Фирма CrowdStrike связала вредоносные программы, применявшиеся в атаке на национальный комитет, с хакерскими программами, с помощью которых проводился взлом и отслеживание Android-приложения, которое использовала украинская армия в борьбе против пророссийских сепаратистов на востоке Украины с конца 2014 до 2016 года.
CrowdStrike была нанята Национальным комитетом Демократической партии для расследования вторжения, результаты работы компании описаны в новом докладе. Компания всегда подозревала, что одной из двух хакерских групп, атаковавших комитет, была ГРУ, военная разведка России, но абсолютной уверенности не было. Теперь, говорит Дмитрий Альперович, соучредитель CrowdStrike, «мы с уверенностью можем утверждать», что это было подразделение ГРУ. CrowdStrike окрестила его подразделением «Fancy Bear». ФБР, которое в течение нескольких лет расследует российские хакерские атаки на политические, государственные, академические и другие организации, в частном порядке сделали такие же выводы. Но бюро публично не объявляло о связи с ГРУ.
CrowdStrike указали на причастность ГРУ, что помогает углубить общественное понимание того, как разные силы российского правительства осуществляют вредоносные и опасные кибератаки в Соединенных Штатах. Директор национальной разведки и министр внутренней безопасности в октябре публично обвинили российское правительство во вмешательстве в выборы США, в том числе путем взломов политических организаций и государственных систем выборов. После выборов, ЦРУ и другие спецслужбы пришли к выводу, что одна из целей России заключалась в том, чтобы помочь избранному президенту Дональду Трампу выиграть выборы посредством кампании «активных мер» или операций по вводу агентов влияния, которые включали хакерские атаки и публикацию писем на общедоступных веб-сайтах.
ГРУ, видимо, имело ключевое значение для этой операции. «ГРУ используется как для сбора данных тактической разведки на поле боя в поддержку российских военных операций, так и для стратегических активных мер или психологической войны за рубежом», — сказал Альперович, который является экспертом по России и старший научным сотрудником Атлантического совета. «Весьма пугающим является тот факт, что они отслеживают и помогают российской армии убивать солдат украинской армии на востоке Украины, а также вмешиваться в выборы США».
CrowdStrike обнаружили, что вариант вредоносной программы Fancy Bear, который был использован для проникновения в сеть комитета демократов в апреле 2016 года, также применялся для взлома Android-приложения, разработанного украинской армией, чтобы помочь артиллерийским войскам более эффективно наводить свои устарелые гаубицы на цели. Как правило, для наведения украинских буксируемых гаубиц Д-30, времен советской эпохи, необходимо несколько минут, данные для наведения вводятся вручную. С Android-приложением это занимало 15 секунд, обнаружили CrowdStrike. Команда Fancy Bear, очевидно, взломала приложение, позволив ГРУ использовать GPS-координаты телефонов для отслеживания позиций украинских войск. Таким образом, российская армия могла наводить на украинских военных артиллерию и другое оружие. Украинские подразделения, задействованные на востоке Украины, находились на передовой конфликта с поддерживаемыми Россией сепаратистскими силами на его ранних стадиях в конце 2014 года, отметили CrowdStrike.
К концу 2014 года, число российских войск в регионе достигло примерно 10 тысяч. Android-приложение помогало российским войскам определять позиции украинской артиллерии. По данным Международного института стратегических исследований, за два года конфликта украинские артиллерийские войска потеряли более 50 процентов своего оружия и более 80 процентов своих гаубиц Д-30, это самый высокий процент потерь артиллерийского оружия в арсенале, говорится в докладе. Приложение не было доступно в Android-магазине, и распространялось только через страницу его разработчика в социальной сети, украинского офицера-артиллериста, Ярослава Шерстюка, говорят в CrowdStrike. Активация приложения была возможна только после связи с разработчиком и отправки кода для индивидуальной загрузки приложения. Другая группа, которая взломала комитет демократов, также работает на российскую разведку, сообщала CrowdStrike ранее в этом году.
Но фирма не уверена, с кем они в большей степени связаны — с сосредоточенной на внутренних делах страны ФСБ, или со службой внешней разведки. Обе преемницы КГБ. Эта группа, которую CrowdStrike назвали Cozy Bear, по-видимому, не была задействована в операции по вводу агентов влияния, сказал Альперович. Скорее всего, она ориентирована на традиционный шпионаж. Это группа, которая, как полагают, взломала несекретные сети Государственного департамента, Белого дома и Объединенного комитета начальников штабов.
