ, позволяющий вводить финансовые санкции против людей и компаний, причастных к кибератакам на американские госорганы, банковский и энергетический сектор. Пока он ни разу не воспользовался этим правом, хотя после взлома NDC его призывали к этому в Конгрессе.

Кто такой Guccifer 2.0?

Неизвестно. Он утверждает, что живёт в Восточной Европе. Возможно, он из Румынии. Он говорит, что не связан с российскими властями. Также он заявил, что его будет непросто поймать, что он принял все меры предосторожности, и что он не боится поимки. По данным CrowdStrike, при переписке с журналистом Кевином Кольером он использовал VPN для маскировки своего IP под французский. VPN-провайдером была компания из России. Как пишет NBC, Guccifer 2.0 работал с Cozy Bear.

Что говорит не в пользу причастности Москвы к атаке?

Во-первых, «российский след» слишком явный. Непонятно, почему хакеры так подставились, пересылая данные в документах из русскоязычного Word и код на русском, а один из них имел ник «Феликс Эдмундович» (имя главы ВЧК Дзержинского). По словам Ильи Сачкова из Group IB, нередко киберпреступники специально вставляют в код текст на чужом языке, чтобы подозрение пало на кого-то другого. Он говорит, что русский язык нередко используют китайцы, а россияне — наоборот, мандаринский вариант китайского.

Во-вторых, отсутствие явных следов. Андрей Солдатов пишет: «Ни авторство вирусов, ни местонахождение серверов ничего не значат: сирийские спецслужбы уже несколько лет используют для взлома скайп-аккаунтов местных активистов вирус, написанный французским хакером. А серверы можно анонимно арендовать во множестве стран». Впрочем, несмотря на это, Солдатов уверен в причастности россиян к атаке на серверы NDC.

Подпишись на Аппарат
Facebook
Вконтакте
E-mail дайджест