Обвинённые Минюстом США российские разведчики скрывались за платежами в биткоинах, но их это не спасло

На чём прокололись хакеры из ГРУ, которых обвинили в попытке повлиять на выборы в США.

13 июля Минюст США предъявил официальные обвинения 12 сотрудникам Главного разведывательного управления Генштаба РФ (ГРУ) по делу о вмешательстве в выборы президента США в 2016 году. Главное, что обсуждалось по следам опубликованного документа с обвинением — упоминания о том, как российские разведчики сохраняли свою анонимность при помощи платежей с использованием наиболее популярной криптовалюты, биткоина.

Группа разведчиков прибегала к разным мерам безопасности, чтобы избежать обнаружения. После того, как они через фишинговое письмо получили доступ к компьютеру сотрудника Демократической партии США, они установили на него программу для слежки и снятия скриншотов экрана и пересылали на арендованный сервер в Аризоне — но позднее стали использовать прокси-сервер за рубежом, чтобы скрыть связь между взломанным компьютером и своим сервером. Для публикации украденных документов Демпартии разведчики зарегистрировали домен dcleaks.com (изначально они пытались зарегистрировать electionleaks.com, но почему-то отказались от этой идеи) через румынский сервис, который позволяет скрыть личность владельца домена.

За аренду домена разведчики расплатились при помощи криптовалюты с биткоин-кошелька, привязанного к почте [email protected]. Кроме того, биткоинами они расплатились и за хостинг-сервер в Малайзии. По данным из обвинения, всего группа попыталась отмыть (то есть скрыть источник средств) порядка 95 тысяч долларов.

Участники группировки соблюдали некоторые меры предосторожности: например, изначально криптовалюта была куплена на бирже, где были возможны peer-to-peer переводы, во время которых сама биржа не получала данных, откуда и куда уходят деньги. Кроме того, некоторые биткоины были получены через майнинг, то есть полностью анонимно. Однако оказалось, что почта [email protected] использовалась ими и в сервисе сокращения ссылок, через который один из участников группы пропустил ссылку в изначальном фишинговом письме.

Тот факт, что блокчейн хранит в себе все произведённые транзакции, позволил расследованию во всех подробностях изучить связи между ними — и сделать соответствующие выводы, пишет The New York Times. И хотя биткоин даёт определённую степень анонимности, из-за сложности операции и большого количества участников было трудно не допустить определённых ошибок, которые и привели к деанонимизации, пишет TechCrunch.

Были и другие проколы: например, Твиттер-аккаунт @dcleaks_ был зарегистрирован с того же компьютера, что и @BaltimoreIsWhr. Последний использовался в 2016 году для призывов к протестам чернокожего населения против Клинтон со слоганом «Blacks against Hillary».

После того, как 14 июня 2016 года специалисты сообщили о взломе Демпартии США, разведчики создали вымышленную личность Guccifer 2.0, взявшего ответственность за атаку — он представлялся хакером из Румынии. Перед тем, как Guccifer 2.0 опубликовал своё первое обращение, разведчики через расположенный в Москве сервер искали в интернете несколько английских фраз (в том числе перевод фразы «широко известный»), которые вошли в обращение Guccifer 2.0. Помимо этого, аккаунт Guccifer_2 в Твиттере был зарегистрирован разведчиками через VPN-сервер, за аренду которого они также расплатились биткоинами.

15 июня 2016 года — на следующий день после первого публичного сообщения об атаке на Демпартию США — пресс-секретарь РФ Дмитрий Песков утверждал, что Россия не имеет отношения ко взлому базы данных национального комитета Демократической партии США. Песков также исключил возможность того, что российское правительство или какие-либо правительственные учреждения были связаны с этой атакой.

#технологии #взломы #хакеры #русскиеботы #политика