В конгрессе США предложили ввести санкции против России за хакерские атаки. "ДП" выяснил, как "русские хакеры" заработали репутацию самых опасных киберпреступников мира и стали мощным политическим оружием.
В конгрессе США предложили ввести санкции против России за кибератаки на серверы Демократической партии, пишет The Washington Post. Сенаторы Адам Шифф и Дайэнн Файнстайн рассказали о подготовке доклада по действиям российских хакеров против США и мерах реагирования американского правительства. Инициатива не нашла единогласной поддержки конгрессменов, считающих, что новые санкции поставят под удар соглашения Москвы и Вашингтона по урегулированию сирийского кризиса.
В начале сентября, после обвинений России в хакерских атаках от директора национальной разведки США Джеймса Клэппера, представители американских спецслужб заявили о совместном расследовании тайной операции Москвы на избирательную систему США. Доказательств причастности Кремля или выходцев из России к кибератакам спецслужбы не озвучили. Единственным свидетельством, связывающим "русских хакеров" с кибератаками на президентских выборах, до сих пор остаются отчеты исследовательских организаций Crowdstrike и FireEye.
Реклама от спецслужб
Впервые в этом году о грозных "русских хакерах" публично заявил в своем апрельском отчете глава Агентства национальной безопасности США (АНБ) Майкл Роджерс. Тогда он назвал Россию лидером киберпреступности и подчеркнул, что наиболее серьезную угрозу представляют кибератаки, организованные спецслужбами России.
В период с апреля по сентябрь серии хакерских атак подверглись серверы Демократической партии, система регистрации избирателей в штатах Аризона и Иллинойс, а также крупные американские издания, в том числе The New York Times. Кандидат в президенты от демократов Хиллари Клинтон возложила ответственность за взломы на российских хакеров, однако спецслужбы США, в отличие от западной прессы, не спешили с разоблачениями.
В конце августа, после атаки на систему регистрации избирателей, в ФБР осторожно заявили, что взлом системы могли организовать российские хакеры. В бюро при этом не уточнили, были ли хакеры связаны с российским правительством. Но уже через неделю, 6 сентября, источники в американской разведке рассказали Washington Post, что спецслужбы и силовые ведомства США начали расследование масштабной тайной операции Москвы, направленной на подрыв доверия избирателей к политическим институтам США. При этом собеседник издания отметил, что у спецслужб нет достоверных данных о причастности "русских хакеров" к атакам.
Через несколько дней директор национальной разведки США Джеймс Клэппер прямо заявил, что последние хакерские атаки на серверы Демократической партии были организованы российскими хакерами. Клэппер напомнил, что президент США Барак Обама также говорил, что "русские постоянно взламывают наши системы, не только государственные, но и частные".
15 сентября глава комитета по внутренней безопасности палаты представителей США Майк Маккол заявил, что русские хакеры взломали сеть национального комитета Республиканской партии. На следующий день The Washington Post со ссылкой на источники в разведке рассказало о том, что хакерские атаки в США являются местью Владимира Путина за попытки Вашингтона ослабить его позиции. "Он показывает нам средний палец, взломы нужны, чтобы заставить нас трястись от страха", — заявила куратор России в американской разведке Фиона Хилл.
Мишки на сервере
В июле, после публикации Wikileaks 20 тыс. писем руководящего органа Демократической партии США, исследовательская компания CrowdStrike, работавшая над устранением последствий взлома сетей, сообщила, что за атаками стоят две хакерские группировки — Fancy Bear ("Модный мишка", также известная как "АPT 28") и Cozy Bear ("Уютный мишка", известная также как "APT 29" и Cosy Duke), которые работают соответственно на ГРУ и ФСБ.
Примечательно, что ответственность за взлом демократов взял на себя хакер или хакерская группировка под псевдонимом Guccifier 2.0, которого также обвинили в связях с Кремлем. Однако он в своем блоге исключил связь с Россией, заявив, что все последние громкие взломы неизменно приписывают "русским хакерам". Он также заявил, что миф о "всемогущих российских хакерах" активно поддерживает антивирусная компания Kaspersky Lab, которая таким образом зарабатывает на борьбе с киберпреступниками. В сентябре Guccifier 2.0 опубликовал новую порцию данных Демократической партии.
На деятельность группы Cozy Bear впервые обратила внимание компания FireEye. В компании тогда отметили возможную связь хакерской группы с Кремлем. "Организации, подвергшиеся атакам, и украденные данные дают нам основания полагать, что группа связана с российским правительством. К тому же одна из групп приостанавливала свою деятельность на время российских праздников, а их активность была заметна в период с 8 утра до 8 вечера в часовом поясе UTC +3, в котором находятся Москва и Петербург", — отмечали в FireEye.
Ранее Fancy Bear были замечены в участии в промышленном, политическом и военном шпионаже, в частности, группировке приписывали атаку на немецкий бундестаг и французский телеканал TV5 Monde в 2015 году. Fancy Bear на своем сайте заявила, что является международной командой хакеров, выступающих за честную игру и чистый спорт. После публикации двух пакетов разоблачающих документов о деятельности WADA хакеры этой группировки оставили на своем сайте сообщение: "Мы не прощаем. Мы не забываем. Ждите нас". Генеральный директор WADA Оливер Ниггли в ответ на взлом заявил, что кибератака на антидопинговую базу была организована из России. 16 сентября Fancy Bear опубликовали документы по 11 спортсменам из пяти стран, которые приняли участие в Олимпиаде в Бразилии и принимали запрещенные препараты.
Плохо, но правда
В Кремле и МИДе неоднократно отвергали связь с хакерами. В интервью Bloomberg президент России Владимир Путин отметил, что киберпреступники часто маскируют "свою деятельность под деятельность каких-то других хакеров из других территорий, из других стран". При этом Путин подчеркнул, что важно не то, кто взломал, а содержание "предъявленного общественности". 16 сентября, выступая на заседании саммита СНГ в Бишкеке, президент РФ заявил, что Россия не поддерживает действия хакеров, но призвал международную общественность разобраться с опубликованными свидетельствами.
Как отмечает ведущий вирусный аналитик ESET Russia Артем Баранов, когда речь идет об атаках такого масштаба, вопрос финансирования имеет решающее значение. У "обычных" злоумышленников нет возможности запустить проект со сложной инфраструктурой и вредоносным ПО. Их атаки ориентированы на получение финансовой выгоды, в то время как поддерживаемые государством проекты имеют выраженную политическую направленность.
"Если говорить о компрометации серверов WADA, политическое значение очевидно: по итогам взлома были опубликованы данные о допинге спортсменов. Киберпространство — большая площадка для конкуренции на уровне государств. Часть этой конкуренции — гонка "кибервооружений" и поддерживаемые государствами атаки", — считает аналитик.
Известно несколько кибергрупп, которые соотносят с разными государствами, напоминает Баранов. Например, EquationGroup, предположительно, имеет отношение к американским и британским спецслужбам, стоящим за созданием кибероружия Stuxnet, Flame и Regin.
