Разоблачитель из АНБ: разговоры об атаке русских хакеров на сервер НКДП — «откровенная ложь»
Тель-Авив — История о российской хакерской атаке на компьютерную систему Национального комитета Демократической партии является «откровенной ложью» и «фальсификацией», заявил в радиоинтервью бывший высокопоставленный сотрудник АНБ Уильям Бинни (William Binney).
Использовав раскрытую недавно информацию из базы данных, якобы появившейся на серверах НКДП, Бинни заявил, что он «примерно на 99%» уверен, что серверы комитета не подвергались хакерской атаке извне. Он призвал американское разведывательное сообщество немедленно обнародовать все доказательства, использованные для составления заключения о возможной причастности России к взлому этих серверов.
Бинни был автором программы электронной слежки АНБ. В прошлом он работал техническим директором агентства и участвовал в работе по модернизации всемирной сети прослушивания, а также был одним из создателей подразделения по автоматизации работы радио- и радиотехнической разведки США. Проработав в АНБ более 30-ти лет, Бинни 31 октября 2001 года подал в отставку и стал знаменитым разоблачителем.
Он также является одним из лидеров основанной в 2003 году организации Veteran Intelligence Professionals for Sanity (Ветераны разведки за здравомыслие), куда входят бывшие сотрудники разведывательного сообщества США. Во время интервью Бинни неоднократно ссылался на данные экспертизы, проведенной членами этой организации. В ходе этого анализа они изучили файлы НКДП, размещенные в интернете хакером Guccifer 2.0. Ветераны разведки продемонстрировали данные, указывающие на то, что сервер НКДП скорее всего не подвергался хакерскому взлому извне.
Но нашлись и критики выводов, сделанных Бинни. Некоторые эксперты заявляют, что в отчете «Ветеранов разведки за здравомыслие» немало изъянов, и что в нем игнорируются другие объяснения метаданных. Бинни в ответ на эту критику заявил, что утверждения его недругов бездоказательны. Он подчеркнул, что бремя доказывания хакерской атаки лежит на американском правительстве.
Бинни выступал в воскресной радиопередаче под названием «Следственное радио Аарона Кляйна», которую ведет автор данной статьи.
Ветераны разведки смогли провести свой анализ благодаря тому, что независимый расследователь, известный под онлайновым именем Forensicator, нашел способ для взлома метаданных из файлов Guccifer 2.0.
Вскрытые метаданные показывают, что 5 июля 2016 года 1 976 мегабайт данных были быстро загружены в отдельный файл. Ключевой вывод заключается в том, что на скачивание файла ушло всего 87 секунд. Это говорит о том, что скорость загрузки составляла 22,7 мегабайт в секунду.
Хакеры в случае взлома сервера НКДП наверняка воспользовались бы услугами интернет-провайдера. Однако, как отметили аналитики, в середине 2016 года у американских интернет-провайдеров, обслуживавших частных клиентов, не было возможности для скачивания данных с такой скоростью. Такая скорость перекачки данных может указывать на то, что их скачивали на обычный мобильный носитель типа флэшки.
Тем не менее, авторы отчета из ветеранской организации по всей видимости не обратили внимания на тот факт, что некоторые корпоративные и «облачные» сети по своим техническим характеристикам обладают возможностями для скачивания данных на таких скоростях. НКДП не стал комментировать эти сообщения и не поделился информацией о скорости скачивания в своей сети.
В разговоре с репортером Бинни заявил: «Практически невозможно сделать это со стороны. Я имею в виду то, что нужен некий доступ к сети НКДП и некий доступ оттуда, обеспечивающий такую скорость скачивания. То есть, надо было находиться в сети НКДП или в какой-то подключенной к ней высокоскоростной сети».
По словам Бинни, если бы данные скачивались через интернет, сторонние ведомства зафиксировали бы эту передачу. «Так, сетевые администраторы просмотрели бы сетевой журнал в интернете, — сказал он. — Это люди, которые управляют оптоволоконными линиями. Например, из компании AT&T. Если бы они зафиксировали скачок трафика, идущего по одной линии, они могли бы посчитать, что линию надо разгрузить, перемаршрутизировав этот трафик. Это что-то типа равномерного распределения нагрузки по всей сети, чтобы она работала бесперебойно, без перегрузки отдельных линий».
Бинни, участвовавший в создании программы слежки АНБ, заявил, что агентство зафиксировало бы любой хакерский взлом системы НКДП, осуществляемый извне.
«Они бы точно знали, куда идут данные в случае их передачи. Я бы также отметил, что на другом конце АНБ и Центр правительственной связи (британский аналог АНБ) следят за [создателем WikiLeaks] Джулианом Ассанжем в посольстве и за всеми людьми, которые с ним связаны, контактируют или каким-то образом передают информацию ему либо от него».
«Они следят за ними всеми, за всей Wikileaks по сути дела. Они следят за ними 24 часа в сутки, это железно. Так что, если бы кто-то начал передавать через сеть данные, они бы об этом узнали. И сообщили бы об этом. Вот и вся проблема. А они ничего не сказали о том, откуда в Wikileaks поступили эти данные. То есть, получается, что они попали в Wikileaks из сервера НКДП — но не через сеть».
Издание The Hill процитировало слова экспертов, которые заявили, что в отчете ветеранов не рассмотрены другие варианты, могущие объяснить столь высокую скорость передачи данных. «Эта теория предполагает, что хакер загрузил файлы в компьютер, а затем организовал их утечку с этого компьютера», — рассказал этому изданию директор исследовательской фирмы по вопросам безопасности Splunk Рич Барджер (Rich Barger).
Далее в сообщении The Hill говорится:
Однако, как говорит Барджер и прочие эксперты, здесь упускается из виду возможность того, что файлы до их публикации копировались несколько раз, что весьма вероятно в условиях бюрократии, какая существует в российских спецслужбах.
«Хакер мог скачать данные на один компьютер, затем через USB передать их в отключенную от интернета сеть на перевод, после чего уже другой человек мог скопировать материал для анализа, затем при помощи новой флэшки перенести данные на другой не подключенный к сети компьютер для выработки стратегии действий. И уже потом данные могли целиком передать Guccifer 2 для их слива в сеть», — сказал Барджер.
В беседе с автором этой статьи Бинни согласился, что файлы могли неоднократно скопировать перед тем, как Guccifer 2 разместил информацию в сети. Однако он заявил, что нет никаких доказательств ни того, ни другого. «Мы ни в коем случае не должны делать выводы, если нет хотя бы одного факта, показывающего, что это правда, — заявил Бинни. — Я повторюсь: если бы случилось нечто подобное этим предполагаемым событиям, то у АНБ были бы следы по большей части материала. Но агентство не обнародовало никакой информации».
Кроме скорости передачи, в отчете ветеранов есть и другие выводы относительно раскрытия метаданных:
Отметка времени скачивания показывает, что это произошло 5 июля 2016 года примерно в 18 часов 45 минут восточного летнего времени. А это значит, что передача данных происходила где-то на восточном побережье США, но не за рубежом. По имеющейся информации, Gufficer 2.0 живет и работает в Румынии. Тем не менее, хакер мог получить эти файлы от другого человека на восточном побережье США.
(Но там указана июльская дата, а это на несколько месяцев позже апреля, когда, по словам представителей НКДП, они впервые зарегистрировали факт взлома. Бинни сказал, что дату и отметку времени могли изменить.)
Есть признаки того, что перед публикацией файлов они были закодированы с характерными отличительными метками русских. ЦРУ в состоянии это сделать.
Издание The Nation рассказало о такой возможности в своей статье на тему анализа «Ветеранов разведки за здравомыслие»:
Кроме того, налицо фальсификация документов, размещенных Guccifer 2.0 15 июня, когда он впервые дал о себе знать. Это выплыло наружу, когда исследователи проникли в «верхний слой» метаданных Guccifer и проанализировали то, что было в нижних слоях. Они обнаружили, что первые пять файлов, которые обнародовал Guccifer, прогнали через обычный буфер вырезки и вставки, сделав это по единому образцу, чтобы можно было с основанием говорить о русских отпечатках пальцев. Но это не так. Русские отличительные метки были вставлены искусственно перед размещением материала. Аналитик, назвавшийся HET, написал в своем отчете по этому вопросу: «Ясно, что метаданные были специально изменены, а материалы преднамеренно вставили в документ из русифицированного Word, где настройки и заголовки на панели были на русском языке».
Журнал далее отмечает, что такую кодировку можно сделать при помощи киберинструментов ЦРУ. «WikiLeaks начала в марте публикацию серии документов под названием Vault 7, среди которых есть пакет программ Marble, позволяющий вносить путаницу в происхождение документов при помощи фальшивок и ложных отметок, указывающих на того, на кого хочет указать ЦРУ».
Статься The Nation об отчете ветеранов подверглась анализу. «В настоящее время мы анализируем этот материал, и я не хочу спешить с выводами, — рассказала в середине августа Washington Post редактор и издатель этого журнала Катрина ванден Хувел (Katrina vanden Heuvel). Washington Post сообщила о том, что The Nation проанализирует техническую обоснованность того, о чем пишется в статье об отчете ветеранов.
Файлы Gufficer 2.0 являются ключевой составляющей рассказов о русских хакерских атаках. В докладе американского разведывательного сообщества о вмешательстве российского государства в предвыборную кампанию 2016 года (он датирован 6 января 2017 года) о файлах Gufficer 2.0 говорится следующее:
Мы с большой долей уверенности полагаем, что российская военная разведка (Главное разведывательное управление Генерального штаба, или ГРУ) использовала Guccifer 2.0 и DCLeaks. com для раскрытия данных об американских жертвах, которые она получила в ходе киберопераций, и для передачи эксклюзивных материалов средствам массовой информации, а также передала эти материалы WikiLeaks.
Американское разведывательное сообщество не представило публично никаких доказательств в подтверждение своих обвинений. Хотя СМИ ложно сообщали об участии в данной работе 17 американских спецслужб, доклад от 6 января был на самом деле составлен всего тремя американскими ведомствами: АНБ, ФБР и ЦРУ. Washington Post в своей подробной статье от 23 июля сообщила о деталях проведенной работы, которые указывают на высокую степень секретности и на причастность к ней высокопоставленных руководителей из администрации Обамы.
Леонид Бершидский в своей статье в Bloomberg отмечает, что информация Бинни «заслуживает более пристального внимания».
Бершидский написал следующее:
В отличие от «бывших и действующих сотрудников спецслужб», которых анонимно цитируют авторы статей о скандале, связанном с Трампом и Россией, у членов организации «Ветераны разведки за здравомыслие» есть реальные имена и фамилии. Но их выводы и сомнения излагаются только во второстепенных изданиях, не принадлежащих к мейнстриму, а их всегда можно обвинить в распространении российской дезинформации. The Nation, Consortium News, ZeroHedge и прочие издания указывают на свои выводы о том, что как минимум некоторые файлы НКДП были скачаны своими людьми, а не русскими или какими там еще хакерами.
В ответ на сообщение The Nation НКДП выступил со следующим заявлением:
Американские разведывательные ведомства пришли к заключению, что российское государство осуществило хакерский взлом в НКДП в попытке вмешательства в выборы. Любые заявления об обратном являются ложью и очередными конспирологическими теориями, которые проталкивает Трамп и его администрация. К сожалению, The Nation решила присоединиться к сторонникам теорий заговоров, отстаивая эту повествовательную линию.
В ходе радиоинтервью Бинни отверг обвинения НКДП в проталкивании «теорий заговоров».
«Они присоединились к общей лжи, — заявил Бинни. — Я хочу сказать, что это откровенная ложь. Все, что они говорят, это необоснованные утверждения. Где доказательства, кто-нибудь их представил? Нет. Они не представили ни единого доказательства».
«Разведывательное сообщество говорит, что это весьма вероятно. Что ж, им должно быть все доподлинно известно, поскольку они следят за оптоволоконными линиями в США и по всему миру. У них не должно быть вообще никаких вопросов. Когда они произносят слова типа „с большой долей уверенности", это значит, что они не знают. А именно так они говорят. Если они могут сообщить что-то еще, то пусть представят имеющиеся у них доказательства, чтобы мы все могли на них взглянуть. Но пока они предлагают нам только свои мнения, предположения, спекуляции и ложь, пытаясь продолжать эту холодную войну».
НКДП не разрешил ФБР проверить свои серверы, что вызвало немалое удивление.
Давая в январе показания в сенатском комитете по разведке, тогдашний директор ФБР Джеймс Коми подтвердил, что его бюро зарегистрировало «множество обращений на разных уровнях» с просьбой проверить взломанные серверы НКДП. В конечном итоге НКДП и ФБР пришли к соглашению о том, что проверку серверов проведет «авторитетная частная компания», которая затем поделится обнаруженной информацией с ФБР.
Высокопоставленный руководитель из правоохранительных органов подчеркнул, что ФБР было очень важно получить доступ к серверам, однако НКДП ему в этом отказал.
«ФБР неоднократно указывало руководителям из НКДП на необходимость получения прямого доступа к серверам и данным, но на все свои просьбы бюро получало отказ, пока последствия от взлома не были устранены», — заявил средствам массовой информации этот руководитель из правоохранительных органов.
«Поэтому у ФБР не осталось выбора, и ему пришлось полагаться на информацию третьей стороны. Такие действия стали причиной существенных задержек и помешали ФБР решить проблему проникновения быстрее».
Говоря об «авторитетной частной компании», которая может получить доступ к серверам НКДП, Коми имел в виду фирму CrowdStrike, на основе выводов которой ФБР делало свои оценки относительно предполагаемой хакерской атаки русских на НКДП.
CrowdStrike в прошлом году получила финансирование на сумму порядка 100 миллионов долларов, причем главным ее спонсором стала фирма Google Capital.
Сейчас эта фирма носит название CapitalG, являясь подразделением материнской компании Google Alphabet Inc. глава Alphabet Эрик Шмидт (Eric Schmidt) неизменно и активно поддерживал Хиллари Клинтон, и уже давно является донором Демократической партии.
CrowdStrike это калифорнийская компания, специализирующаяся на технологиях кибербезопасности, учредителями которой являются такие специалисты как Джордж Курц (George Kurtz) и Дмитрий Альперович (Dmitri Alperovitch)
Альперович является внештатным научным сотрудником инициативы Cyber Statecraft в Атлантическом совете (Atlantic Council). Совет этот занимает враждебные по отношению к России позиции и неоднократно публиковал статьи и репортажи о российской агрессии.
Финансирует Атлантический совет Фонд братьев Рокфеллеров (Rockefeller Brothers Fund), Госдепартамент США и НАТО.
Еще одним спонсором совета является фонд Ploughshares, который, в свою очередь, получает деньги от фондов «Открытое Общество» миллиардера Джорджа Сороса.
Аарон Кляйн — шеф бюро Breitbart в Иерусалиме, автор журналистских расследований. Он популярный автор статей в New York Times, а также ведущий известной радиопередачи «Следственное радио Аарона Кляйна».
Аарон Кляйн (AARON KLEIN)