Расследования
Репортажи
Аналитика
  • USD92.26
  • EUR99.71
  • OIL87.19
Поддержите нас English
  • 1108

В расследовании дела о вмешательстве Москвы в выборы президента США новый поворот: найден ценный свидетель, причастный к созданию использованных российскими хакерами вредоносных программ, пишут в The New York Tines Эндрю Крамер и Эндрю Хиггинс. The Insider предлагает полный перевод статьи.

Хакер, известный только под интернетовским ником Profexer, старался не привлекать к себе внимание. Он писал компьютерные коды в одиночку, в своей квартире, и тайком продавал плоды своих трудов в анонимной сети — «Темной паутине», Dark Web. Прошедшей зимой он внезапно совсем исчез во тьме.Сообщения Profexer, которые изначально были доступны только небольшой группе его коллег-хакеров и киберпреступников, нуждавшихся в консультациях по программному обеспечению, исчезли в январе — через несколько дней после того, как американские разведслужбы публично признали написанную им программу одним из инструментов, примененных при взломе серверов Национального комитета Демократической партии.

Но когда исчез виртуальный Profexer, он появился во плоти — перепуганный человек, который, как утверждает украинская полиция, в начале этого года явился с повинной, а теперь стал свидетелем ФБР.«Не знаю, что теперь будет, — написал он в одном из последних сообщений, появившихся на сайте с ограниченным доступом перед тем, как он слался полиции. — Ничего хорошего не будет. Но я все еще жив».Это, насколько нам известно, первый живой свидетель на фоне огромного количества сухих технических подробностей, которые до сего момента полностью определяли характер расследования взлома серверов демократов и те горячие споры, которые возникли в связи с этим. Украинская полиция отказалась разглашать имя свидетеля или какие-либо еще детали за исключением того, что он живет в Украине и не арестован.

Нет свидетельств того, что Profexer работал на российские спецслужбы, по меньшей мере сознательно, но на них определенно работала написанная им вредоносная программа.

То, что в операции по взлому, которая, по убеждению Вашингтона, была устроена Москвой, использовали программу, разработанную в Украине — это государство, возможно, злейший из врагов Кремля, — в значительной мере проливает свет на методы, которыми российские спецслужбы ведут то, что западные разведки называют тайной кибервойной против США и Европы.

Эти методы не предполагают создания компактной группы нанятых государством специалистов, которые пишут свои собственные программные годы и проводят атаки в рабочие часы по московскому времени. Это значительно более свободно устроенная структура, которая привлекает на свою сторону таланты и приобретает хакерские инструменты везде, где может их найти.

С помощью украинского свидетеля можно получить более точное представление о хакерской группе, известной как Advanced Persistent Threat 28 или Fancy Bear (в США считают, что она связана с российским государством). Именно эту группу, которой, по мнению американской разведки, руководит ГРУ, обвиняют (наряду с другой российской группой, известной как Cozy Bear) во взломе серверов Национального комитета демократов.

Структуры-близнецы Fancy Bear и Cozy Bear действовали не так, как любые другие военные подразделения: вместо того чтобы обучать, вооружать и развертывать персонал для выполнения конкретного задания, они работали в большей степени как организационные и финансовые центры; значительная часть работы — такой, как написание кодов, — отдавалась на аутсорсинг частным лицам и группам, часто из криминальной среды.

Российский испытательный полигон

Кибератаки против различных объектов — серверов НАТО, электросетей, исследовательских центров, критически настроенных по отношению к России журналистов и политических партий — на Западе и в постсоветских странах, предположительно направляемые из России, расследуют уже больше десятилетия, но за это время спецслужбы всего мира вычислили лишь нескольких человек, непосредственно причастных к проведению таких атак или к созданию применяемого в их ходе кибероружия.

Отсутствие надежных свидетелей оставляет президенту Трампу и другим достаточные основания, чтобы высказывать сомнения в том, что Россия действительно причастна к взлому серверов Демократической партии.

«Не было и до сих пор не представлено ни одного технического свидетельства, которое связывало бы вредоносные программы, использованные при взломе Национального комитета демократов с ГРУ, ФСБ или каким-либо еще российским госорганом», — сказал автор книги о кибервойне Джеффри Карр.

Однако американские разведслужбы единодушно указывают на Россию.

В поисках выхода из этого тумана эксперты по кибербезопасности и сотрудники западных правоохранительных органов обратились к Украине — стране, которую Россия годами использовала как лабораторию для разнообразных политических операций, подобные которым позже проводила по всему миру; предвыборные взломы в США — не исключение.

Некоторые типы компьютерных вторжений, такие, как использование вредоносных программ для вывода из строя критической инфраструктуры или для похищения электронных писем, которые позже публикуют с целью повлиять на общественное мнение, впервые осуществлены именно в Украине, а уже затем — в Западной Европе и США.

Поэтому неудивительно, что в результате изучения кибервойны в Украине нашлись следы, важные для расследования взлома серверов демократов, и в том числе был обнаружен редкий свидетель.

После того как 29 декабря министерство внутренней безопасности США опубликовало техническое свидетельство взлома, которое указывало не столько на Россию, сколько на Украину, экспертам по безопасности поначалу оставалось только озадаченно чесать в затылке.

В своем первом отчете министерство сообщило лишь об одном образце вредоносного программного обеспечения, который считается индикатором причастности хакеров на службе у российского государства, но внешние эксперты заявили, что в российских предвыборных взломах применяли множество подобных программ.

Образец, представленный министерством, указывал на программу P.A.S. Web Shell — хакерский инструмент, который предлагали на руссскоязычных форумах в Dark Web; его применяли киберпреступники по всему бывшему Советскому Союзу. Автор программы — Profexer — хорошо известный среди хакеров технический специалист из Киева, о котором говорили с уважением и восхищением.

Profexer позволял бесплатно скачивать свою программу с сайта, который просил только о пожертвованиях в размере от $3 до $250. Настоящие деньги ему давала продажа доработанных версий для конкретных случаев применения и консультации по эффективному использованию программы, которые он давал хакерам. Остается неясным, насколько обширным было его взаимодействие с российской хакерской командой.

Когда министерство внутренней безопасности идентифицировало созданную им программу, Profexer быстро закрыл свой сайт и написал на закрытом форуме для хакеров Exploit, что он «не заинтересован в чрезмерном внимании к нему лично».

Вскоре появился некий намек на панику — он сообщил, что по прошествии шести дней все еще жив.Другой хакер, известный под ником Злой Санта, предположил, что американцы могли найти и арестовать его — вероятно, во время пересадки в аэропорту.

«Могло это быть или не могло — зависит только от политики, — ответил Profexer. — Если американцы захотят меня взять, они не будут ждать, пока я окажусь в аэропорту какой-то страны. Отношения между нашими странами настолько тесные, что меня по первому требованию арестуют прямо в моей кухне».

Руководитель украинской киберполиции Сергей Демедюк заявил в интервью, что Profexer сам пришел в полицию. Когда он начал с ней сотрудничать, он исчез с хакерских форумов — последнее сообщение в сети появилось 9 января. По словам Демедюка, полиция предоставила ФБР доступ к свидетелю. Один из четырех агентов бюро, расквартированных в американском посольстве в Киеве, — штатный специалист по компьютерной безопасности. ФБР отказалось это комментировать.

Profexer не был арестован, так как с точки зрения закона его деятельность лежит в «серой зоне»: он создавал вредоносные программы, но не пользовался ими, заявляет украинская полиция. Но он знал тех, кто пользовался, — по меньшей мере по их сетевым никам. «Он сказал нам, что создавал эти программы не для того, чтобы их использовали так, как это произошло», — заявил Демедюк.

Депутат Верховной Рады Анион Геращенко, тесно связанный со спецслужбами, утверждает, что с Profexer общались в сети или по телефону и что украинскому программисту заплатили за пользование доработанной версией программы, не сообщая, с какой целью, и уже после этого он узнал, что ее применили для взлома Национального комитета демократов.

Геращенко говорит об авторе лишь в самых общих чертах, чтобы защитить его безопасность; он называет его молодым человеком, жителем украинского провинциального города. Геращенко подтвердил, что автор добровольно пришел в полицию и сотрудничает с американским расследованием в качестве свидетеля. «Он был фрилансером, а теперь он ценный свидетель», — заявил Геращенко.

Медвежья берлога

Неизвестно, что именно Profexer рассказал украинским следователям и ФБР о российских хакерских операциях, но свидетельства, исходящие из Украины, сделали более четкими наши представления о группе Fancy Bear, она же Advanced Persistent Threat 28, управляемой ГРУ.

Известно, что делает Fancy Bear, но не имена тех, кто это делает. Одно из постоянных занятий группы — похищение электронных писем; она тесно сотрудничает с российскими государственными СМИ.Пройти по следу медведя до его берлоги пока не удавалось, не в последнюю очередь потому, что многие эксперты считают, что какого-то единого центра нет вообще.

Даже для такой технически искушенной компании, как Microsoft, найти в цифровой мешанине конкретные персоны оказалось практически невозможно. Чтобы уменьшить вред, наносимый операционным системам клиентов, в прошлом году компания подала в окружной суд Восточной Вирджинии иск против Fancy Bear, но обнаружила, что сражается с тенями.

Как написали юристы Microsoft, «так как обвиняемые использовали фальшивую контактную информацию, анонимные платежи в биткоинах, предварительно оплаченные кредитные карты, фальшивые имена и хитроумные технические средства, чтобы скрыть свою личность при создании и использовании интернет-доменов, их настоящие имена остаются неизвестными».

Тем не менее украинские власти, пусть и осторожно, чтобы не поссориться в администрацией Трампа, негласно сотрудничают с американскими следователями в их попытках выяснить, кто стоит за всем этим маскарадом.

Среди той информации, которой украинские следователи обменивались с американскими коллегами, были копии жестких дисков серверов Центризбиркома Украины, которые подверглись атаке в мае 2014 года во время президентских выборов. ФБР получило доказательство этого еще раньше, но о связанном с Россией предвыборном взломе до этого не сообщалось.

Следы одного и того же вредоносного кода — на этот раз программы под названием Sofacy — были обнаружены в атаке 2014 года в Украине и во взломе серверов демократов в США.

Интересно, что кибератака во время украинских выборов, которая, как выяснилось, была топорной работой российской телекомпании — «Первого канала», — непреднамеренно впутала в эту историю московские власти.

Хакеры загрузили на сервер украинского избиркома изображение, имитирующее страницу с результатами выборов. Эта фальшивая страница демонстрировала шокирующий результат: на выборах победил ярый враг России, ультраправый кандидат Дмитрий Ярош. На самом деле она набрал меньше 1% голосов избирателей.

Фальшивый итог выборов должен был стать частью пропагандистской картины, согласно которой в Украине теперь всем заправляют ультраправые и даже фашисты.

Фальшивую картину предполагалось продемонстрировать в момент закрытия избирательных участков, в 8 часов вечера, но украинская компания кибербезопасности InfoSafe за несколько минут до этого обнаружила вторжение и отключила сервер.

Тем не менее государственное телевидение в России сообщило о победе Яроша и показало фальшивую графику, ссылаясь на сайт избиркома, хотя на нем это изображение так и не появилось. Хакер явно заранее передал это изображение «Первому каналу», а его сотрудники не проверили, сработал ли на самом деле взлом.

«На мой взгляд, это очевидная связь между хакерами и российскими официальными лицами», — заявил Виктор Жора, директор InfoSafe — компании, которая первой обнаружила фальшивое изображение.Украинский эксперт Николай Коваль, по заданию государства расследовавший этот взлом, в 2015 году опубликовал результаты своего расследования в книге «Кибервойна в перспективе»; там он утверждает, что опознал вредоносную программу Soface.

ФБР получило копию жесткого диска, и этот образец был в его распоряжении двумя годами позже, когда компания кибербезопасности CrowdStrike опознала следы той же программы на серверах Национального комитета демократов.

«Это был первый удар», — сказал Виктор Жора об атаке на компьютеры Центризбиркома Украины. Украинская киберполиция также предоставила ФБР копии жестких дисков серверов, демонстрирующие возможные первоначальные попытки фишинговых атак, таких же, как атаки против Демократической партии во время американских выборов.

В 2016 году, через два года после предвыборных атак в Украине, хакеры при помощи тех же технологий взломали электронную почту Всемирного антидопингового агентства, обвинившего российских спортсменов в систематическом употреблении запрещенных препаратов.

Эта атака, по-видимому, тоже была тесно скоординирована с российским государственным телевидением, которое начало показывать хорошо подготовленные сюжеты о взломе почты ВАДА уже через несколько минут после того, как об этом объявили публично. На сайте, на котором появились письма, было указано, что они были добыты группой хакеров, называющей себя Fancy Bears.

Это был первый случай, когда о Fancy Bear стало известно.

Однако до сих пор группа Fancy Bear остается на редкость неуловимой. Чтобы сбить следствие со своего следа, группа претерпела ряд трансформаций, пополнила запасы вредоносного программного обеспечения, иногда выступала под различными масками. Эксперты считают, что одно из ее alter ego — «КиберБеркут», группа, предположительно учрежденная в Украине сторонниками пророссийского президента Виктора Януковича, свергнутого в 2014 году.

«КиберБеркут», несколько месяцев не подававший признаков жизни, дал о себе знать этим летом, когда набрали полный ход многочисленные расследования возможного сговора избирательного штаба Трампа с Москвой. «КиберБеркут» опубликовал похищенные электронные письма, которые, как утверждали хакерская группа и российские государственные СМИ, изобличали настоящий сговор — Хиллари Клинтон с Украиной.

Подпишитесь на нашу рассылку

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Safari