Идеальное оружие: как российская кибердержава вторглась в США
Мировые кибервойны
19.12.2016
Эрик Липтон (Eric Lipton), Дэвид Сэнгер (David Sanger), Скотт Шейн (Scott Shane)
Вашингтон. — Когда в сентябре 2015 года специальный агент Эдриэн Хокинс (Adrian Hawkins) из Федерального бюро расследований позвонил в национальный комитет Демократической партии (НКДП), чтобы сообщить тревожные новости, касавшиеся компьютерных сетей комитета, его, как это обычно бывает, соединили со службой технической поддержки.
Его сообщение было коротким и тревожным. По крайней мере одна компьютерная система, принадлежащая НКДП, была взломана группой хакеров, занимающейся кибершпионажем и связанной с российским правительством, которую агенты ФБР назвали «The Dukes».
ФБР точно это знало: это агентство потратило несколько лет на попытки выбить хакеров The Dukes из незасекреченных систем электронной почты Белого дома, Госдепартамента и даже Комитета начальников штабов — одной из самых хорошо защищенных правительственных сетей.
Яред Тамин (Yared Tamene), сотрудник службы технической поддержки НКДП, который принял звонок, не был экспертом по кибератакам. Он сначала набрал в строке поиска Google «the Dukes», а затем провел поверхностную проверку системного журнала НКДП в поисках следов хакерской атаки. По его словам, он не стал проводить тщательную проверку, даже несмотря на то, что в течение следующих нескольких недель спецагент Хокинс звонил несколько раз — отчасти потому что он не был уверен, что ему звонил настоящий агент ФБР, а не мошенник.
«Я никак не мог проверить, кто со мной говорит, поэтому я принял все это за телефонный розыгрыш», — написал г-н Тамин в служебной записке, в которой он подробно изложил содержание своих разговоров с агентом ФБР.
Это стало первой ласточкой кибершпионской кампании и информационной войны, которые в конечном итоге были призваны нарушить ход президентских выборов 2016 года — первой подобной попыткой, предпринятой иностранной державой, в американской истории. По мнению представителей разведки, то, что начиналось как операция по сбору информации, позже переросло в попытки навредить одному кандидату, Хиллари Клинтон, и повысить шансы на победу другого кандидата, Дональда Трампа.
Подобно другому известному предвыборному скандалу в Америке, все началось с вторжения в системы НКДП. 44 года назад в прежних помещениях штаб-квартиры НКДП, расположенных в комплексе Уотергейт, взломщики установили подслушивающие устройства и взломали шкаф с документами. На этот раз взлом был совершен удаленно, под руководством Кремля и с применением инструментов выборочного фишинга, нулей и единиц.
Издание The New York Times изучило подробности российской операции — на основании интервью с десятками чиновников, ставших жертвами этой атаки, чиновниками разведки, которые занимались расследованием этой операции, и чиновниками администрации Обамы, которые занимаются разработкой наиболее подходящего ответа на эту атаку — и обнаружило факты игнорирования тревожных сигналов, слишком медленной реакции и недооценки серьезности кибератаки.
Такое неуклюжее взаимодействие НКДП с ФБР говорит о том, что реальный шанс остановить кибервторжение России был упущен. Неспособность оценить масштаб атак помешала минимизировать их воздействие. А неготовность Белого дома дать решительный отпор привела к тому, что Россия не заплатила высокую цену за свое вторжение, что может оказаться ключевым фактором в попытках сдержать будущие кибератаки.
Чрезмерно мягкий подход ФБР к российским атакам привел к тому, что в течение нескольких месяцев хакеры свободно курсировали по сетям комитета, прежде чем руководство НКДП узнало об атаках и пригласило экспертов по кибербезопасности, чтобы те смогли защитить их компьютерные сети. Между тем, хакеры переключились на мишени за пределами НКДП, включая главу предвыборного штаба г-жи Клинтон Джона Подесты (John D. Podesta), чей частный аккаунт электронной почты был взломан спустя несколько месяцев.
Даже г-н Подеста, опытный вашингтонский инсайдер, который в 2014 году составил для президента Обамы доклад о защите личной информации в киберпространстве, не сразу осознал всю серьезность этой хакерской атаки.
К лету демократы в бессильной ярости наблюдали за тем, как день за днем в сети появлялись их личные письма и конфиденциальные документы, предоставленные агентами российской разведки, опубликованные на сайте WikiLeaks и других подобных сайтах, а затем распространявшиеся американскими СМИ, включая The New York Times. Г-н Трамп охотно цитировал множество похищенных писем и документов в ходе своей предвыборной кампании.
Последствиями всего этого стали уход в отставку председателя НКДП Дебби Вассерман-Шульц (Debbie Wasserman Schultz) и большинства ее помощников. На пике предвыборной кампании многие влиятельные демократы оказались вне игры, поскольку им пришлось замолчать после публикации компрометирующих электронных писем или заняться устранением последствий хакерских атак. Хотя общественность почти этого не заметила, но конфиденциальные документы, похищенные российскими хакерами у родственной НКДП организации, Комитета по выборам в Конгресс Демократической партии США, всплыли в ходе предвыборных кампаний в десятках штатов, запятнав некоторые из них скандальными обвинениями.
В последние несколько дней скептически настроенный избранный президент, национальные разведывательные агентства и две ведущие партии США оказались втянутыми в невероятный публичный спор вокруг доказательств того, что президент России Владимир Путин вышел за рамки простого шпионажа и сознательно стремился подорвать основы американской демократии, попытавшись выбрать победителя на президентских выборах в США.
Многие из ближайших помощников г-жи Клинтон считают, что вмешательство России оказало серьезнейшее влияние на ход выборов, хотя при этом они признают, что важную роль сыграли и другие факторы, такие как слабость г-жи Клинтон как кандидата, ее частный сервер электронной почты, публичные заявления директора ФБР Джеймса Коми (James B. Comey) о том, как она обращалась с секретной информацией.
Хотя узнать точно, каким оказался конечный результат хакерских атак России, невозможно, ясно одно: малозатратное и высокоэффективное оружие, которое Россия испытала на выборах на Украине и в Европе, было с невероятным успехом применено в США. Для России, экономика которой сейчас переживает тяжелые времена и которая не может применить свой ядерный арсенал, не спровоцировав полномасштабную войну, кибероружие оказалось идеальным вариантом: оно дешево в использовании, его применение трудно спрогнозировать и так же трудно отследить.
«Сейчас ни у кого не должно остаться никаких сомнений, — сказал адмирал Майкл Роджерс (Michael S. Rogers), директор Агентства национальной безопасности и глава Кибернетического командования США, в ходе одной из пресс-конференций. — Это не было сделано непредумышленно, это не было сделано случайно, и цель была выбрана вовсе не произвольно. Это была сознательная попытка государства добиться определенного воздействия».
Людей, чьи электронные письма были украдены, эта новая форма политического саботажа шокировала, оказав при этом воздействие на их профессиональную карьеру. Нира Танден (Neera Tanden), президент Центра американского прогресса и один из ключевых сторонников Клинтон, вспоминает, как, заходя в оживленные офисы предвыборного штаба Клинтон, она испытывала стыд и унижение, когда на фоне ее фотографии на экранах эксперты обсуждали ее украденное электронное письмо, в котором она назвала порывы г-жи Клинтон «неоптимальными».
«Это был удар исподтишка, который нам наносили каждый день, — сказала г-жа Танден. — Это был самый тяжелый период в моей профессиональной карьере».
Между тем, США тоже не раз проводили кибератаки, и в прошлом ЦРУ неоднократно пыталось оказывать влияние на ход выборов в иностранных государствах. Однако большинство представителей американских политических кругов считают российскую киберкампанию зловещей исторической вехой. Исключением в этом смысле стал г-н Трамп, который отверг выводы разведывательных сообществ, сочтя их «нелепыми» и заявив, что хакером, взломавшим сети, мог стать кто угодно.
Г-н Трамп сослался на разногласия, существующие между агентствами в вопросе о том, хотел ли г-н Путин помочь ему выиграть на выборах или нет. Во вторник, 13 декабря, представитель российского правительства тоже выразила свое несогласие с выводами американских разведывательных служб.
«Эта история со „взломами“ похожа на банальную разборку между американскими силовиками за сферы влияния», — написала представительница МИД России Мария Захарова на своей странице в Фейсбуке.
На выходных четверо влиятельных сенаторов — двое республиканцев и двое демократов — объединили силы, чтобы провести расследование, проигнорировав скептические высказывания г-на Трампа.
«Демократы и республиканцы должны работать вместе в рамках Конгресса, чтобы тщательно изучить эти недавние инциденты и разработать комплексные меры, которые позволят предотвратить и отразить подобные атаки в будущем», — заявили сенаторы Джон Маккейн (John McCain), Линдси Грэхэм (Lindsey Graham), Чак Шумер (Chuck Schumer) и Джек Рид (Jack Reed).
«Этим не должна заниматься только одна партия, — добавили они. — Ставки для нашей страны слишком высоки».
Жертва вторжения
На цокольном этаже штаб-квартиры НКДП, под гигантским портретом улыбающегося Барака Обамы 2012 года, стоит шкаф для хранения документов, оставшийся там еще с 1960-х годов, на нижнем ящике которого нет ручки. И только вставленная в рамку газетная вырезка, висящая на стене, намекает на значимость этого старого предмета офисной мебели.
«Советник Республиканской партии по вопросам безопасности стал одним из 5 арестованных по делу о прослушке», — говорится в заголовке статьи The Washington Post от 19 июня 1972 года, которую написали Боб Вудворд (Bob Woodward) и Карл Бернштейн (Carl Bernstein).
37-летний Эндрю Браун (Andrew Brown), руководитель отдела технологий НКДП, родился уже после того знаменитого инцидента с взломом. Однако когда он начинал готовиться к предвыборной кампании, он понимал, что НКДП вполне может снова оказаться мишенью для взлома.
Как признают г-н Браун и его начальство в НКДП, с одной стороны, у них было сильное желание укрепить системы обеспечения кибербезопасности комитета против потенциальных взломщиков, с другой — реальность: НКДП — это некоммерческая группа, которая зависит от пожертвований, и на обеспечение безопасности выделялась лишь крохотная доля средств, которые обычно выделяются на подобные нужды в корпорациях такого же масштаба.
«У нас никогда не было достаточно денег для того, чтобы сделать все, что мы хотели», — добавил г-н Браун.
В системах НКДП стояла стандартная система фильтрации спама, которая должна блокировать фишинговые атаки и вредоносные программы, очень похожие на обыкновенные электронные письма. Однако когда российские хакеры начали наступление на НКДП, в распоряжении комитета не было новейших систем для отслеживания подозрительного траффика, о чем свидетельствуют внутренние служебные записки НКДП.
Г-н Тамин, который находится в подчинении у г-на Брауна и который принял звонок от агента ФБР, работал в НКДП не на полную ставку: он является сотрудником чикагской фирмы The MIS Department. Именно ему пришлось — в сущности, в одиночку — решать, как действовать дальше и был ли человек, с которым его соединили, настоящим агентом ФБР.
«ФБР считает, что как минимум один компьютер сети НКДП был скомпрометирован. ФБР хочет узнать, известно ли об этом НКДП и, если известно, какие меры в связи с этим предпринимает комитет», — написал г-н Тамин в служебной записке, где он изложил содержание своих разговоров с ФБР. Он добавил: «Спецагент попросил меня поискать конкретную разновидность вредоносной программы, которую в кругах американской разведки и служб кибербезопасности называют „Dukes“».
Отчасти проблема заключалась в том, что специальный агент Хокинс не пришел лично в НКДП. Он также не отправил электронные письма другим сотрудникам и руководству комитета, поскольку хакеры могли проследить письма с информацией о том, что ФБР известно об их атаках.
Первое сканирование системы НКДП, которое запустил г-н Тамин — в тот момент набор имеющихся в его распоряжении средств был неоптимальным, а информация от ФБР — неполной — ничего не показало. Поэтому, когда специальный агент Хокинс снова несколько раз позвонил в октябре, оставляя голосовые сообщения для г-на Тамина с просьбой перезвонить, «я не стал перезванивать, потому что мне было нечего ему сообщить», как объяснил г-н Тамин в своей служебной записке.
В ноябре спецагент Хокинс позвонил, чтобы сообщить более тревожные новости. Как написал г-н Тамин в своей записке, один компьютер НКДП «звонил домой, где дом означал Россию», имея в виду, что некая программа отправляла информацию в Москву. «Спецагент Хокинс добавил, что ФБР полагает, что этот факт отправки информации в Россию мог стать результатом санкционированной государством хакерской атаки».
Г-н Браун знал, что г-н Тамин, отказавшийся прокомментировать ситуацию, получал звонки от ФБР. Однако в тот момент он занимался другой проблемой: он пытался проверить данные о том, что члены предвыборного штаба Берни Сандерса (Bernie Sanders), главного соперника г-жи Клинтон внутри Демократической партии, получили доступ к информации, касающейся ее предвыборной кампании.
Г-жа Вассерман-Шульц, которая тогда занимала пост председателя НКДП, и управляющая комитетом Эми Дейси (Amy Dacey) заявили в своих интервью, что, когда поступили первые сообщения о возможном взломе системы комитета, их никто об этом не уведомил.
Шон Генри (Shawn Henry), который в прошлом возглавлял один из отделов ФБР, а теперь является президентом CrowdStrike Services, фирмы, которую НКДП нанял в апреле для укрепления системы безопасности, отметил, что он был поражен тем, что ФБР не связалось с более высокопоставленным чиновником в НКДП и не отправило своего агента в штаб-квартиру комитета, чтобы попытаться добиться более решительной реакции.
«Речь не идет об офисе, который расположен посреди лесов Монтаны, — добавил г-н Генри. — Мы говорим о штаб-квартире, находящейся в полумиле от офиса ФБР, который должен был уведомить комитет».
«Это не семейный магазин и не местная библиотека. Это ключевое звено американской инфраструктуры, потому что оно имеет отношение к процессу выборов в нашей стране, к нашим чиновникам, к нашему законодательному процессу, к нашей исполнительной власти, — добавил он. — С моей точки зрения, это чрезвычайно важное происшествие, и, если спустя пару месяцев вы не увидели результата, кто-то должен был перенести решение этого вопроса на более высокий уровень».
ФБР отказалось прокомментировать то, как оно отнеслось к информации о кибератаках. «ФБР очень серьезно относится к любым взломам систем частного и государственного секторов», — говорится в его заявлении, где также указано, что агенты «продолжат обмениваться информацией», чтобы помочь потенциальным жертвам «обезопасить свои системы от действий киберпреступников».
К марту г-н Тамин и его команда как минимум дважды лично встретились с агентами ФБР, и теперь они точно знали, что г-н Хокинс действительно был агентом этой федеральной службы.
Позже другая группа связанных с Россией хакеров начала совершать атаки на НКДП и других деятелей политического мира США, в первую очередь на демократов. Билли Райнхарт (Billy Rinehart), бывший региональный директор НКДП, который в тот момент работал в предвыборном штабе г-жи Клинтон, получил странное электронное уведомление от Google.
«Кто-то только что воспользовался вашим паролем, чтобы войти в ваш аккаунт Google, — говорилось в письме от 22 марта, где также было сказано, что эта попытка была совершена с территории Украины. — Google пресек эту попытку входа. Вам необходимо немедленно сменить пароль».
В тот момент г-н Райнхарт был на Гавайях. Было 4 утра, и он проверял сообщения от своих коллег с Восточного побережья. Недолго думая, он нажал на «сменить пароль» и, с трудом справляясь с одолевавшим его сном, ввел новый пароль.
Однако только несколько месяцев спустя он узнал, что в тот момент он сам открыл российским хакерам доступ к своей электронной почте.
Сотни подобных фишинговых писем были разосланы самым разным американским политикам, включая г-на Подесту, главу предвыборного штаба г-жи Клинтон, который получил такое сообщение 19 марта. Учитывая то, сколько писем г-н Подеста получает на его личный электронный ящик, доступ к этому ящику был еще у нескольких его помощников. Один из его помощников обратил внимание на это письмо и переслал его специалисту по компьютерным сетям, чтобы убедиться в подлинности письма, прежде чем кто-то нажмет на кнопку «Сменить пароль».
«Это неподдельное уведомление, — ответил Чарльз Делаван (Charles Delavan), советник предвыборного штаба г-жи Клинтон, другому помощнику г-на Подесты, который тоже заметил это письмо. — Джону необходимо немедленно сменить пароль».
Еще один клик — и российские хакеры получили доступ ко всем электронным письмам, накопленным за десять лет на аккаунте г-на Подесты — всего около 60 тысяч. В своем интервью г-н Делаван сказал, что этот плохой совет стал результатом опечатки: он знал, что это фишинговая атака, поскольку члены предвыборного штаба постоянно получали подобные письма. По его словам, он хотел набрать слово «поддельное», и эта ошибка с тех пор не дает ему покоя.
Во время этой второй фишинговой волны хакеры получили доступ к сети Комитета по выборам в Конгресс Демократической партии США, а затем через виртуальную частную сеть и к главной компьютерной сети НКДП.
ФБР тоже заметило этот всплеск активности и снова связалось с г-ном Тамином, чтобы его предупредить. Однако г-н Тамин снова не увидел никаких причин для беспокойства: он нашел копии фишинговых электронных писем в спам-фильтре НКДП. Кроме того, по его словам, у него не было причин полагать, что компьютерные системы НКДП были взломаны.
Небольшого прогресса удалось добиться к середине апреля: спустя семь месяцев после первого предупреждения НКДП наконец установил «эффективный набор инструментов мониторинга», как говорится в служебной записке г-на Тамина.
Совершенствование приемов ведения скрытой кампании
В течение последних двух десятилетий руководство США регулярно получает предупреждения о том, что российские разведывательные агентства пытаются проникнуть в его самые засекреченные компьютерные сети. Но русским всегда удавалось быть на шаг впереди.
Их первая крупная атака была зафиксирована 7 октября 1996 года, когда оператор в Колорадском горном училище обнаружил следы ночной компьютерной активности, которую он не смог объяснить. Это училище тесно сотрудничало с ВМФ США, поэтому этот оператор оповестил представителей флота. Однако, как и два десятилетия спустя с сетями НКДП, сначала «никто не смог связать все факты в единое целое», как сказал Томас Рид (Thomas Rid) из Королевского колледжа в Лондоне, изучавший обстоятельства той атаки.
Следователи дали этой атаке имя — «Лабиринт лунного света» (Moonlight Maze) — и потратили два года на то, чтобы выяснить, как хакерам удалось проникнуть сначала в сети ВМФ, затем Министерства энергетики, ВВС и НАСА. В конечном итоге эксперты сделали вывод, что украденные файлы, если их распечатать и сложить в стопку, окажутся выше Мемориала Джорджа Вашингтона.
Но пока из рук американских оборонных агентств утекали данные о разработках в области оружия, мало кто мог представить себе, что будет дальше: набирающая мощь кампания кибератак по всему миру.
Однако в течение многих лет россияне редко попадали в поле зрения — в первую очередь благодаря китайцам, которые зачастую шли на гораздо больший риск и нередко попадались. Они украли чертежи истребителя-бомбардировщика F-35, множество корпоративных секретов и даже копии чертежей газопроводов, обеспечивающих газом большую часть США. А в период предвыборной кампании 2008 года китайская разведка взломала системы предвыборных штабов г-на Обамы и г-на Маккейна и выкрала множество внутренних документов и переписку. Однако они не стали публиковать эти документы.
Разумеется, россияне никуда не исчезли. «Просто они гораздо лучше умеют заметать следы», — сказал Кевин Мандиа (Kevin Mandia), бывший офицер разведки ВВС, который долгое время занимался борьбой с кибератаками россиян, а затем основал фирму Mandiant, которая сейчас входит в состав FireEye — компании, которую предвыборный штаб г-жи Клинтон нанял для защиты его электронных сетей.
Россияне также гораздо быстрее начали пользоваться кибератаками для достижения политических целей. Кибератака 2007 года в Эстонии — бывшей советской республике, вступившей в НАТО — показала, что Россия может парализовать страну, даже не пересекая ее границы. В 2008 году Россия использовала тактику кибератак в период войны с Грузией.
Однако американские чиновники даже представить себе не могли, что Россия посмеет применить эти приемы внутри США. Они в основном сосредоточились на предотвращении того, что бывший министр обороны Леон Панетта (Leon E. Panetta) назвал приближающимся «кибер Перл-Харбором» — выхода из строя электросетей или мобильных сетей, к примеру.
Но в 2014 и 2015 годах одна российская группа хакеров начала систематически атаковать Госдепартамент, Белый дом и Комитет начальников штабов. «И каждый раз они в той или иной мере добивались успеха», — написали Майкл Сулмейер (Michael Sulmeyer), бывший эксперт по вопросам кибербезопасности, работавший на Министерство обороны, и Бен Бьюкенен (Ben Buchanan) в своем исследовании, подготовленном для Фонда Карнеги, которое скоро должно быть опубликовано.
Российские хакеры непрерывно совершенствовали свои приемы, становясь все более незаметными: они заставляли правительственные компьютеры отправлять им данные и при этом мастерски маскировали свои электронные «команды», чтобы они не вызывали подозрений у тех, кто должен следить за возможными действиями злоумышленников. Госдепартамент так часто становился их мишенью, что ему несколько раз приходилось закрывать свои системы, чтобы удалить из них непрошенных гостей. В какой-то момент чиновники, отправившиеся в Вену с госсекретарем Джоном Керри на переговоры по иранской ядерной программе, даже создали коммерческие аккаунты в Gmail, просто чтобы общаться друг с другом и с репортерами.
Г-на Обаму регулярно информировали о происходящем, однако он принял решение, о котором теперь многие в Белом доме сожалеют: он не стал публично обвинять россиян и не стал вводить санкции. Для этого у него была причина: он не хотел эскалации кибервойны и считал, что США необходимо сотрудничество России на переговорах по Сирии.
«Мы постоянно проводили совещания, — сказал один бывший чиновник Госдепартамента, — на которых все говорили о том, что мы должны ответить россиянам и что наш ответ должен быть жестким. Но этого не случилось».
И Россия пошла на новый виток эскалации: на этот раз она вторглась в компьютерные сети США не просто с целью шпионажа, а чтобы опубликовать и распространить ту информацию, которую она там обнаружила — то есть с целью «доксинга», как его называют в киберкругах.
Это было резкой сменой тактики: Россия перешла от шпионажа к операциям влияния. В феврале 2014 года Россия распространила запись перехваченного телефонного разговора между заместителем госсекретаря Викторией Нуланд (Victoria Nuland), у которой, как известно весьма натянутые отношения с г-ном Путиным, и послом США на Украине Джеффри Пьяттом (Geoffrey Pyatt).
Они стали далеко не единственными, на ком Россия испытала свою стратегию «укради и обнародуй». Одной из жертв России стал фонд «Открытое общество» под руководством Джорджа Сороса (George Soros), и, после того как в сети появились некоторые документы фонда, выяснилось, что часть из них была изменена так, чтобы казалось, что этот фонд платит отдельным представителям российской оппозиции.
В прошлом году атаки России стали более агрессивными. Российские хакеры взломали системы крупного французского телеканала. Незадолго до Рождества они атаковали электросети на Украине, в результате чего вышли из строя запасные генераторы, и часть страны погрузилась во мрак. Оглядываясь назад, можно сказать, что это был предупредительный выстрел.
По словам г-на Сулмейера, эти атаки нельзя называть «военными операциями, проводимыми в рамках единого плана». Однако они продемонстрировали растущую уверенность России в своих силах.
Cozy Bear и Fancy Bear
За день до ужина Ассоциации корреспондентов Белого дома, управляющая НКДП г-жа Дейси готовилась к этому торжественному мероприятию, когда поступил срочный звонок.
После установки новой системы мониторинга г-н Тамин проверил административные журналы компьютерной системы НКДП и обнаружил нечто очень подозрительное: неавторизованное лицо в статусе администратора получило доступ к компьютерам НКДП.
«Не уверен, что это связано с тем, что заметили в ФБР, — говорится в одном из электронных писем НКДП, отправленном 29 апреля. — Возможно, на этой неделе НКДП подвергся серьезной хакерской атаке с кражей паролей и так далее».
Никто тогда не знал, насколько серьезной была эта атака, однако было ясно, что было похищено гораздо больше материалов, чем может поместиться в один шкаф для хранения документов. Сразу после этого была создана секретная комиссия, куда вошли г-жа Дейси, г-жа Вассерман-Шульц, г-н Браун и Майкл Суссман (Michael Sussmann), бывший прокурор Министерства юстиций США, специализирующийся на киберпреступлениях, который теперь работает в Perkins Coie, вашингтонской юридической фирме, занимающейся политическими вопросами НКДП.
«Три ключевых вопроса, — написал г-н Суссман своим клиентам вечером того дня, когда подтвердился факт хакерской атаки. — 1) К каким данным был получен доступ? 2) Как это было сделано? 3) Как мы можем это остановить?»
Г-н Суссман посоветовал своим клиентам не пользоваться электронной почтой НКДП, потому что был всего лишь один шанс блокировать хакеров — и этот шанс можно было упустить, если хакеры узнают, что эксперты НКДП за ними следят.
«У нас есть только один шанс поднять мост, — сказал г-н Суссман. — Если противники поймут, что мы знаем об их присутствии, они предпримут меры, чтобы скрыться и удалить следы своего присутствия».
НКДП немедленно нанял компанию CrowdStrike, специализирующуюся на обеспечении кибербезопасности, которая должна была просканировать их компьютеры, идентифицировать злоумышленников и создать с нуля новую компьютерную и телефонную сеть. Всего за один день, по словам г-на Суссмана, экспертам CrowdStrike удалось выяснить, что хакеры действовали из России.
Та работа, которую проводят подобные компании, очень похожа на компьютерную версию традиционного осмотра места преступления со снятием отпечатков пальцев, поисками гильз от пуль и образцов ДНК, вместо которых в данном случае выступают электронные следы, помогающие найти злоумышленников. И, подобно тому, как полицейские детективы со временем начинают распознавать характерный почерк того или иного грабителя, эксперты CrowdStrike нашли характерные следы работы хакерских групп Cozy Bear и Fancy Bear.
Именно так эксперты CrowdStrike называют две российские группы хакеров, которые, по их мнению, взломали сети НКДП. Группа Cozy Bear, которая также известна как «The Dukes» или A.P.T. 29 («постоянная продвинутая угроза»), может быть связана или не связана с ФСБ — организацией-преемницей КГБ — однако считается, что эта группа хакеров была создана российским правительством. Эта группа впервые появилась в 2014 году, как сказал Дмитрий Альперович (Dmitri Alperovitch), сооснователь и технический директор CrowdStrike.
По мнению экспертов CrowdStrike, именно хакеры Cozy Bear впервые проникли в системы НКДП летом 2015 года, разослав фишинговые письма во многие американские правительственные агентства, вашингтонские некоммерческие организации и в компании, работающие на правительство. Когда пользователь открывал фишинговое письмо, российские хакеры проникали в сеть и похищали интересующие их документы.
«Как только они проникли в системы НКДП, они обнаружили ценную информацию и решили продолжить операцию», — рассказал г-н Альперович, который родился в России и в подростковом возрасте переехал в США.
Группа Fancy Bear показала себя только в марте 2016 года: сначала она проникла в компьютерные сети Комитета по выборам в Конгресс Демократической партии США, а затем переключилась на НКДП. Группа Fancy Bear, которую иногда называют A.P.T. 28 и работой которой, по мнению некоторых, руководит ГРУ, российское агентство военной разведки, существует довольно давно — западные эксперты следят за ней уже почти целое десятилетие. Именно Fancy Bear взломала электронную почту г-на Подесты.
Идентификация хакеров-злоумышленников — это скорее искусство, чем наука. Зачастую почти невозможно определить виновника с абсолютной уверенностью. Однако со временем, в процессе накопления данных о хакерских методах и мишенях, становится возможным обнаруживать рецидивистов. К примеру, хакеры Fancy Bear взламывали военные и политические цели на Украине и в Грузии, а также военные объекты НАТО.
Это, по словам г-на Альперовича, позволяет исключить одиночных киберпреступников и большинство стран. «Нет никого, кто был бы заинтересован в этих мишенях, кроме России», — объяснил он. Еще одна подсказка заключается в том, что российские хакерские группировки, как правило, действуют тогда, когда в Москве разгар рабочего дня.
По словам г-на Альперовича, к своему удивлению эксперты CrowdStrike обнаружили признаки того, что эти две российские хакерские группы не координировали свои атаки. Хакеры Fancy Bear, очевидно, не подозревая о том, что хакеры Cozy Bear уже несколько месяцев копались в документах НКДП, похитили практически те же самые документы.
Через шесть недель после начала работы CrowdStrike в атмосфере абсолютной секретности компьютерная система НКДП была полностью заменена. Электронную почту и все телефоны отключили на выходные, а сотрудникам сообщили, что ведутся работы по обновлению системы. У сотрудников собрали все их ноутбуки, жесткие диски полностью очистили, а незараженные файлы установили на совершенно новые диски.
Хотя чиновники НКДП знали, то системы Комитета по выборам в Конгресс Демократической партии США тоже были заражены, они не стали оповещать эту родственную организацию, которая находится с ними в одном здании, опасаясь утечек.
Эти работы проводились в самый разгар борьбы между демократическими кандидатами — г-жой Клинтон и г-ном Сандерсом — и они вызывали серьезную тревогу у г-жи Вассерман-Шульц и управляющей НКДП.
«Это не просто помеха на пути к цели — мы сталкиваемся с помехами постоянно, — сказала она в своем интервью. — Два различных российских шпионских агентства взломали наши системы и украли наши данные. И мы пока даже не знаем, что именно они украли. Но мы знаем, что у них был свободный доступ к нашим сетям. Мы находимся в состоянии абсолютной неопределенности. Это пугает».
Руководители НКДП и их юрист впервые встретились с высокопоставленными чиновниками ФБР в середине июня, спустя девять месяцев после первого уведомительного звонка в службу технической поддержки комитета. Одним из первых требований, прозвучавших на этой встрече, стало требование к федеральному правительству как можно скорее идентифицировать злоумышленников и официально обвинить хакеров, связанных с российским правительством, в проведении этих атак, чтобы ясно дать всем понять, что это был не обыкновенный взлом системы, а акт шпионажа со стороны иностранного государства.
«В скором времени здесь пройдут выборы, и вы знаете, что русские взломали системы НКДП, — сказал г-н Суссман, вспоминая те требования, которые прозвучали в адрес ФРБ на той встрече. — Мы должны сообщить об этом американской общественности. И как можно скорее».
Роль СМИ
В середине июня, по совету г-на Суссмана, лидеры НКДП решили пойти на смелый шаг. Обеспокоенные тем, что информация о взломе систем может каким-то образом просочиться в прессу, они решили самостоятельно ее обнародовать и обратились в издание The Washington Post, сообщив ему, что системы комитета были атакованы хакерами. Они надеялись, что таким образом они смогут немного опередить события, заслужить некоторую симпатию или сочувствие избирателей и вновь полностью сосредоточиться на предвыборной кампании.
Однако на следующий день их ожидало новое потрясение. Некто, называющий себя Guccifer 2.0, объявил в сети, что именно он взломал системы НКДП, и в качестве подтверждения выложил конфиденциальный доклад о г-не Трампе и еще несколько документов комитета.
«И это лишь крохотная часть всех тех документов, которые я скачал из систем демократов», — написал он. А затем он сообщил нечто, еще более пугающее: «Основную часть документов, тысячи файлов и электронных писем, я передал WikiLeaks. Они их скоро опубликуют».
Тот факт, что российские хакеры шпионят, находясь внутри систем НКДП, сам по себе причинял массу беспокойства. Но теперь публикация секретных документов превратила традиционную шпионскую операцию в нечто, гораздо более зловещее: политический саботаж, непредсказуемую, неконтролируемую угрозу для Демократической партии.
Guccifer 2.0 позаимствовал свой псевдоним у румынского хакера, который называл себя Guccifer и попал в тюрьму за взлом личных компьютеров бывшего президента Джоржа Буша, бывшего госсекретаря Колина Пауэлла и других влиятельных чиновников. Guccifer 2.0, по всей видимости, хотел показать, что эксперты CrowdStrike, работавшие в НКДП, ошиблись, обвинив в кибератаках Россию. Guccifer 2.0 назвал себя «хакером-одиночкой» и высмеял экспертов CrowdStrike за то, что они назвали хакерские атаки на системы комитета «изощренными».
Однако эксперты быстро опровергли его версию. Лоренцо Франчески-Биккераи (Lorenzo Franceschi-Bicchierai), один из авторов сайта Motherboard, попытался связаться с Guccifer 2.0, отправив ему сообщение в Твиттере.
«К моему удивлению, он сразу же ответил мне», — сказал г-н Франчески-Биккераи. Но кто бы ни был на другом конце, этот человек, по всей видимости, просто смеялся над ним. «Я спросил его, зачем он это сделал, и он ответил, что хотел разоблачить иллюминатов. Он назвал себя любителем Gucci. И сказал, что он из Румынии».
И тогда г-ну Франчески-Биккераи пришла в голову идея. Воспользовавшись переводчиком Google, он отправил предполагаемому хакеру несколько вопросов на румынском языке. Хакер ответил ему тоже на румынском. Однако позже г-н Франчески-Биккераи показал эти ответы нескольким носителям языка, которые сказали ему, что Guccifer 2.0 тоже воспользовался переводчиком Google — то есть он не был румыном.
Эксперты в области кибербезопасности обнаружили еще несколько зацепок, которые указывали на Россию. Документы Microsoft Word, опубликованные Guccifer 2.0, редактировались человеком, который называл себя Феликсом Эдмундовичем — в честь основателя советской секретной полиции Феликса Эдмундовича Дзержинского. Неработающие ссылки в документах были помечены предупреждениями на русском языке, очевидно, созданными в русскоязычной версии Word.
http://inosmi.ru/politic/20161219/238409546.html