Кирилл Руков /

Как русские взламывают международную политику

«Русский хакер» постепенно отвоевывает позиции, потерянные с приходом в сеть «индийских гениев» и «китайской угрозы». Если в середине нулевых россияне стояли только за крупнейшими коммерческими взломами, то после кибератак на ПентагонХиллари Клинтон и WADA пресса заговорила о существовании «российских кибервойск», а конгресс США решил создать специальный комитет по борьбе с «тайным влиянием России». «Сноб» рассказывает, в каких международных взломах за последние годы обвиняют отечественных хакеров и насколько это обосновано

Фото: Kacper Pempel/REUTERS
Фото: Kacper Pempel/REUTERS
+T -
Поделиться:

35% мирового дохода от киберпреступлений — такова была доля русских хакеров в 2011 году. По подсчетам «Лаборатории Касперского», за последующие четыре года «русскоязычные» кибервзломщики заработали более 790 млн долларов. Среди их жертв и такие гиганты, как JPMogran Chase, Dow Jones, Nasdaq и даже Sony Pictures. Чаще всего русские мошенничают с кредитными картами или охотятся за инсайдерской информацией. За крупнейшие преступления такого рода в 2015 году были арестованы хакеры Роман Селезнев — сын депутата Госдумы, Владимир Дринкман и Евгений Никулин, который уже два месяца ждет в Праге решения об экстрадиции на родину, в Россию, или в США для суда.

Однако в последнее время хакерские атаки, в которых обвиняют россиян, все чаще связывают с политикой. В начале ноября Соединенные Штаты через прессу обвинили российских хакеров в намерениях «повлиять на исход выборов в ЕС». Прямо о российских планах «кибердиверсий» заявлял заместитель пресс-секретаря Белого дома Эрик Шульц. А на прошлой неделе IT-служба Еврокомиссии разослала журналистам письмо, в котором сообщила о DDOS-атаке — к сайту и серверу организации одновременно пытались подключиться тысячи компьютеров со всего мира, в здании Еврокомиссии два раза отключался интернет. Это произошло во время саммита ЕС с Украиной по вопросу безвизового режима. Ответственность за атаку на себя так никто не взял.

Репетиция: Белый дом, Пентагон, Франция, Украина

В апреле 2015 года утечка произошла в Белом доме: российские, как утверждает CNN, хакеры получили доступ к конфиденциальной, но не секретной информации аппарата президента США. В прессу она не попала.

В июне 2015 года ведущая аналитическая компания FireEye рассказала подробности об атаке на французский телеканал TV5Monde, вещание которого 8 апреля было прервано на 18 часов. Взлом совершили от имени «Киберхалифата» «Исламского государства»*, но в FireEye заявили, что за атакой стоит «малоизвестная группировка APT28». Эксперты утверждают, что APT28 имеет еще несколько имен: Sednit, Tsar Team, Sofacy, Pawn Storm, Fancy Bear. Последнее — наиболее распространенное. Группировку по косвенным признакам связали с российскими властями. По информации FireEye, ранее команда Fancy Bear уже атаковала сайты госорганов Грузии, Венгрии, Польши, объединения НАТО и ОБСЕ, а также журналистов, пишущих о Кавказе.

Август 2015-го. Очередная крупная утечка из Пентагона: взломщики получили данные Объединенного комитета начальников штабов и фрагменты переписок военнослужащих. Минобороны США сразу же обвинило в атаке русских: «Очевидный злой умысел хакеров в сочетании с высоким уровнем технического исполнения убедили Пентагон в том, что за этим стоит Россия».

23 декабря 2015 года в половине городов Ивано-Франковской области Украины на полдня отключился свет. Причиной стало «внешнее программное вмешательство» в автоматику электросети. Аналитики IT-компании iSight Partners назвали блэкаут Ивано-Франковска «поворотной точкой»: до этого использованный для атаки вирус BlackEnergy, авторство которого приписывают российской группе Sandworm, никогда не применялся для нанесения реального вреда инфраструктуре. В iSight также заявляли, что с 2013 по 2015 года группа Sandworm шпионила за правительством Украины, НАТО, польской энергетической компанией и «одной западноевропейской страной». По выборке скопированных хакерами документов специалисты сделали вывод, что операция имеет отношение к войне на юго-востоке Украины и преследует «российские национальные интересы». Отдельные небольшие утечки с 2014 года распространяла в сети команда «Киберберкут» — их публикации касались переписки украинских политиков. За два дня до президентских выборов хакеры заявляли о взломе ЦИК Украины. Аналитическая компания Crowdstrike в отчете за 2015 год связывала «Киберберкут» со спецслужбами России, а специалисты из Threatconnect называют группировку клоном Fancy Bear.

Активная фаза: Сирия, Германия, Демпартия США

С начала 2016 года русские хакеры, по версии Financial Times, «масштабно и системно» усилили кибератаку на оппозицию Башара Асада в Сирии. Эксперты вновь нашли следы уже упомянутых группировок. Весной атаке Pawn Storm подверглись «умеренные союзники России» в Европе, партия канцлера Германии Ангелы Меркель — «Христианско-демократический союз» и электронная почта его членов.

Летом, после долгих обещаний Джулиана Ассанжа продолжить «сливы» личных сообщений Хиллари Клинтон, WikiLeaks вдруг выложил в открытый доступ компрометирующую переписку членов Национального комитета — первую часть эпопеи вокруг Демократической партии США. В ней всплыли грязные факты из антипиар-кампании демократов в отношении другого кандидата в президенты, Берни Сандерса, а также свидетельства заказных публикаций в прессе. Аналитическая компания Crowdstrike впоследствии выяснила, что атак было две: группировки Fancy Bear и Cozy Bear зачем-то «дублировали» взломы друг друга. Специалисты связали нападение с российскими стратегическими интересами, а участие нескольких хакерских команд объяснили конкуренцией российских силовых ведомств. Кроме того, часть кода была собрана на российских серверах. Штаб кандидата в президенты от демократов Хиллари Клинтон сразу объявил, что взлом — результат игры русских на стороне республиканца Дональда Трампа. При этом Washington Post сообщал, что интерес у взломщиков вызвало именно досье, собранное демократами на эксцентричного миллиардера. Главе Нацкомитета демократов Дебби Вассерман-Шульц по итогам «слива» пришлось уйти в отставку.

Следующее нападение было совершено в августе на почтовые ящики журналистов The New York Times. Оно не вызвало широкого резонанса, но источники CNN тем не менее назвали его продолжением кампании хакеров против Демпартии. А в самом конце месяца состоялась вторая крупная инфраструктурная атака, в которой ФБР обвиняет россиян: хакеры на целую неделю вывели из строя системы регистрации избирателей в штатах Аризона и Иллинойс. С этого момента «российский киберслед» начал всплывать в прессе каждый месяц.

Допинговый скандал, взлом WADA, «кейс Подесты»

14 сентября хакеры из группировки Tzar Team (она же Fancy Bear) взломали служебную систему Всемирного антидопингового агентства (WADA) ADAMS, получив сведения о спортсменах — участниках Олимпиады в Рио-де-Жанейро. Фрагменты украденного архива Fancy Bear выложила на своем сайте. Так стало известно об употреблении допинга американскими спортсменами «в терапевтических целях», без дисквалификаций и штрафов: к примеру, теннисисткам Серене и Винус Уильямс было разрешено принимать даже амфетамин.

Все обвинения в причастности Москвы ко взлому пресс-секретарь Кремля Дмитрий Песков отрицал.

Месяцем раньше участники «допингового скандала» информаторы WADA бегунья Юлия Степанова и ее муж Виталий Степанов, бывший сотрудник Российского антидопингового агентства (РУСАДА), заявляли о взломе аккаунта спортсменки в ADAMS. Степанова считает, что хакеры пытались узнать место их проживания. Спортсмены заявили, что опасаются за свои жизни: всего полгода назад с разницей в неделю от инфаркта умерли два высокопоставленных чиновника из РУСАДА, при этом оба еще не достигли преклонного возраста и не жаловались на здоровье.

Октябрь, вторая стадия атаки на Демпартию США: на этот раз жертвой взлома стал Джон Подеста, начальник штаба Хиллари Клинтон. Архивы переписки вновь публикуются на WikiLeaks. В них раскрывается искусная политтехнология демократов: интервью и статьи о Клинтон заказывались и режиссировались, штаб пытался влиять на расследования ФБР, а сам Подеста через серые схемы получал вознаграждения за консультации энергетической компании Joule, тесно сотрудничавшей с Роснано Анатолия Чубайса. Джон Подеста и глава Нацразведки США Деймс Клэппер один за другим обвинили во взломе российских хакеров и спецслужбы. При этом Джулиан Ассанж всякое участие русских в «сливе» отрицал. Международный ажиотаж достиг такого накала, что в британском правительстве Терезы Мэй запретили носить часы Apple Watch как уязвимые для российских атак.

Доказательства

Чаще всего вину именно российских хакеров во взломе объясняют их политической мотивацией: дипломаты обвиняют в атаках страну, которой они наиболее выгодны, а эксперты подкрепляют это мнение редкими находками вроде «кириллических символов» во вредоносных программах. Прямых доказательств участия в атаках конкретно российских спецслужб или причастности к ним группировки Fancy Bear тоже нет.

Заместитель директора АНБ Ричард Леджетт заявил CNN, что сегодня Россия обладает пугающим потенциалом и способна не только взламывать такие объекты, как Национальный комитет Демократической партии, но и наносить вред инфраструктуре на территории США посредством кибератаки. Лора Галант, менеджер по разведке глобальных угроз из FireEye, настаивает, что именно выбор целей стал самым ярким доказательством участия русских в кибервойне. Группы Fancy Bear и Cozy Bear, как правило, ориентированы на НАТО и на их союзников, на официальных лиц в странах Восточной Европы и на западные военные организации. «Все это делает более убедительными свидетельства о том, что Россия оказывает здесь поддержку, — говорит Галант. — Российское правительство вполне открыто заявило о своем желании иметь возможности в этой области. Они хотят иметь возможность формировать мнение людей о происходящем».

Эксперт Фейке Хакеборд из японской компании кибербезопасности Trend Micro, анализируя особенности атак команды Pawn Storm (Fancy Bear), рассказал, что чаще всего речь идет о получении конфиденциальной информации с помощью фишинга — поддельных писем от реально существующих ведомств или высокопоставленных чиновников, где ссылка ведет на вредоносную программу или требование сообщить пароль к почтовому ящику. Авторство русских в кибератаках Pawn Storm Хакеборд определил методом исключения: «Единственная гипотеза, которую мы пока не можем опровергнуть, — это то, что за хакерами стоит Россия». Контраргументы против нее есть, но их немного, говорит эксперт: «Среди мишеней хакеров был один российский военный атташе, работающий в стране НАТО, и один высокопоставленный член “Единой России”».

Основатель международной компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков считает, что быстрые вердикты о причастности русских хакеров непрофессиональны и подозрительны. Сразу после взлома по «почерку» и IP-адресам быстро выяснить, кто совершил атаку, не получится — подтверждение информации у локальных провайдеров и работа качественных расследователей занимает месяцы. Кроме того, хакеры редко соглашаются на политические заказы: риски слишком велики, а взлом коммерческих предприятий всегда оказывается прибыльнее.

Впрочем, для прессы российские хакеры остаются «козлами отпущения» в связи со взломами любого уровня, по всему миру. В конце ноября немецкие СМИ со ссылкой на источники в спецслужбах заявили о кибератаке на крупнейшую в Европе телекоммуникационную компанию Deutsche Telekom — в причастности вновь подозревают APT28, то есть Fancy Bear. А недавно, «в отместку», организованным атакам стали подвергаться уже крупнейшие российские банки, в том числе и государственные: 10 ноября под ударом оказались Сбербанк, Альфа-банк, «Открытие», ВТБ, Банк Москвы и Росбанк. Хакер, взявший на себя ответственность за атаку, назвал своими заказчиками «людей, недовольных возможным вмешательством России в выборы президента в США». Наконец, 5 декабря ФСБ сообщило о локализации новой хакерской атаки на «финансовую систему России». На этот раз атакующую программу нашли на голландских серверах, принадлежащих украинской хостинговой компании BlazingFast.