Российские хакеры атакуют США. Это серьезно?
Кто мог взломать переписку американских демократов
После того как штаб Хиллари Клинтон обвинил Россию в причастности к взлому переписки демократов, которая на прошлой неделе была опубликована через WikiLeaks, в США всю неделю говорят о российских хакерах и влиянии Кремля на предвыборную кампанию. «Медуза» рассказывает, кто может стоять за взломом переписки и откуда взялся российский след.
22 июля проект Wikileaks выложил около 20 тысяч писем Демократического национального комитета — руководящего органа Демократической партии США. В переписке обнаружилось множество вещей, компрометирующих партию: от обсуждений, как навредить кампании Берни Сандерса (причем советы давали в том числе представители штаба Хиллари Клинтон), до вычитки текстов в популярных изданиях до публикации, что является грубейшим нарушением журналистской этики. В партии признали факт взлома еще в середине июня; в воскресенье, 24 июля, перед началом съезда Демократической партии в Филадельфии председатель Комитета Дебби Вассерман Шульц, которую обвинили в игре на стороне одной из потенциальных кандидатов в президенты, объявила, что после съезда покинет свой пост.
Как выяснила исследовательская организация Crowdstrike, взламывали демократов как минимум дважды, причем впервые — еще летом 2015 года. Исследователи обнаружили во взломе российский след и предположили, что за ним могут стоять российские спецслужбы. Штаб Хиллари Клинтон напрямую обвинил Кремль в том, что он с помощью хакерских атак помогает Дональду Трампу; после этого американская либеральная пресса наперебой стала писать о связях Трампа и Путина. Предположили даже, что можно ожидать взлома систем для подсчета голосов на выборах. И взлом, и реакция на него стали одним из главных за последнее время событий предвыборной кампании, однако до сих пор достоверно неизвестно, кто за ним стоял и действительно ли к этому имеют отношение российские спецслужбы.
Гуччифер 2.0
Ответственность за атаку на себя взял некий хакер (или хакерская группировка), известный как Guccifier 2.0. Псевдоним позаимствован у румынского хакера Марцела Лехела, ожидающего приговора в США за причастность ко взлому почтовых ящиков многих румынских и американских политиков. Тем не менее, никаких сведений о связи Guccifier 2.0 с Лехелом нет. Кто стоит за псевдонимом, неизвестно. На сайте хакера говорится, что он родился в Восточной Европе, а где живет сейчас, не имеет значения. По всей видимости, он как-то связан с Румынией — по крайней мере, в своем блоге хакер пишет, что считает Молдавию частью Румынии и отказывается думать об этой стране как об отдельном государстве. Guccifier 2.0 — большой поклонник оригинального Guccifier, в том числе и потому что предшественник ломал почтовые ящики политиков и предавал огласке содержание их переписки.
Guccifier 2.0 категорически отвергает какую-либо связь с Россией. По словам хакера, Демократическая партия заклеймила бы его «русским медведем», даже если бы он был католической монашкой. Он отмечает, что все последние громкие взломы неизменно приписывают россиянам, потому что используется один и тот же инструментарий, однако это легко объяснить — одними и теми же методами владеют хакеры по всему миру.
Также он напоминает, что списать взлом на действия иностранных спецслужб гораздо проще, чем признавать собственные ошибки в обеспечении безопасности. По его словам, не стоит забывать, что первой миф о «всемогущих российских хакерах» стала раздувать российская же антивирусная компания Kaspersky Lab. Для нее разгул киберпреступности из России — отличная реклама: нетрудно предположить, что только российская компания может справиться с российскими хакерами.
Хакер подчеркивает, что никому в предвыборной кампании в США не симпатизирует, хотя из записи в его блоге можно сделать вывод, что «лживая» Клинтон ему не нравится больше, чем Трамп. Guccifier 2.0 говорит, что не боится преследования ФБР и готов к нему: «Меня будет непросто поймать. Я принял все меры предосторожности. Да, все равно есть риск. Но я надеюсь, они меня не найдут».
Уютный мишка, модный мишка
Первые подробности о взломе рассказала исследовательская организация Crowdstrike, к которой Демократический национальный комитет обратился после того, как заметил признаки атаки. Как следует из подробного рассказа о взломе в блоге Crowdstrike, в системы Демократического национального комитета проникали как минимум дважды — причем разные люди.
Исследователи назвали условные группы хакеров «Уютный мишка» (COZY BEAR) и «Модный мишка» (FANCY BEAR). Первая предполагаемая группа проникла в системы демократов еще летом 2015 года и до июня этого года имела доступ к конфиденциальной информации партии. «Модный мишка» осуществил взлом только в апреле 2016-го. Как утверждают в Crowdstrike, две группы хакеров не знали ничего друг о друге и действовали независимо. Исследователи утверждают, что и те, и другие хакеры связаны с ФСБ, СВР и ГРУ — эти спецслужбы часто конкурируют между собой и могут проводить одинаковые операции, не зная друг о друге. Ранее Crowdstrike не раз писали про российских хакеров, связанных со спецслужбами; взломы, аналогичные этому, были выявлены в системах Белого дома, Госдепартамента и других госорганах США и других стран.
Версию Crowdstrike подробно разбирает другая исследовательская компания Threatconnect. Ее исследование базируется на анализе метаданных из переписки хакера Guccifier 2.0 с журналистом Кевином Кольером и других следов, которые оставил в интернете хакер. Переписку он вел с зарегистрированного из Франции бесплатного почтового адреса, и это, как отмечают в Threatconnect, наводит на мысли, что с журналистами общается не сам автор взлома (он использовал бы более защищенные каналы коммуникации), а не особо разбирающийся в компьютерной безопасности специалист по связям с прессой.
Дальнейшее исследование выявило, что Guccifier 2.0 использовал VPN, маскировавший его IP-адрес под французский, а фирма Elite VPN, которая предоставляла эти услуги, была из России. При этом на сайте Elite VPN нельзя выбрать тот же самый IP-адрес, который использовал хакер. Threatconnect делает вывод, что Guccifier 2.0 — как минимум не тот, за кого себя выдает, и за ним стоит некая команда, следы которой ведут в Россию.