Хакер, известный только под ником «Profexer», всегда оставался в тени. Он написал только компьютерный код в своей квартире и спокойно продал свою работу в анонимной части Интернета, известной как даркнет.
Но прошлой зимой он внезапно исчез. Посты Profexer, и без того доступные только небольшой группе хакеров и киберпреступников, которые искали подсказки в вопросах программного обеспечения, исчезли в январе — всего через несколько дней после того, как американские спецслужбы публично назвали программу, которую он написал, одним из инструментов, использованных при взломе Национального комитета Демократической партии.
Но хотя онлайн-персона Profexer'а исчезла, появился вполне реальный человек, из плоти и крови: напуганный человек, который, по словам украинской полиции, пришел с повинной в начале этого года и теперь стал свидетелем ФБР. «Я не знаю, что произойдет», — написал он в одном из своих последних сообщений, на веб-сайте с ограниченным доступом, прежде чем отправиться в полицию.
«Это не будет приятно. Но я все еще жив». Это первый известный пример появления живого свидетеля, на фоне массы технических деталей, которые до сих пор формировали расследование взлома комитета демократов и вызывали активные дебаты. Украинская полиция отказалась разглашать имя этого человека или другие подробности, кроме того, что он живет в Украине и не был арестован. Нет никаких доказательств того, что Profexer работал, по крайней мере, сознательно, на разведывательные службы России, в отличие от его вредоносного ПО.
То, что операция по взлому, которая, как убежден Вашингтон, была организована Москвой, задействовала вредоносное ПО от источника в Украине — возможно, самого ожесточенного врага Кремля — проливает свет на методы российских служб безопасности, в процессе того, что западные спецслужбы считают тайной кибервойной против США и Европы.
Это не маленькая команда государственных служащих, которые пишут свои коды и осуществляют атаки в рабочие часы в Москве или Санкт-Петербурге, это скорее гораздо более свободное предприятие, которое ищет таланты и инструменты для взлома, где только возможно. Кроме того, из Украины появляется более четкое представление о том, что, по мнению Соединенных Штатов, является правительственной группой хакеров, известной как Advanced Persistent Threat 28 или Fancy Bear. Именно этой группой, по мнению американских разведывательных агентств, управляет российская военная разведка, которую обвиняли вместе со вторым формированием, известным как Cozy Bear, во взломе демократов. Вместо того, чтобы обучать, вооружать и задействовать хакеров для выполнения конкретной миссии, как еще одну единицу, Fancy Bear и ее близнец Cozy Bear действуют скорее как центры организации и финансирования; большая часть тяжелой работы, такой как написание кодов, передается частным, часто преступным исполнителям.
Российское поле для испытаний
В течение более чем десятилетия отслеживания подозрительных кибератак, организованных Россией, на множество объектов на Западе и на бывших советских территориях — например, НАТО, электрические сети, исследовательские группы, журналистов, критикующих Россию, и политические партии — службы безопасности по всему миру определили лишь горстку людей, которые были непосредственно вовлечены в совершение таких атак или предоставление использованного кибероружия. Отсутствие надежных свидетелей предоставило Трампу и другим достаточно возможностей, чтобы подвергнуть сомнению реальную причастность России ко взлому комитета Демократической партии.
«И сейчас, и никогда ранее не было ни одного технического доказательства, которое связывало бы вредоносное ПО, используемое в атаке на демократов с ГРУ, ФСБ или любым другим ведомством российского правительства», — сказал Джеффри Карр, автор книги о кибервойне. ГРУ — российское агентство военной разведки, а ФСБ — федеральная служба безопасности РФ. Однако, разведывательные службы Соединенных Штатов недвусмысленно указали на Россию. Стремясь найти выход из этой ситуации, исследователи в сфере кибербезопасности и западные сотрудники правоохранительных органов обратились к Украине, стране, которую Россия в течение многих лет использовала в качестве лаборатории для целого ряда политизированных операций, которые позднее осуществлялись в других странах, включая хакерскую атаку на выборах в Соединенных Штатах.
В первую очередь определенные виды компьютерных вторжений происходили в Украине. Например, использование вредоносного ПО для выведения из строя критически важной инфраструктуры или кража сообщений электронной почты, которые позднее были опубликованы для изменения общественного мнения. Позже те же методы были использованы в Западной Европе и Соединенных Штатах. Таким образом, неудивительно, что те, кто изучает кибервойну в Украине, теперь находят подсказки в расследовании взлома демократов, включая появление редкого свидетеля. Эксперты по вопросам безопасности изначально недоумевали, когда Департамент внутренней безопасности 29 декабря опубликовал технические доказательства российского взлома, которые, как представлялось, указывали не на Россию, а скорее на Украину.
В этом первоначальном отчете отдела только один образец вредоносного ПО, по данным, был показателем взлома, финансируемого Россией, но, по мнению внешних экспертов, в процессе взлома были использованы различные вредоносные программы. Образец указывал на вредоносную программу, под названием P. A. S. web-shell, хакерский инструмент, рекламируемый на русскоязычных форумах Dark Web и используемый киберпреступниками на территории бывшего Советского Союза. Его автор, Profexer, является уважаемым техническим экспертом среди хакеров, о котором говорят с благоговением и уважением в Киеве. Он сделал его доступным для бесплатного скачивания с веб-сайта, на котором запрашивались только пожертвования, от 3 до 250 долларов США. Реальные деньги зарабатывались путем продажи индивидуальных версий и путем консультирования хакерских клиентов в вопросе их эффективного использования.
Остается неясным, насколько активно он взаимодействовал с российской хакерской командой. После того, как Департамент внутренней безопасности определил его работу, он быстро закрыл свой сайт и написал на закрытом форуме для хакеров Exploit: «Я не заинтересован в чрезмерном внимании к моей персоне». Вскоре появился намек на панику, и он отправил записку, в которой говорилось, что спустя шесть дней он все еще жив. Другой хакер под ником Злой Санта предположил, что американцы, несомненно, найдут его и арестуют, возможно, во время перелета в аэропорту. «Это возможно, или нет, все зависит только от политики», — ответил Profexer. «Если правоохранительные органы США захотят меня схватить, они не будут ждать меня в аэропорту какой-то страны. Отношения между нашими странами настолько близкие, что меня арестуют на моей кухне, по первому требованию». На самом деле, глава украинской киберполиции Сергей Демедюк сказал в интервью, что Profexer сам пришел к властям. Когда началось сотрудничество, Profexer исчез из хакерских форумов.
Он последний раз публиковал что-либо в Интернете 9 января. Демедюк сказал, что предоставил свидетеля ФБР, которое отправило в Киев специалиста по кибербезопасности на полный рабочий день в качестве одного из четырех агентов бюро, размещенных в посольстве Соединенных Штатов. ФБР отказалось от комментариев. Profexer не был арестован, потому что его деятельность оказывается в серой зоне закона, он автор, но не пользователь вредоносного ПО, заявляет украинская полиция. Но он действительно знал пользователей, по крайней мере, по их онлайн-именам. «Он сказал нам, что не создавал его для такого использования», — сказал Демедюк. Член парламента Украины, имеющий тесные связи со службами безопасности, Антон Геращенко, сказал, что взаимодействие проходило онлайн или по телефону, и что украинскому программисту заплатили, чтобы он написал индивидуальные вредоносные программы, не зная их цели, только позже он узнал об использовании для взлома Демократической партии. Геращенко очень абстрактно описал автора, чтобы защитить молодого человека из провинциального украинского города. Он подтвердил, что автор пришел в полицию и сотрудничал в качестве свидетеля в расследовании взлома демократов.
«Он был фрилансером, а теперь он ценный свидетель», — сказал Геращенко.
Берлога медведя
Пока неизвестно, что Profexer рассказал украинским следователям и ФБР о хакерских попытках России; показания, исходящие из Украины, снова предоставили некоторые важные данные о Fancy Bear или Advanced Persistent Threat 28, которой управляет ГРУ. Fancy Bear удалось идентифицировать, главным образом, по ее деятельности. Одной из повторяющихся особенностей группы стала кража электронных писем и тесное сотрудничество с российскими государственными СМИ. Однако, отследить медведя до его берлоги, пока оказалось невозможным, не в последнюю очередь потому, по мнению многих экспертов, единого такого места нет.
Даже для такой передовой технологической компании, как Microsoft, найти людей в цифровом пространстве оказалось практически невозможным. Чтобы ограничить ущерб для операционных систем клиентов, компания подала жалобу на Fancy Bear в прошлом году в окружной суд Соединенных Штатов в Восточной Вирджинии. Но, в результате, это оказался бой с тенью. Как сообщили в суде адвокаты Microsoft, «поскольку подсудимые использовали поддельные контактные данные, анонимные Bitcoin, предоплаченные кредитные карты и фальшивые удостоверения личности, а также сложные технические средства для сокрытия их личности, при настройке и использовании соответствующих интернет-доменов, истинная личность подсудимых остается неизвестной».
Тем не менее, украинские официальные лица, хотя и опасаясь расстроить администрацию Трампа, все же сотрудничали с американскими следователями, чтобы попытаться выяснить, кто скрывается за всеми масками.
В этот обмен информацией были включены копии жестких дисков серверов Центральной избирательной комиссии Украины, которая стала объектом атаки во время президентских выборов в мае 2014 года. ФБР уже получило доказательства этого, но о взломе, связанном с Россией, ранее не сообщалось.
Следы одного и того же вредоносного кода, на этот раз программы под названием Sofacy, были замечены в атаке 2014 года в Украине, а затем во взломе демократов в США. Любопытно, что в кибератаке во время выборов в Украине, которая, по-видимому, стала провалом на российском государственном Первом канале, непреднамеренно были замешаны государственные органы в Москве. Хакеры загрузили на сервер украинской избирательной комиссии график, имитирующий страницу отображения результатов.
Эта фальшивая страница показала шокирующий результат: победу на выборах отчаянно антироссийского ультраправого кандидата, Дмитрия Яроша. Ярош в действительности получил менее 1% голосов. Фальшивый результат был бы на руку российской пропаганде о том, что сегодня Украиной управляют ультраправые, даже фашистские личности. Фальшивая картинка была запрограммирована для отображения при закрытии опросов в 8 часов вечера, но украинская компания по кибербезопасности «Инфосейф» обнаружила ее всего несколько за несколько минут до этого и отключила сервер.
Тем не менее, государственное телевидение в России сообщило, что Ярош выиграл и показывал фальшивый график, ссылаясь на сайт избирательной комиссии, хотя этот график так и не появился на сайте. Хакер явно предоставил Первому каналу то же изображение заранее, но журналисты не проверили, сработала ли атака. «Для меня это очевидная связь между хакерами и российскими чиновниками», — сказал Виктор Жора, директор «Инфосейф», компании по кибербезопасности, которая первой обнаружила фальшивый график. Украинский правительственный исследователь, изучавший атаку, Николай Коваль, опубликовал свои выводы в книге 2015 года «Кибервойна в перспективе» и идентифицировал вредоносное ПО Sofacy на сервере. Зеркало жесткого диска отправили ФБР, у которых был этот судебный образец, когда компания по кибербезопасности CrowdStrike идентифицировала то же самое вредоносное ПО два года спустя, на серверах Демократической партии. «Это был первый удар», — сказал Виктор Жора о взломе компьютеров избирательной комиссии Украины. Киберполиция Украины также предоставила ФБР копии жестких дисков сервера, указывающих на возможное происхождение некоторых фишинговых писем, нацеленных на Демократическую партию во время выборов.
В 2016 году, спустя два года после взлома выборов в Украине, хакеры, используя те же методы, разграбили систему электронной почты Всемирного антидопингового агентства (ВАДА), которое обвинило российских спортсменов в систематическом употреблении допинга. Этот рейд тоже, по-видимому, был тесно скоординирован с российским государственным телевидением, которое начало транслировать хорошо подготовленные сюжеты об украденных письмах ВАДА спустя всего несколько минут после их обнародования. Письма появились на веб-сайте, который объявил, что ВАДА было взломано группой, называющей себя «хакерская команда Fancy Bears».
Тогда впервые Fancy Bear дали о себе знать. Однако, Fancy Bear остается необычайно неуловимой. Чтобы сбить следователей со следа, группа провела различные преобразования, пополнив свой арсенал вредоносного ПО и иногда скрываясь под разными масками. Одно из их альтер эго, по мнению киберэкспертов, это КиберБеркут, группа, предположительно созданная в Украине сторонниками пророссийского президента страны Виктора Януковича, который был изгнан в 2014 году. После бездействия в течение многих месяцев, КиберБеркут снова приступил к действиям этим летом, когда многочисленные расследования в Вашингтоне о возможном сговоре кампании Трампа с Москвой перешли на новый уровень. КиберБеркут опубликовал украденные электронные письма, которые, как сообщил он сам и российские государственные СМИ, разоблачили правду: Хиллари Клинтон вступила в сговор с Украиной.
