Кибератаки в США: следы ведут в Россию?
6 января 2017 г.В начале следующей недели должна появиться в публичном доступе незасекреченная часть доклада американских разведслужб об иностранном вмешательстве в выборы президента США. 5 января полный отчет на эту тему был предоставлен действующему президенту Бараку Обаме, 6 января с исследованием ознакомился его преемник Дональд Трамп.
Озвучивая итоги расследования перед Сенатом, глава Нацразведки США Джеймс Клэппер подтвердил, что, по мнению американских спецслужб, кибератаки были совершены хакерами из России и санкционированы высокопоставленными российскими чиновниками. Будут ли в незасекреченной части доклада представлены однозначные доказательства причастности России к хакерским атакам, неизвестно. Пока во всех отчетах фигурировали косвенные улики. DW рассказывает, в чем обвиняют компьютерных взломщиков и о каких свидетельствах того, что хакеры действовали из России, известно на данный момент.
Кого и в каких кибератаках обвиняют?
Основное внимание спецслужбы уделяют двум эпизодам взлома серверов Демократической партии в 2015 и 2016 годах. В конце декабря министерство внутренней безопасности и Федеральное бюро расследований (ФБР) подготовили доклад об этих атаках. В документе утверждалось, что эти акции провели две хакерские группировки, связанные с российской военной и гражданской разведкой. Летом 2015 года действовали хакеры из группы Cozy Bear (дословно "уютный медведь", известна еще как APT29), а весной 2016 года - Fancy Bear (дословно "модный медведь", известна еще как APT28).
Вывод о том, что к одной из атак причастна группа Fancy Bear подтверждали также расследования фирмы SecureWorks (подразделение по кибербезопасности корпорации Dell. - Ред.), и компании-разработчика антивирусного программного обеспечения ESET.
Компания Crowdstrike, которая проводила летом расследование по просьбе Национального комитета Демократической партии (DNC), предположила, что Cozy Bear работают под руководством ФСБ, Fancy Bear - под руководством военной разведки ГРУ.
Почему обвиняют именно Россию?
Публично озвучивалось несколько косвенных признаков, указывающих на то, что обе хакерские группы базируются в России и действуют в интересах российских спецслужб. В частности, изучению хакерской активности Fancy Bear были посвящены расследования специализирующейся на компьютерной безопасности компании FireEye и уже упомянутой ESET. Их выводы сводятся к двум основным тезисам.
Первый: хакеры взламывают тех, кто мог бы быть интересен российским спецслужбам. Так, объектами атак Fancy Bear в разное время были, наряду с американскими целями, структуры НАТО, правительства и оборонные ведомства Грузии и Украины, российские оппозиционные деятели. "Мы наблюдаем за работой хорошо тренированной команды разработчиков, собирающих разведывательную информацию по геополитическим вопросам и вопросам обороны - данным, интересным только правительствам", - написала в своем отчете FireEye.
Второй аспект, который отмечают те, кто изучал работу хакеров - это время их активности. Более 96 процентов атак со стороны Fancy Bear, зафиксированных специалистами FireEye, имели место с понедельника по пятницу, 89 процентов взломов были совершены с 10 до 18 по московскому времени. На совпадение активности этой хакерской группы с офисными часами работы по московскому времени указывают и аналитики ESET.
Еще одну нить, связывающую взломщиков с Россией, нашли специалисты компании ThreatConnect. Ответственность за утечку переписки внутри DNC взял на себя некто Guccifer 2.0. Проанализировав технические данные переписки Guccifer 2.0 с представителями СМИ, аналитики сумели установить, что он использовал анонимную сеть VPN, маскировавшую его IP-адрес.
Фирма Elite VPN, которая предоставляла ему такие услуги, расположена в России. Более того, тот IP, который использует хакер, не предлагается на выбор обычным пользователям данного сервиса. Последнее обстоятельство, по оценке ThreatConnect, может означать, что речь идет не об обычном хакере-одиночке и за ним стоит некая команда.
На пресс-конференции в начале января компания Crowdstrike вновь выразила уверенность в том, что за атаками стоят российские хакеры. Имен конкретных исполнителей или однозначных доказательств специалисты не привели, но в то же время представители компании подчеркнули, что коды вредоносных программ, которыми пользуются хакеры, имеют уникальный характер и не находятся в публичном доступе. Кроме того, по словам специалистов Crowdstrike, в распоряжении взломщиков имеется мощная инфраструктура, что свидетельствует о хорошо подготовленной группе хакеров.
Смотрите также: