Глава 30 Модный медведь
Холодная кибервойна между Россией и США продолжается с момента, когда закончилась холодная война, — и если в конце 1980-х советские спецслужбы получали секретные американские данные от немецких хакеров, то через несколько лет заниматься взломами начали уже сами россияне.
В 1996 году группировка Moonlight Maze, которую связывали с российской разведкой, похитила значительное количество документов из правительственных и университетских сетей США, включая Пентагон и NASA. К расследованию атак подключился Роберт Гурли, опытный сотрудник спецслужб, который во время холодной войны отслеживал советские подводные лодки. Когда его команда исследовала следы кибершпионов, выяснилось, что тех интересуют гидродинамика, океанография, геофизика и технологии слежки и что в хакерском коде были фрагменты на кириллице [227].
Информация об атаке скоро появилась в прессе. В еженедельнике Newsweek вышел [228] материал «Мы находимся на кибервойне». В статье говорилось, что публика впервые узнала о попытках российской разведки получить американские технологии — при этом в Минобороны США журналистам заявили, что это «кибервойна уже в разгаре». Военные чиновники называли хакеров «терпеливыми и настойчивыми» и предполагали, что после первого вторжения они просто начали применять новые инструменты: «Зарылись в сети так глубоко, что их невозможно теперь отследить».
В конце концов Белый дом одобрил запрос ФБР на поездку в Россию для встречи с представителями спецслужб. Американцы решили не обсуждать взломы как дело государственной важности, а просто попросить помощи коллег в расследовании кражи. В Москву отправились около 10 сотрудников спецслужб США.
Их встретили как дорогих гостей — весь первый день визита представлял собой сплошное застолье с тостами, водкой и икрой. На следующий день американцы отправились в российское Министерство обороны. Когда он обсуждали атаки, их собеседник, генерал армии, смущенно обвинил «этих ублюдков в разведке» и заявил, что не приветствует подобные действия. Это была последняя встреча американцев с российскими военными — агенты ФБР провели в Москве еще четыре дня, но в Минобороны их больше не звали. На следующие несколько лет хакеры, которых связывали с Россией, замолчали.
Профессор Королевского колледжа Лондона Томас Рид продолжал расследование действий Moonlight Maze следующие два десятка лет. В 2016 году оно привело его в одну из английских деревень, в которой жил эксперт по компьютерной безопасности, анализировавший атаки 1996 года. Рида интересовал один из его компьютеров, который взломали русские хакеры; оказалось, что тот до сих пор его хранит. Лондонский ученый исследовал компьютер вместе с экспертами из «Лаборатории Касперского» и обнаружил часть вредоносного кода того времени. Оказалось, что он до сих пор используется российскими прогосударственными хакерами.
***
Атаки российских хакеров на различные американские институции продолжались годами, но самыми резонансными и, видимо, эффективными стали взломы 2015 года. Тогда хакеры из группировки Fancy Bear — судя по всему, представители российских кибервойск — внедрились в систему Национального комитета Демократической партии США.
Сделали это они самым простым способом — с помощью фишинговых писем (по данным аналитической компании Crowdstrike, демократов взламывали дважды — летом 2015 года и в апреле 2016 года). Получив доступ к переписке высокопоставленных сотрудников комитета и партии, они передали ее Wikileaks, которые выложили письма в публичный доступ за несколько месяцев до президентских выборов. В них обнаружилась информация, компрометирующая Хиллари Клинтон, которая баллотировалась на этот пост от демократов: партийные координаторы обсуждали между собой, как насолить ее внутрипартийному конкуренту Берни Сандерсу; одна из представителей партии согласовывала с Клинтон вопросы, которые ей должны были задать во время публичного интервью.
Ответственность за атаку тогда взял на себя хакер Guccifer 2.0. Свой псевдоним он позаимствовал у румына Марцела Лехела, который в тот момент находился в американской тюрьме, ожидая приговора за причастность ко взлому почтовых ящиков румынских и американских политиков.
На сайте Guccifer 2.0 говорилось, что он родом из Восточной Европы и считает, что переписку политиков необходимо предавать огласке. Хакер специально указывал, что не связан с Россией, и отмечал, что все последние хакерские атаки приписывают россиянам, несмотря на то что теми же методами могут действовать люди со всего мира. Guccifer 2.0 утверждал, что миф о могущественных русских хакерах запустила «Лаборатория Касперского», преследуя собственные бизнес-интересы.
Действия, слова и файлы «Гуччифера» принялись изучать сотни людей — обнаруживая все больше доказательств того, что хакер (или хакеры) все-таки действительно связан с Россией. Одними из самых ярких стали находки в метаданных украденных писем: их открывали на компьютере, использующем русский язык, а одно из писем исправил [229] пользователь «Феликс Эдмундович»: видимо, хакеры зачем-то оставили таким образом послание.
Когда мне однажды удалось побывать в здании ФСБ, я понял, что Дзержинский по-прежнему остается для сотрудников российских спецслужб героем и символом: календари с его портретом висят чуть ли не в каждом кабинете дома на Лубянке.
С июля 2016 года «российские хакеры» стали одной из главных тем американской политики. Штаб Клинтон сразу же обвинил Кремль в организации атак и помощи Дональду Трампу, кандидату в президенты от республиканцев. Трамп все отрицал; позже, выиграв выборы, он продолжил говорить, что никак не сотрудничал с Россией, — хотя стал допускать, что хакеры могли действовать в интересах Кремля. Пресс-секретарь Владимира Путина Дмитрий Песков заявлял [230]. что Россия никаким образом не причастна к атаке.
Расследовать произошедшее начали сразу несколько американских ведомств; в январе 2017 года Управление директора национальной разведки США опубликовало доклад [231], в котором говорилось, что президент России Владимир Путин лично распорядился начать «кампанию по вмешательству» в президентские выборы в США. Такой вывод американская разведка делает «с высокой степенью уверенности».
***
Атаки 2016 года, видимо, были частью государственной разведывательной операции, продолжающейся еще с середины 2000-х. В киберзащитной компании Trend Micro указывали, что одна и та же группа с середины 2000-х атакует организации и политиков, угрожающие интересам России (во всяком случае, по версии самой России). В 2008 году, например, они атаковали Пентагон. Киберзащитные компании называли российских хакеров по-разному — то Pawn Storm, то АРТ28 {20}, то Tsar Team, то Fancy Bear, но их цели оставались примерно одними и теми же. Например, Fancy Bear за 2015 год отправили [232] минимум 4400 фишинговых писем — среди адресатов были российские оппозиционеры, политики многих европейских стран, сотрудники НАТО, Демократическая партия США. Рассылали хакеры и письма с зараженными вложениями.
Впервые ответственность за атаку Fancy Bear взяли на себя после взлома Всемирного антидопингового агентства — в сентябре 2016 года. Тогда у группы появился сайт fancybear.net, оформленный карикатурным медведем в маске движения Anonymous — хакеров-активистов, которые в начале 2010-х атаковали террористов, саентологов и правительственные ресурсы, занимающиеся цензурой; там и были выложены [233] документы ВАДА. Взлом произошел через несколько недель после отстранения российских спортсменов от Олимпиады в Рио-де-Жанейро за употребление запрещенных препаратов. Из документов, опубликованных Fancy Bear, следовало, что допинг — с разрешения агентства — принимали и известные американские спортсмены. Представители ВАДА обвинили во взломе Россию.
Прямых доказательств связей между Fancy Bear и российскими властями долго не существовало. Среди косвенных свидетельств того, что эти связи существуют, эксперты указывали [234], например, тот факт, что работают хакеры с 9 до 17 часов по московскому времени. В используемом ими коде можно было обнаружить кириллические фрагменты, среди серверов — те, что располагаются [235] в России, а для ответов на запросы журналистов хакеры использовали «российский VPN». Впрочем, главным доказательством все равно остается то, что атаки совершаются фактически в интересах российских властей.
Эксперты киберзащитной компании Eset говорили, что группа «отличается высоким уровнем технической подготовки». По их данным, Fancy Bear постоянно использует «уязвимости нулевого дня» — ранее неизвестные «дыры» в программном обеспечении (только в 2015 году Fancy Bear отыскали их шесть в Windows, Java и Adobe Flash; для сравнения, в кибероружии Stuxnet, которое применялось при атаке на иранскую ядерную программу, использовалось [236] четыре уязвимости нулевого дня). Для работы с похожими уязвимостями, видимо, набирали [237] специалистов в Центр специальных разработок Минобороны.
Поиск и разработка таких «дыр» — сложное и долгое дело, а значит, требует серьезных финансовых вложений. При этом группировка не совершала [238] «коммерческих взломов» вроде кражи денег с банковских счетов и не торговала результатами своих исследований (стоимость уязвимостей нулевого дня на черном рынке начинается от нескольких десятков тысяч долларов).
«Лаборатория Касперского» еще в 2014 году рассказывала [239] о группировке АРТ28, действующей теми же методами, что Fancy Bear, — до событий с выборами в США эксперты говорили о прогосу-дарственных хакерах значительно свободнее. АРТ28 атаковали Белый дом и Госдепартамент США, используя фишинг и прикрепленные к письмам видеоролики, при открытии которых на компьютер скачивались дополнительные модули вирусов. «Лаборатория Касперского», давно следившая за деятельностью группировки, считала ее участников россиянами из-за комментариев в коде на кириллице, версий операционных систем, на которых писался код, часовых поясов, а главное, из-за того, что технологии, которые использовали взломщики, пересекались с технологиями других русскоязычных хакерских групп.
***
О том, что за взломами серверов Демократической партии стоят не просто российские хакеры, а Минобороны и ГРУ было официально объявлено в январе 2017 года в докладе, под которым, по сути, подписалось все разведывательное сообщество США. Еще через полтора года последовали подробности — американское жюри присяжных утвердило обвинение в адрес 12 сотрудников Генштаба, осуществлявших атаки. В судебных документах было подробно изложено [240] кто и как, по версии американских расследователей, крал данные у демократов.
Большинство атак курировались из двух зданий — войсковой части 26165 на Комсомольском проспекте (про нее я уже рассказывал) и «башни» в Химках, которая официально называется «Центром управления повседневной деятельностью».
Согласно документам [241] американских спецслужб, подполковник Сергей Моргачёв командовал подразделением воинской части, разрабатывающей хакерское оборудование, в том числе программу X-Agent, которую часто используют хакеры. Ему помогали четверо лейтенантов. Борис Антонов руководил группой из четырех человек, которая взламывала компьютеры с помощью фишинговых писем. С ним работали трое сотрудников ГРУ.
Виктор Нетышко (один из сотрудников ГРУ которым было предъявлено обвинение) оказался кандидатом технических наук, в 2003 году защитившим диссертацию по специальности «Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей»; в 2010 году он был оппонентом на защите диссертации о компьютерных взломах в РГГУ. Его же подпись стоит под договорами о сотрудничестве между академией ФСБ и рядом московских математических школ — в документах указано, что школьников будут готовить к поступлению в «научные роты» Минобороны. Еще один обвиняемый, Дмитрий Бадин, в 2014 году участвовал в московской хакерской конференции Positive Hack Days.
Сотрудники ГРУ атаковали более трехсот компьютеров, связанных с Национальным комитетом Демократической партии США, партийным комитетом по выборам в Конгресс и президентской кампанией Хиллари Клинтон. Они рассылали письма от имени Google, якобы содержавшие уведомление о настройках безопасности. Внутри находилась ссылка, которая вела на сайт, созданный ГРУ.
В марте 2016 года таким образом была взломана почта главы избирательного штаба Клинтон Джона Подесты. В его ящике находилось более 50 тысяч писем. После этого сотрудники ГРУ создали почтовый ящик, адрес которого на одну букву отличался от адреса одного из участников кампании Клинтон. С него они разослали фишинговые письма другим сотрудникам штаба. В письмах якобы содержалась ссылка на xlsx-документ с рейтингами Клинтон; в действительности она вела на сайт, созданный ГРУ.
Одновременно сотрудники российской разведки атаковали компьютерные системы комитета Демократической партии по выборам в конгресс. Доступ был получен с помощью фишингового письма, отправленного одной из сотрудниц комитета. Она прошла по присланной ей ссылке и ввела пароль. С апреля по июнь 2016 года обвиняемые установили шпионскую программу X-Agent по меньшей мере на 10 компьютеров, подключенных к сети партийного комитета (этот же модуль устанавливался в Украине в приложениях для расчета баллистики). Программа записывала, какие клавиши нажимал пользователь, и делала снимки экрана его компьютера, а затем передавала украденные данные на сервер, который ГРУ арендовало в Аризоне.
С помощью X-Agent, в частности, были похищены пароли сотрудника комитета по выборам в Конгресс, который также имел доступ к сети Национального комитета Демократической партии. Таким образом были взломаны не менее 33 компьютеров, подключенных к этой сети.
На взломанных компьютерах подозреваемые, в частности, искали документы с упоминанием Хиллари Клинтон, Дональда Трампа и участника республиканских президентских праймериз Теда Круза. Они также скачали папки с информацией о расследовании нападения боевиков на посольство США в Бенгази в 2012 году (Хиллари Клинтон в то время занимала пост госсекретаря США, она давала показания по этому делу [242] на слушаниях в Конгрессе). Кроме того, хакеры получили доступ к финансовым документам, в частности, к планам сбора пожертвований на кампанию Клинтон.
Чтобы распространить эти документы, сотрудники ГРУ по версии американского следствия, притворились румынским хакером Guccifer 2.0. Как указано в документе, в июне 2016 года, когда Guccifer2.0 обвинили в том, что это имя используется как прикрытие для представителей российских спецслужб, с одного из серверов российской военной части 74455 поступили поисковые запросы о некоторых английских фразах (например, перевод словосочетания «широко известный перевод» или правописание слова illuminati). Через два с небольшим часа все эти фразы появились в заявлении Guccifer 2.0, в котором «хакер» категорически отрицал связь с Россией.
Тогда же, в июне 2016 года, обвиняемые запустили сайт DCLeaks, на котором выкладывали часть украденной переписки. Для его раскрутки были созданы аккаунты в фейсбуке и других соцсетях. Кроме того, они передавали похищенные данные третьей стороне, которая в обвинительном заключении указана как Organization 7, — скорее всего, имеются в виду Wikileaks.
Несмотря на некоторые доказательства связи российских хакеров из ГРУ с атакой во время президентской кампании в США, вопросов к этой истории не стало меньше. Россия по-прежнему отрицает атаки; ни один из названных сотрудников ГРУ ничего не прокомментировал. Один из моих собеседников — хакер, работавший в ФСБ по международной разведке, — во время одной из долгих прогулок по окраине Москвы рассказывал, что все еще сомневается в способностях ГРУ. Он уверен, что атаки совершали нанятые на форумах хакеры-фрилансеры.