Пароль второго плана

Андрей Солдатов и Ирина Бороган исследовали самую громкую хакерскую атаку 2016 года — взлом серверов Демократической партии США — и выяснили, как она связана с Россией и почему за ней стоят «Модный медведь» и «Уютный медведь».
Теги:
Пароль второго плана
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

«Да все эти хакеры — в униформе», — Дмитрий Альперович, крепко сбитый и светловолосый, кивает головой. Он глава компании Crowdstrike, предоставляющей защиту от хакерских атак. Душным сентябрьским вечером мы едим пиццу на площади Дюпон-серкл в Вашингтоне и говорим о тех, кто стоит за самой громкой хакерской атакой этого года — взломом Национального демократического комитета США. Тогда хакерам удалось получить доступ к компьютерной сети Комитета, украсть с серверов тысячи писем партийных функционеров и перехватить досье демократов на Дональда Трампа — главного конкурента Хиллари Клинтон. Хакеры даже получили возможность читать чаты сотрудников.

К сентябрю в Вашингтоне уже никто не сомневался, что это были русские. Для Альперовича это личная история — он эмигрировал из России в середине 1990-х, чтобы никогда больше не возвращаться. «Той Москвы, из которой я уехал, — говорит он, — все равно больше нет». В Америке он стал одним из самых известных специалистов по кибербезопасности, и последние десять лет он борется с хакерами, защищая американские компании от взломов. Правда, в последнее время ему все чаще приходится иметь дело не с криминальными группировками, крадущими деньги с банковских счетов, а с хакерами, работающими на правительства разных стран — от Китая до России.

Несколько лет назад, еще будучи вице-президентом антивирусной компании McAfee, Альперович расследовал серию кибератак против ООН и Международного Олимпийского комитета. Тогда он обнаружил, что несмотря на то, что за атаками стояло несколько разных группировок, все следы вели в Китай. В 2011-м он основал Crowdstrike, и за пять лет компания выросла с двух до пятисот человек. Этим летом про Альперовича в России услышали люди, далекие от мира хакеров: его компания расследовала хакерскую атаку на Национальный комитет Демократической партии.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Первые атаки на компьютерную систему комитета начались летом 2015 года. Неизвестные хакеры стали заваливать сотрудников Комитета сотнями электронных писем, выманивая пароли или вынуждая обманом заходить на зараженные вирусом сайты. На комитет посыпались фальшивые предупреждения от имени почтовых сервисов, которыми пользовались сотрудники, например, от Gmail. Месяцами хакеры кропотливо и незаметно собирали коды доступа и скачивали информацию.

Весной 2016 года характер атак изменился — в системе появилась вторая группа хакеров, которая действовала не так осторожно и оставила много следов. В апреле сотрудники комитета заметили что-то неладное, и в мае решили обратиться к Crowdstrike. Чтобы обнаружить две хакерские группировки, экспертам понадобилось чуть больше двух часов. «У нас уже был опыт с этими группами. Они пытались атаковать наших клиентов в прошлом, и мы хорошо их знали», — писал позднее Альперович в своем блоге.

В хакерском мире эти группировки были известны как APT29 и APT28 — от Advanced Persistent Threat — продвинутой постоянной угрозы, на техническом жаргоне означающей кибершпионаж. К тому времени обе группы уже привлекли пристальное внимание экспертов. APT29 засветилась в 2015 году на проникновении в незащищенную сеть Белого дома, Госдепартамента США и Объединенного комитета начальников штабов. Хакеры атаковали энергетические, финансовые и фармацевтические компании, а также американские университеты и исследовательские институты. Группировка не ограничивалась американскими целями. Ее жертвами стали организации в Европе, Бразилии, Китае, Турции и Центральной Азии. Эксперты сходились на том, что APT29 — русские хакеры: на это указывали русские слова в коде, часы работы, совпадавшие с московским временем, и особенности вирусов.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Группа APT28 также считается командой русского происхождения: с середины 2000-х она специализировалась на атаках против СМИ, космического и оборонного сектора в Западной Европе. Немецкие спецслужбы обвинили ее во взломе сети Бундестага. Хакеры этой же группы стояли за атакой на французский телеканал TV5Monde, в результате чего канал на несколько часов прекратил вещание, а на его сайте появилась символика ИГИЛ.

Именно эти группировки Crowdstrike обнаружила в системе Национального демократического комитета. 12 июня 2016 года, спустя месяц после того, как команду Альперовича позвали на помощь, его сотрудникам удалось выбросить хакеров из компьютерной сети партии. Через два дня комитет решил засветить всю историю в прессе: ранним утром 14 июня газета The Washington Post опубликовала статью о взломе. Вечером следующего дня Альперович выложил технический отчет на сайте своей компании. В нем описывались детали взлома с названиями вирусов, которые использовали атакующие. Основным методом был фишинг — когда человек получает фальшивое сообщение от своего банка или почтового сервиса с просьбой отправить пароли и персональные данные. Или, кликнув на присланную ссылку, сгружает на свой компьютер вирус.

Crowdstrike присвоил хакерам новые имена — APT29 стал именоваться Cozy Bear («Уютный Медведь»), а APT28Fancy Bear («Модный Медведь»). Эти странные названия на самом деле отражают для Crowdstrike систему классификации хакерских группировок. Как поясняет Альперович, медведь — это Россия, панда — Китай, тигр — Индия, а котенок — Иран. Определения cozy и fancy отражают методы, используемые хакерами. Например, fancy — отсылка к методу Sofacy — крайне эффективному вирусу, который при скачивании способен брать под контроль компьютер жертвы.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Однако Альперович пошел дальше технического анализа. В отчете он прямо заявил: операцию по взлому Демократической партии вели российские спецслужбы. По мнению Crowdstrike, за Fancy Bear стоит Главное разведуправление Генштаба РФ, а за Cozy Bear — ФСБ.

В мире специалистов по кибершпионажу есть одно ужасное слово — почти проклятье. Это английский термин attribution, то есть идентификация того, кто стоит за хакерской атакой. Это Святой Грааль эксперта — прекрасная, но практически недостижимая цель. Технический анализ позволяет воссоздать картину атаки, найти похожие прецеденты, но почти никогда не дает стопроцентного ответа на вопрос, кто атаковал систему. Ни авторство вирусов, ни местонахождение серверов ничего не значат: сирийские спецслужбы уже несколько лет используют для взлома скайп-аккаунтов местных активистов вирус, написанный французским хакером. А серверы можно анонимно арендовать во множестве стран.

История российских хакерских атак делает атрибуцию еще более трудной. В отличие от Китая, кибератаки в интересах Кремля часто проводят группы, которые формально не имеют отношения к государству. Одна из первых громких кибератак — это удар по серверам Эстонии после переноса памятника Неизвестному Солдату в 2007 году. Она была спланирована активистами движения «Наши». Но чиновники разных стран долго воздерживались от прямых обвинений в адрес Кремля. Об истинной природе атаки комиссар движения «Наши» Константин Голоскоков гордо рассказал лишь спустя несколько лет в интервью The Financial Times.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

После атаки на Национальный демократический комитет правила изменились. The Washington Post прямо обвинила в организации атаки хакеров, за спиной которых стоит российское государство, а Альперович назвал спецслужбы — ФСБ и ГРУ.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Реакция последовала мгновенно. Пресс-секретарь президента Дмитрий Песков заявил Reuters: он полностью исключает, «что российское правительство или правительственные службы участвовали в этом». Этот лукавый комментарий, впрочем, не исключал участия неправительственных структур. На следующий день некто Guccifer 2.0 заявил, что это он, а не русские хакеры, как утверждал Альперович, взломал серверы Демократической партии. В качестве доказательства он выложил отчет партии о Дональде Трампе, список спонсоров и ссылки на документы, украденные из сети демократов.

Эксперты сразу же оценили действия Guccifer 2.0 как операцию прикрытия, с помощью которой заказчики кибератак пытались замести следы. Но сделали они это в спешке и неаккуратно: на первой же проверке «хакер» засыпался. В чате с изданием Motherboard он отрицал, что имеет хоть какое-то отношение к России, и заявил, что сам из Румынии. Журналист, с которым он общается, оказался румынского происхождения, и те несколько фраз, которые хакер написал по-румынски, содержали слишком много ошибок для носителя языка.

Через неделю, 22 июня, в игру вступил WikiLeaks — сайт Джулиана Ассанжа выложил около 20 тысяч украденных документов и писем функционеров-демократов. Дата была выбрана неслучайно — через три дня начинался съезд Демократической партии, и такая информация неизбежно должна была вызвать большой скандал. Так и произошло. Перехваченная переписка показала, что сотрудники комитета работали против главного внутрипартийного конкурента Хиллари Клинтон — Берни Сандерса — и даже позволяли себе негативные отзывы о нем и его избирательной кампании. В результате Национальному комитету пришлось публично извиниться перед Сандерсом за недопустимое поведение, а его глава Дебби Вассерман-Шульц ушла в отставку.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Лидеры демократов продолжали настаивать, что за хакерской атакой стоит Кремль. Их поддержали представители ФБР, подключившиеся к расследованию, и западные эксперты по кибербезопасности. По мнению экспертов, картина выглядела следующим образом: российские спецслужбы — заказчики атак — наметили цели и предоставили хакерам свою поддержку и ресурсы. Потом они слили украденные хакерами документы на WikiLeaks и другие сайты. То, что за атаками стоят именно российские спецслужбы, по мнению экспертов, доказывает многолетняя история APT29 и APT28 — они взламывали системы, которые чаще всего представляли интерес для российского государства, не имея при этом коммерческой ценности. Давний критик Кремля, Хиллари Клинтон много раз нелестно отзывалась о российском президенте и его политике. Целью операции, как считают многие, был подрыв позиции Клинтон накануне партийного съезда.

Джулиан Ассанж немедленно открестился от обвинений в связях с Россий, сказав, что WikiLeaks публикует любую утечку, не интересуясь ее источником. Кремль же свое участие во взломах отрицал полностью. В начале сентября Владимир Путин в интервью Bloomberg опроверг подозрения о причастности России: «Разве это важно, кто взломал какие-то данные из предвыборного штаба госпожи Клинтон? Разве это важно? Важно, что является содержанием того, что было предъявлено общественности. Вот вокруг этого должна вестись дискуссия на самом деле. Не нужно уводить внимание общественности от сути проблемы, подменяя какими-то второстепенными вопросами, связанными с поиском того, кто это сделал. Но хочу вам еще раз сказать: мне об этом точно совершенно ничего неизвестно, и на государственном уровне Россия никогда этим не занимается».

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Возможно, первоначальный план тех, кто приказал взломать Национальный демократический комитет, действительно предполагал большой скандал вокруг содержимого украденной переписки — о чем и говорил Владимир Путин. Еще в апреле для публикации украденных документов был создан сайт DCLeaks.com — именно он должен был стать главным источником новостей. Но оказалось, что американское общественное мнение больше сосредоточилось на самом факте взлома. Важнее содержимого перехваченных писем оказался тот факт, что в американские президентские выборы может вмешаться другая страна, и этой страной стала Россия. Кремль и Путин лично вдруг оказались важными игроками избирательной кампании, и американцы бросились обсуждать, насколько серьезно Путин поддерживает Трампа и будет ли новая хакерская атака накануне или во время выборов.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

То, чего так долго добивались в Кремле, случилось — Путин стал важным геополитическим политическим игроком, прямо влияющим на самые важные выборы в самой могущественной стране мира. А вскоре то, что выглядело поначалу просто как укол Клинтон, вдруг стало превращаться в стратегию.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Взломы следовали один за другим. В ответ на скандал вокруг использования российскими спортсменами допинга была взломана внутренняя система Всемирного антидопингового агентства. Эксперты мгновенно определили хакерскую группировку — Fancy Bear (APT28), которая как будто и не слишком маскировала свои действия. Затем в ответ на доклад международной следственной группы о сбитом над Украиной самолете MH17 были атакованы независимые расследователи из проекта Bellingcat и сотрудничающий с ними активист Руслан Левиев. И снова виновными были названы российские хакеры.

Русский след эксперты обнаружили в августовских атаках на системы регистрации избирателей в штатах Иллинойс и Аризона. Хотя преступникам не удалось ничего подменить, атака скомпрометировала базы данных, поскольку хакерам удалось завладеть информацией о некоторых избирателях. Именно в этой атаке впервые обнаружился российский гражданин. Занимавшаяся анализом взлома компания ThreatConnect отследила, что несколько IP-адресов, использованные в хакерских атаках против Иллинойса и Аризоны, ведут к российскому хостинг-провайдеру King Servers. Газета The New York Times нашла владельца этой компании — им оказался 26-летний Владимир Фоменко, живущий в городе Бийске Алтайского края. Он полностью отрицал свою причастность к взломам и даже заявил, что готов предоставить ФБР все логи — техническую информацию о том, кто мог иметь отношение к этим IP-адресам.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Тем не менее его компания продолжила рекламировать свои серверы, расположенные в Нидерландах и США, на сайте forumantichat.ru — площадке, популярной среди спамеров и хакеров.

Впрочем, Фоменко вряд ли имел прямое отношение к взлому. Свои серверы он просто сдавал в аренду. Но он предоставил публике то, что не мог обеспечить технический анализ — российский след в этой истории. Остается вопрос: был ли этот след оставлен случайно, по ошибке, или намеренно.

2016 год кардинально изменил правила игры для хакеров, действующих в интересах государства. Раньше отсутствие прямых доказательств удерживало жертву от публичных обвинений в адрес государства, которое стоит за атакой. Теперь же такие обвинения звучат от официальных лиц. С другой стороны, факт взлома, а также то, что атака может повториться, вдруг оказались важней тех документов, которые хакерам удалось украсть. История взлома Демократической партии показала, что враг может вмешаться в американские выборы, и это обсуждается намного больше, чем дрязги демократов, опубликованные хакерами. До сих пор никто не пытался атаковать избирательные системы США. Но сама идея, что хакеры могут попытаться скомпрометировать выборы в Америке, — это чрезвычайно серьезное послание. Правила реагирования на подобные взломы никем в мире пока не прописаны.