Кибератака на партию Хиллари: след русских хакеров?
29 июля 2016 г.Вот уже неделю в США не утихает скандал с кибератакой на серверы Национального комитета Демократической партии США (DNC), разразившийся после публикации порталом WikiLeaks почти 20 тысяч электронных писем, написанных или полученных чиновниками комитета. WikiLeaks опубликовал переписку 22 июля, однако сама информация о взломе серверов DNC появилась месяцем ранее.
Вдобавок к этим злоключениям Демократическая партия на днях, похоже, подверглась новой атаке хакеров. Об этом вечером в четверг, 28 июля, сообщили западные СМИ. На этот раз под ударом оказался комитет Демократической партии по выборам в Конгресс (DCCC), занимающийся сбором средств для претендентов на места на Капитолии. DW собрала главные факты об атаке хакеров на Демократическую партию США.
Что выяснилось после публикации WikiLeaks
Из опубликованных писем стало понятно, что глава DNC Дебби Вассерман Шульц и другие функционеры комитета всеми силами пытались помешать избирательной кампании Берни Сандерса, главного внутрипартийного конкурента кандидата в президенты США Хиллари Клинтон. После обнародования этой информации Вассерман Шульц подала в отставку. Источник утечки переписки Демократической партии неясен, однако еще 14 июня DNC признал, что его серверы были взломаны.
Кто взломал серверы DNC
Две американские компании, занимающиеся вопросами интернет-безопасности, независимо друг от друга изучившие взлом, пришли к выводу, что к нему причастны по меньшей мере две группы хакеров. Одна из них, Cozy Bear ("Уютный медведь"), имела доступ к серверам комитета с прошлого лета, свидетельствуют данные компании CrowdStrike, проводившей расследование по просьбе DNC.В прошлом году эти же хакеры атаковали серверы Белого дома, Госдепартамента и Комитета начальников штабов вооруженных сил США, следует из отчета CrowdStrike, опубликованного 15 июня.
Вторая группа взломщиков, Fancy Bear ("Модный медведь"), действовавшая независимо от предыдущей, взломала серверы DNC в апреле 2016 года, установили в CrowdStrike. Ей также приписывают кибератаку на компьютерные сети немецкого бундестага в мае прошлого года и взлом сетей французского телеканала TV5Monde в апреле того же года.
В свою очередь расследование фирмы SecureWorks, подразделения по кибербезопасности корпорации Dell, показало, что взлом почты функционеров DNC - дело рук хакерской группы TG-4127, которая также взломала домен предвыборного штаба Хиллари Клинтон hillaryclinton.com, получив доступ к переписке его сотрудников. Атака на DNC и сотрудников предвыборного штаба, по данным SecureWorks, происходила с марта по май 2016 года.
Как действовали хакеры
Проанализировав методы работы хакеров, специалисты SecureWorks пришли к выводу, что TG-4127 и Fancy Bear - одна и та же группа лиц. Судя по всему, они использовали одну и ту же вредоносную программу и инфраструктуру, чтобы получить доступ к переписке DNC, пояснил в интервью DW Том Финни, специалист по безопасности в подразделении SecureWorks по борьбе с угрозами: "То есть эти субъекты, по всей видимости, полностью совпадают".
Атаке со стороны этих хакеров подверглись электронные ящики сотрудников DNC и предвыборного штаба Хиллари Клинтон, созданные на почтовом сервисе Google. Чтобы получить доступ к их почте, злоумышленники отправляли им электронные письма, содержащие ссылку на поддельный сайт, внешне абсолютно идентичный веб-странице для входа в почту Gmail.
При этом имя пользователя в соответствующем поле было введено автоматически. Жертве оставалось только ввести пароль, чтобы хакеры получили доступ к ее переписке. В свою очередь хакеры Coz yBear, по сведениям CrowdStrike, рассылали жертвам ссылки на зараженный файл, внедряющий вирус в компьютерную систему.
Имеет ли Россия отношение к кибератаке
Точно неизвестно. Однако специалисты CrowdStrike и SecureWorks полагают, что обе группы хакеров, Cozy Bear и Fancy Bear (или TG-4127), действовали в интересах российских властей. По словам Тома Финни, эксперты SecureWorks около года следили за группой TG-4127 и им удалось выяснить, что среди тех, кто подвергался атаке хакеров, оказались украинские политики и армия, а также правительство Грузии.
Кибервзломщики также атаковали представителей вооруженных сил США и Великобритании, российских политиков и журналистов, критиковавших власти РФ. "Мы посмотрели на цели атак - Грузия, Украина, оппоненты российских властей - и задались вопросом: у какой страны могут быть интересы во всех этих областях", - объяснил Финни, добавив, что сложно найти другую страну помимо России с такой широтой интересов.
Предвыборный штаб Хиллари Клинтон напрямую обвинил Россию во взломе сервера и краже переписки DNC с целью поддержки кандидата в президенты от республиканцев Дональда Трампа.
Кто такой Guccifer 2.0
Ответственность за утечку переписки внутри DNC, равно как и за взлом его сервера, о котором стало известно в середине июня, взял на себя некий хакер Guccifer 2.0. На своем сайте он рассказывает, что родился в Восточной Европе, но не уточняет, где именно.
По мнению американских специалистов, появление Guccifer 2.0 не что иное как часть дезинформационной кампании российских спецслужб, призванной отвлечь внимание от взлома серверов DNC.
Как установили аналитики компании ThreatConnect, Guccifer 2.0 пользуется расположенной в России анонимной сетью VPN, чтобы общаться со СМИ и "сливать" им документы. "Это открытие подкрепляет наши выводы, что Guccifer 2.0 - это российское средство пропаганды, а не независимый игрок", - следует из материалов TthreatConnect, опубликованных 26 июля.
В SecureWorks не исключают, что передать данные с серверов DNC могли хакеры из TG-4127. Сам Guccifer 2.0 отрицает свою связь с Россией, заявляя, что взлом сервера DNC - его "личный проект".
Смотрите также: