Кібератаки в США: сліди ведуть у Росію?
6 січня 2017 р.На початку наступного тижня у публічному доступі повинна з'явитися незасекречена частина доповіді американських розвідслужб про іноземне втручання у вибори президента США. 5 січня повний звіт на цю тему було надано чинному президенту Бараку Обамі, 6 січня з дослідженням ознайомився його наступник Дональд Трамп.
Озвучуючи підсумки розслідування перед Сенатом, глава Нацрозвідки США Джеймс Клеппер підтвердив, що, на думку американських спецслужб, кібератаки були здійснені хакерами з Росії і санкціоновані російськими високопосадовцями. Чи будуть в незасекреченій частині доповіді представлені однозначні докази причетності Росії до хакерських атак, невідомо. Поки у всіх звітах фігурували непрямі докази. DW розповідає, в чому звинувачують комп'ютерних зломщиків і про які свідчення того, що хакери діяли з Росії, відомо на даний момент.
Кого і в яких кібератаки звинувачують?
Основну увагу спецслужби приділяють двом епізодам злому серверів Демократичної партії в 2015 і 2016 роках. Наприкінці грудня міністерство внутрішньої безпеки і Федеральне бюро розслідувань (ФБР) підготували доповідь про ці атаки. У документі стверджувалося, що ці акції здійснили два хакерські угрупування, пов'язані з російською військовою та цивільною розвідкою. Влітку 2015 року діяли хакери з групи Cozy Bear (дослівно "лагідний ведмідь", відома ще як APT29), а навесні 2016 року - Fancy Bear (дослівно "прикольний ведмідь", відома ще як APT28).
Висновок про те, що до однієї з атак причетна група Fancy Bear, підтверджували також розслідування фірми SecureWorks (підрозділ з кібербезпеки корпорації Dell. - Ред.) і компанії-розробника антивірусного програмного забезпечення ESET.
Компанія Crowdstrike, яка проводила влітку розслідування на прохання Національного комітету Демократичної партії (DNC), висловила припущення, що Cozy Bear працюють під керівництвом ФСБ, Fancy Bear - під керівництвом військової розвідки ГРУ.
Чому звинувачують саме Росію?
Публічно озвучувалися кілька непрямих ознак, що вказують на те, що обидві хакерські групи базуються в Росії і діють в інтересах російських спецслужб. Зокрема, вивченню хакерської активності Fancy Bear були присвячені розслідування компанії FireEye, що спеціалізується на комп'ютерній безпеці, і вже згаданої ESET. Їхні висновки зводяться до двох основних тез.
Перша: хакери зламують тих, хто міг би бути цікавий російським спецслужбам. Так, об'єктами атак Fancy Bear в різний час були, поряд з американськими цілями, структури НАТО, уряди і оборонні відомства Грузії і України, російські опозиційні діячі. "Ми спостерігаємо за роботою добре тренованої команди розробників, які збирають розвідувальну інформацію з геополітичних питань і питань оборони - даних, цікавих тільки урядам", - написала в своєму звіті FireEye.
Другий аспект, який відзначають ті, хто вивчав роботу хакерів - це час їхньої активності. Більше 96 відсотків атак з боку Fancy Bear, зафіксованих фахівцями FireEye, мали місце з понеділка по п'ятницю, 89 відсотків зломів були здійснені з 10 до 18 за московським часом. На збіг активності цієї хакерської групи з офісними годинами роботи за московським часом вказують і аналітики ESET.
Ще одну нитку, яка зв'язує зломщиків з Росією, знайшли фахівці компанії ThreatConnect. Відповідальність за витік листування всередині DNC взяв на себе хакер з ніком Guccifer 2.0. Проаналізувавши технічні дані листування Guccifer 2.0 з представниками ЗМІ, аналітики зуміли встановити, що він використовував анонімну мережу VPN, яка маскувала його IP-адресу.
Фірма Elite VPN, яка надавала йому такі послуги, розташована в Росії. Більш того, той IP, який використовує хакер, не пропонується на вибір звичайним користувачам даного сервісу. Остання обставина, за оцінкою ThreatConnect, може означати, що йдеться не про звичайного хакера-одинака і за ним стоїть якась команда.
На прес-конференції на початку січня компанія Crowdstrike знову висловила впевненість у тому, що за атаками стоять російські хакери. Імен конкретних виконавців або однозначних доказів фахівці не навели, але в той же час представники компанії підкреслили, що коди шкідливих програм, якими користуються хакери, мають унікальний характер і не перебувають у публічному доступі. Крім того, за словами фахівців Crowdstrike, у розпорядженні хакерів є потужна інфраструктура, що свідчить про діяльність добре підготовленої групи.