Российские хакеры похитили досье на Трампа
Российские хакеры, связанные с властями, проникли в компьютерную сеть Национального комитета демократической партии США (DNC) и получили доступ ко всей базе данных расследования, которое оппозиция проводила в отношении кандидата в президенты республиканца Дональда Трампа, сообщают официальные представители комитета и специалисты по безопасности, устранявшие последствия взлома.
Хакеры основательно взломали сеть и получили возможность читать всю электронную переписку и чаты, утверждают официальные лица комитета и специалисты в области безопасности.
Взлом сайта DNC стал одной из нескольких хакерских атак, совершенных против политических организаций США. По словам официальных лиц, объектами хакерских атак российских шпионов также были компьютерные сети кандидатов в президенты Хиллари Клинтон и Дональда Трампа, а также компьютеры некоторых комитетов, занимающихся поддержкой республиканцев. Однако подробности об этих атаках не сообщались.
По словам представителя российского посольства, информацией об этих атаках они не располагают.
Некоторые хакеры имеют доступ к компьютерной сети DNC уже около года, но, по словам официальных представителей комитета и специалистов по безопасности, в минувшие выходные была проведена чистка компьютерной сети и взломщики были заблокированы.
Представители комитета заявляют, что попыток получить доступ или украсть финансовую информацию, информацию об источниках финансирования или личную информацию, судя по всему, не было, из чего можно заключить, что взлом был осуществлен с целью обычного шпионажа и не был атакой злоумышленников.
Эти взломы являются примером того, что Россия проявляет интерес к политической системе США и стремится понять политику, сильные и слабые стороны возможного будущего президента — во многом подобно тому, как американские шпионы собирают аналогичную информацию о зарубежных кандидатах и лидерах.
Степень проникновения свидетельствует о профессионализме и решимости главного киберпротивника Соединенных Штатов, учитывая, что Россия преследует стратегические цели — от Белого дома и госдепартамента до организаций, занимающихся проведением политических кампаний.
«Сбор информации в отношении своих противников — это задача каждой иностранной разведслужбы», — заявил Шон Генри (Shawn Henry), президент компании CrowdStrike, которую пригласили для устранения проблемы, связанной со взломом сети DNC, и бывший начальник отдела ФБР по борьбе с киберпреступностью. Он отметил, что гражданской организации чрезвычайно трудно защищаться от кибератак такого профессионального и решительно настроенного государства, как Россия.
«Нас воспринимают как противника России, — сказал он. — И ежедневно, проснувшись, они должны собирать разведданные о политике, деятельности и стратегии правительства США. Существует множество способов. [Взлом] является одним из наиболее важных и полезных, поскольку он предоставляет вам массу ценной информации».
Президент России Владимир Путин одобрительно высказывается о Трампе, который призывает к улучшению отношений с Россией и скептически относится к НАТО. Но, в отличие от Клинтон, которая, видимо, уже давно является объектом шпионских действий россиян, Трамп в политике недавно, поэтому иностранные службы пытаются наверстать упущенное, считают аналитики.
«Цель такого сбора разведданных — понять склонности объекта, — говорит Роберт Дейц (Robert Deitz), бывший старший советник директора ЦРУ и бывший главный юрисконсульт Агентства национальной безопасности. — Иностранные инвестиции Трампа, например, помогут понять, как он будет строить отношения со странами, в которых у него есть эти инвестиции», в случае его избрания, считает Дейц. «Эта информация поможет понять его стиль ведения переговоров. Короче, такого рода информация может быть использована Россией, например, чтобы выяснить, где она может действовать безнаказанно — где зарубежные авантюры сойдут ей с рук».
Другие аналитики отмечают, что любые компрометирующие данные, обнаруженные в досье, подготовленном оппозицией, по всей вероятности, так или иначе будут обнародованы. Тем не менее, чтобы уменьшить ущерб, руководство DNC, обнаружив взлом, действовало быстро.
«Безопасность нашей системы имеет решающее значение для нашей работы и для сохранения конфиденциальности информации избирательных штабов и государственных лиц, с которыми мы работаем, — заявила Дебби Вассерман-Шульц (Debbie Wasserman Schultz), представитель республиканцев от штата Флорида и председатель комитета. — Когда мы обнаружили взлом, мы отнеслись к этому как к серьезному инциденту и сразу же обратились в компанию CrowdStrike. Наша команда действовала как можно быстрее, чтобы блокировать взломщиков и обеспечить безопасность нашей сети».
Избирательный штаб Клинтон не ответил на просьбу прокомментировать инцидент. Представитель избирательного штаба Трампа переадресовала вопросы в Секретную службу.
Руководство DNC получило предупреждение о хакерской атаке в конце апреля. Управляющей комитетом Эми Дэйси (Amy Dacey) позвонил начальник операционного отдела, сообщив, что специалисты ИТ-подразделения заметили странную деятельность в сети.
«Любому из руководителей такой звонок был бы неприятен, но в ИТ-подразделении знали — что-то не так», — рассказывает Дэйси. И они знали, что дело настолько серьезное, что попросили заняться этим экспертов.
В тот вечер она поговорила с Майклом Сассманном (Michael Sussmann), их юристом и партнером вашингтонской компании Perkins Coie. Вскоре после этого Сассманн, бывший федеральный прокурор, который вел дела, связанные с компьютерной преступностью, позвонил своему давнему знакомому Шону Генри.
В течение суток, специалисты компании CrowdStrike установили на компьютеры DNC программы с тем, чтобы проанализировать данные, которые могли бы указать, кто получил доступ, когда и как.
Фирма определила две отдельные хакерские группы, проникшие в сеть и обе работающие на российское правительство, заявил соучредитель и главный технический директор CrowdStrike Дмитрий Альперович. Фирма подвергла анализу и другие взломы, совершенные этими двумя группами за последние два года.
Одна группа, которую в компании назвали Cozy Bear, получила доступ к сети прошлым летом и отслеживала электронную переписку и общение в мессенджерах, рассказал Альперович.
Другая группа, названная Fancy Bear, взломала сеть в апреле этого года с целью получить доступ к досье на представителей оппозиции. Именно этот взлом и вызвал тревогу. Хакеры похитили два файла, говорит Генри. И у них был доступ к компьютерам всего персонала, проводившего расследование и готовившего досье — в среднем примерно к десятку компьютеров ежедневно.
В компьютерах содержались данные многолетнего расследования в отношении Трампа. «Это большая работа» — изучать во всех подробностях действия человека, который прежде никогда не баллотировался на выборную должность, говорит Дэйси.
Эксперты CrowdStrike не знают наверняка, каким образом хакеры взломали сеть. Они подозревают, что те, возможно, посылали сотрудникам сотрудники DNC письма, используя «целевой фишинг». Это сообщения, которые кажутся вполне настоящими (часто выглядят так, будто их прислал коллега или кто-то, кому адресат доверяет), но они содержат ссылки или вложения, которые при нажатии размещают вредоносного программу, позволяющую хакеру получить доступ к компьютеру. "Но убедительных доказательств у нас нет«,— сказал Альперович.
Судя по всему, эти две группы друг с другом не связаны, говорит Альперович. По его словам, считается, что Fancy Bear работает на ГРУ — российскую военную разведку. В отношении того, на кого работает группа Cozy Bear, специалисты CrowdStrike менее уверены, но считают, что это может быть Федеральная служба безопасности, или ФСБ — могущественная служба безопасности России, которую когда-то возглавлял Путин.
Отсутствие взаимосвязи и взаимодействия — довольно обычное дело, говорит он. Между российскими спецслужбами «существует удивительное противоборство», отмечает Альперович. «Мы видели, как они воруют друг у друга средства доступа, отказываются сотрудничать. Они все борются за власть, чтобы показать Путину, какие они хорошие».
Эти две команды имеют «великолепную оперативную подготовку» — говорит Альперович. Чтобы взломать приложение, они часто используют ранее не выявленные недостатки системы — известные как уязвимости «нулевого дня». В случае с национальным комитетом республиканской партии, хакеры постоянно меняли тактику, чтобы сохранить свое незаметное присутствие внутри сети, и использовали встроенные Windows-инструменты с тем, чтобы не приходилось прибегать к вредоносным кодам, которые могут запустить сигналы тревоги. «Они остались незамеченными», — говорит Альперович.
По словам Альперовича, эти две группы ранее взламывали сети государственных учреждений, ИТ-компаний, военных подрядчиков, энергетических и промышленных компаний, университетов в США, Канаде и Европе, а также в Азии.
Он отметил, что Cozy Bear, например, в 2014 году проникла в несекретные сервисы электронной почты в Белом доме, госдепартаменте и Объединенном комитете начальников штабов.
«Это хорошо организованная современная иностранная разведслужба, которая располагает массой времени, огромными ресурсами и заинтересована в сборе данных о политической системе США», — говорит Генри. По его словам, DNC оказался участником нечестной борьбы. «Это обычные граждане, которые ведут рукопашный бой и безоружны перед обученными офицерами, — отмечает он. — Это недопустимая ситуация».
Россия всегда была грозным противником в киберпространстве, но в последние два года «масштабы ее шпионской деятельности против Запада увеличились тысячекратно», считает Альперович, который также является старшим научным сотрудником Атлантического Совета. «Они чувствуют себя окруженными врагами».
Западные санкции, введенные после аннексии Россией украинского Крыма, нанесли ущерб экономике, и в результате правительство стало чаще посягать на чужую интеллектуальную собственность, чтобы ограничить воздействие ограничений на импорт, отметил он. И в результате растущей изоляции России возросла потребность в разведданных, которые помогают понять политические решения в других странах и оказывать на них влияние, добавил он.
По словам юриста DNC Сассманна, компания CrowdStrike продолжает свою экспертно-аналитическую работу. «Но на этот раз, похоже, доступа к финансовой информации или конфиденциальным данным о сотрудниках, об источниках финансирования или данных об избирателях у российских хакеров не было», — сказал он.
На каждый компьютер и на сетевой сервер специалисты компании установили специальную программу, позволяющую выявлять любые попытки российских кибершпионов осуществить повторный взлом. «Когда их заблокируют и закроют им доступ в систему, они попытаются вновь в нее проникнуть», — предположил Генри.