Офтоп
Анатолий Чиквин

Grizzly Steppe: что известно о расследовании хакерских атак в США

Директор ЦРУ Джон Бреннан в интервью телеканалу PBS заявил, что президенту Бараку Обаме будет представлен доклад о «вовлечённости» России в политический процесс США. Однако на прямой вопрос ведущего, убеждён ли он, что за кибератаками стоит только Россия, Бреннан уклонился от ответа, сославшись на секретность. История о русских хакерах, сотрясших политическую систему США, обрастает новыми подробностями.

Директор ЦРУ Джон Бреннан

С самого начала расследование о вмешательстве России во внутриполитические процессы в США выглядело довольно странно. ФБР то отказывалось признавать, что речь идёт именно о российских хакерах, то публиковало совместный доклад с министерством внутренней безопасности, в котором признавало это.

Администрация президента то говорила, что до окончания следствия преждевременно обвинять российское руководство, то напрямую обвиняла Путина в личном вмешательстве.

Даже версии, которые рассматривали спецслужбы, разнились. Первоначально они склонялись к тому, что кибератаки направлены на помощь Дональду Трампу в борьбе за кресло президента, а затем пришли к выводу, что они имели целью сорвать процесс выборов в целом.

Итоговый доклад Министерства национальной безопасности США и ФБР тоже не произвёл впечатления на общественность и выглядел не попыткой представить доказательства, а скорее как политический жест.

Предыстория

В июле 2016 года из-за допущенной опечатки при попытке предупредить однопартийцев о фишинговых письмах были взломаны почтовые серверы Национального комитета Демократической партии США. Её результатом стала утечка электронной переписки — сайт WikiLeaks опубликовал более 19 тысяч писем, предназначавшихся для внутреннего пользования.

Достоверно установить национальную принадлежность хакеров американским правоохранительным органам не удалось. При этом основатель WikiLeaks Джулиан Ассанж заявил, что его организация не получала информацию от правительственных источников, в том числе от российских властей.

Впоследствии атакам подверглись фандрайзинговый комитет, поддерживающий кандидатов в конгресс США от Демократической партии, и предвыборный штаб кандидата в президенты Хиллари Клинтон.

Штаб кандидата немедленно обвинил во вмешательстве Россию, а Владимир Путин и другие официальные лица впоследствии неоднократно отрицали свою причастность к происходящему.

«Российская карта» активно разыгрывалась в ходе избирательной кампании — во время дебатов Клинтон неоднократно заявляла, что 17 разведывательных ведомств США подтвердили влияние лидера России на президентские выборы. Дональд Трамп возражал ей, говоря, что невозможно установить, кто на самом деле атаковал американские серверы.

Спецслужбы США при расследовании тогда разошлись в своих оценках. Министерство национальной безопасности и Национальная разведка в итоге выпустили совместное заявление, в котором обвинили Россию, однако ФБР не поддержало его, согласившись лишь с выводами о том, что за кибератаками стоят «власти иностранных государств».

Trump Organization и «Альфа-Банк»

Одна из версий, которую отрабатывало следствие — это стремление России таким образом помочь Дональду Трампу победить на выборах. Однако обнаружить сколь-нибудь убедительных доказательств связи между Трампом и российскими службами в ФБР не смогли.

Американский журнал Slate сообщил, что по данным неназванных специалистов существовали «устойчивые отношения» между сервером, зарегистрированным на компанию Trump Organization, и двумя серверами, зарегистрированным на «Альфа-Банк».

The New York Times писала, что агенты ФБР изучили «странную активность» сервера, на который с весны 2016 года поступило почти три тысячи сообщений «Альфа-Банка», однако версия о «о секретном канале переписки» не подтвердилась. В ведомстве сочли это безобидным спамом.

Пресс-секретарь Trump Organization Хоуп Хикс отметила, что сервер не является секретным и не используется с 2010 года, а также опровергла связь с «Альфа-Банком» и любой другой российской компанией.

Официальный представитель банка, по сообщению The Guardian, назвал информацию о связи с Трампом «заведомо ложной».

Recorded Future и комиссия по содействию выборам

Компания Recorded Future, работающая в сфере IT-безопасности, обнаружила на чёрном рынке регистрационные данные более 100 сотрудников американской комиссии по содействию выборам. Об этом в середине декабря писало Reuters.

Именно эта комиссия занимается сертификацией систем, используемых при голосовании и разработке технических стандартов для выборов.

Действуя в качестве потенциальных покупателей, представители компании вышли на русскоговорящего хакера, который получил доступ к закрытой информации о проблемах с оборудованием, применяемом в ходе выборов.

Recorded Future отмечает, что теоретически эти данные можно было использовать для атаки на конкретные машины по обработке бюллетеней, однако расследование ФБР не выявило фактов их использования. Спецслужбы также не подтвердили тот факт, что говорящий по-русски хакер работал на какое-либо иностранное правительство.

Кампания «Grizzly Steppe»

Совместный доклад Министерства национальной безопасности США и ФБР о результатах расследования хакерских атак был опубликован 29 декабря. В нём рассказывается об активности, которую развернули российские спецслужбы под условным названием «Grizzly Steppe».

В докладе речь идёт о двух атаках в рамках этой активности: одна была осуществлена летом 2015 года, другая — весной 2016 года. Осуществившие их группы получили обозначения APT28 и APT29 («Advanced Persistent Threat» — «Продвинутая продолжительная угроза»).

В документе утверждается, что эти группы занимались фишингом, распространяя ссылки на поддельные сайты, имитирующие сайты целевых организаций, а также распространяли вирусы через рассылку файлов сотрудникам целевых организаций.

В числе альтернативных названий предполагаемых российских агентов содержится имя группировки Fancy Bear — хакеров, публиковавших данные о получении атлетами терапевтических разрешений на употребление запрещённых медицинских препаратов. Всего в списке указано более 40 названий различных хакерских группировок.

Как поясняется на сайте Белого дома США, сбором и подтасовкой информации занималось ГРУ, ему в этом помогала ФСБ. По информации американских властей, «Специальный технологический центр» помогал ГРУ перехватывать данные, а «Профессиональное объединение конструкторов систем информатики» занималось обучением сотрудников. Компания «Цифровое оружие и защита» при этом вела разработку и технические исследования. Кроме того, эксперты считают, что кибератаки хакеров продолжились и после выборов президента.

Burlington Electric и вредоносный код

Энергетическая компания Burlington Electric Department 29 декабря сообщила, что нашла в одном из своих компьютеров вредоносный код Grizzly Steppe, «характерный для хакерских атак из России».

Найти его удалось только после полной проверки всех компьютеров на машине, которая не была подключена к внутренней сети компании. Цель атаки не указывалась, но отмечалось, что вмешательство в электросети могло бы причинить серьёзный ущерб и даже привести к жертвам.

Burlington Electric является крупнейшей энергокомпанией штата Вермонт и единственной, которая обслуживает город Берлингтон и его международный аэропорт.

Burlington Electric опровергла сообщения о том, что её сеть была взломана. Газете The Washington Post, первой сообщившей о взломе, 2 января пришлось опровергнуть свою информацию о найденном коде и указать, что речь шла всего лишь о «подозрительной интернет-активности».

По словам журналистов, сотрудник отдела Burlington Electric проверял свою электронную почту и получил предупреждение о том, что его компьютер пытается соединиться с подозрительным IP-адресом из списка связанных с российскими хакерами.

Реакция и санкции

27 декабря газета Washington Post со ссылкой на свои источники рассказала, что Белый дом готовит России ответ за кибератаки. «Президент может выбрать такой ответ, о котором мы не объявим публично», — заявил тогда пресс-секретарь Белого дома Джош Эрнест.

29 декабря Барак Обама подписал указ, вводящий санкции против ряда граждан и организаций России. Как говорится в документе, экономические санкции введены из-за кибератак против США. Помимо коммерческих организаций в санкционный список попали сотрудники ГРУ и ФСБ.

В тот же день США объявили о высылке 35 российских дипломатов.

Владимир Путин, в свою очередь, отказался симметрично отвечать на новые санкции. В заявлении, размещённом на сайте Кремля, указано, что российская сторона не будет создавать проблемы американским дипломатам и высылать их.

Избранный президент США Дональд Трамп приветствовал решение Путина и пообещал обсудить создавшуюся ситуацию с представителями американской разведки, но не стал комментировать введение новых санкций. Он назвал в качестве возможного дня встречи 3 или 4 января, отметив, что не уверен в причастности России к кибератакам.

4 января Трамп в своём твиттере сообщил, что подготовленный для него доклад разведки перенесён на пятницу 6 января.