Росію впіймали на гарячому, але вона відволікає увагу - експерти про хакерську атаку на США

ONLINE.UA
  |  У світі   |   Читать на русском
Росію впіймали на гарячому, але вона відволікає увагу - експерти про хакерську атаку на США
Иллюстрация: spychatter.com
З того часу, як цієї весни представники Національного комітету Демократичної партії вперше дізналися, що їхня база даних була зламана, все більше експертів і посадових осіб відзначали докази того, що в цьому винен уряд Росії.

Протягом декількох місяців ця історія робила дивовижні і часто химерні повороти, з кульмінацією у вигляді політичного скандалу, який розгорівся перед початком Національного з’їзду демократичної партії у Філадельфії 25 липня. Але дещо залишається постійним — зростаюча кількість даних судової експертизи про причетність російського уряду.


Бізнесмен і філантроп Макс Фішер в своїй статті для The New York Times розповів про всі наявні докази зв’язку злому мережі Національного комітету демократичної партії (DNC) з російськими службами безпеки, і про те, як Росія намагається відволікти від себе увагу.

Перші ознаки почалися в травні, коли комітет помітив незвичайну активність у себе в системі. Для розслідування вони найняли компанію CrowdStrike, яка займається кібербезпекою, і її експерти швидко знайшли джерело цієї активності — в кінці квітня група хакерів отримала доступ до бази даних комітету, яка містить компрометуючу інформацію про опонентів, і з якої були вилучені два файли з інформацією про Дональда Трампа, який пізніше став кандидатом в президенти США від Республіканської партії.

Слідчі встановили, що хакери були частиною групи APT 28, яка добре відома фахівцям у сфері кібербезпеки. Назва є абревіатурою "advanced persistent threat" (цілеспрямована стійка загроза — ред.), що, як правило, відноситься до урядових хакерів. Охоронні фірми і співробітники правоохоронних органів також використовували ім’я Fancy Bear, посилаючись на поширену думку про те, що група є у веденні військової розвідки Росії — ГРУ.

Слідство могло на цьому закінчитися, але CrowdStrike виявила ще одного, набагато більш непомітного шпигуна в комп’ютерах DNC — групу, відому як APT 29, або Cozy Bear, яка вважається більш професійною, і у якої простежувалися зв’язки з ФСБ — головною спадкоємицею КДБ.

У Cozy Bear, мабуть, був повний доступ до системи комітету протягом майже року (наступні розслідування, проведені двома іншими фірмами з кібербезпеки, підтвердили висновки CrowdStrike.)

Встановлення зв’язків злому з конкретною групою хакерів і зв’язків цієї групи з державними органами завжди ґрунтується на непрямих доказах. Але зібрані експертами докази зв’язку цих вторгнень з російськими відомствами були дуже сильними в порівнянні з іншими випадками.

Наприклад, група APT 28 часто використовує одну і ту ж тактику — реєструє домен, ім’я якого схоже на домен їх цілі, щоб обманним шляхом змусити користувачів розкрити свої паролі при вході в систему на неправильному сайті. В цьому випадку хакери створили misdepatrment.com — переставивши місцями дві літери (замість misdepartment.com — ред.), метою якого були користувачі відділу розробки інформаційної системи управління (MIS Department), який управляє внутрішньою мережею DNC.

Більш показово — хакери зв’язали цей домен з IP-адресою, яку вони використовували в попередніх порушеннях, давши експертам можливість знайти закономірності. Вони також використовували ті ж хакерські інструменти, які іноді містять унікальні ключі безпеки або шифрування — свого роду цифровий відбиток пальця. Ці відбитки пальців були знайдені в інших зломах, як, наприклад, атака на сайт парламенту Німеччини в 2015 році, яка, за словами служби розвідки країни, ймовірно, була проведена Росією, зокрема APT 28.

APT 28 і APT 29 використовували методи, які "відповідають можливостям національного державного рівня", згідно зі звітом CrowdStrike, і вони орієнтовані на іноземних військових і контрактних військових в схемі, яка "точно відображає стратегічні інтереси російського уряду".

Інший звіт, виданий охоронною фірмою FireEye в липні 2015 року, зазначив, що хакери, мабуть, не були в мережі під час російських державних свят і працювали протягом часу, який збігається з російськими робочими годинами.

Такі втручання, нехай і тривожні, перебувають в межах очікуваних кордонів міжнародного шпигунства. Справа набула несподіваного обороту в червні, після того як посадові особи Демократичної партії, ймовірно, побачивши можливість показати Трампа в якості пріоритетного для Москви кандидата, розповіли про ймовірне російське втручання виданню The Washington Post.

Протягом 24 годин хтось під ім’ям Guccifer 2.0 створив блог на сайті WordPress і зробив надумане твердження, що саме він, а не Росія, несе відповідальність за злом мережі DNC, і зробив він це поодиноко.

Він також сказав, що вкрав тисячі внутрішніх електронних листів — перша публічна згадка про подібну крадіжку. Guccifer 2.0 представив докази, опублікувавши частину вкрадених документів і передавши інші новинним агентствам і Wikileaks. Його ім’я, сказав він, це данина поваги відомому румунському хакеру з псевдонімом Guccifer, який сидить у в’язниці з 2014 року.

Але надані Guccifer 2.0 документи, хоча і справжні, суперечать його твердженням, що він діяв сам, і навіть надали докази причетності російської держави. Наприклад, метадані деяких файлів показували, що вони були відкриті на комп’ютерах, в налаштуваннях яких основною мовою була російська. Інший був змінений за допомогою текстового процесора, зареєстрованого на Фелікса Едмундовича, прописаного кирилицею — відкритий натяк на Фелікса Едмундовича Дзержинського, засновника радянської таємної поліції.

Guccifer 2.0 спілкувався з журналістами, що кримінальні хакери практично не роблять. Він наполягав, що Росія не проникала в базу DNC — досить дивна заява, з урахуванням того, що він ніяк цього знати не міг. Під час обговорення того, як він здійснив злом, його коментарі були суперечливі і, на думку фахівців в області кібербезпеки, вони показали, що у нього немає достатніх технічних знань, щоб зрозуміти і, тим більше, зробити такі атаки. Він також стверджував, що він румун, але не зміг підтримати розмову на цій мові у відповідь на запит від репортера технологічного сайту Motherboard.

Але якщо Guccifer 2.0 не той, за кого себе видає, то як він отримав тисячі викрадених у комітету документів? І чому він бреше?

Компанія ThreatConnect, що займається аналізом систем безпеки, дійшла висновку, що Guccifer 2,0 — це "швидше за все, спроба дезінформації", спрямована на те, щоб поставити під сумнів відповідальність Росії. Пізніше виявилися метадані в повідомленнях електронної пошти Guccifer 2.0, які припускають, що він посилав їх через російські мережі, а також деякі паралелі з мережами, що використовуються російською групою ATP 28.

Широко популярна серед аналітиків у сфері кібербезпеки теорія полягає в тому, що російські спецслужби після того, як звіт The Washington Post розкрив їх причетність, створили Guccifer 2.0, щоб відвернути від себе увагу. Доводи на користь цього докладно описані в офіційній російській військовій доктрині, де містяться заклики до удавання і дезінформації, часто через так звані інформаційні операції, щоб посіяти сумніви і зберегти можливість заперечення провини.

Минулого тижня хакери оприлюднили близько 20 000 листів через інший канал — WikiLeaks, який має багаторічний досвід роботи очищення документів від викривальної інформації, тому цей випадок не надасть нових аналітичних даних. Але експерти в сфері безпеки кажуть, що у нас може бути більше можливостей отримати підказки — у хакерів був доступ до набагато більшої кількості даних, ніж ці листи, і після такого маневру минулого тижня може виникнути спокуса "злити" ще більше інформації.
+5
РЕКЛАМА
Статті
Вхiд