Следственные органы уверены, что за этим стоит российская военная разведка. В 2015 году неизвестным удалось получить доступ к служебным компьютерам федерального канцлера — и ко всей электронной переписке офиса ее уполномоченных представителей начиная с 2012 года.
Это произошло пять лет назад, 8 мая 2015 года, когда Ангела Меркель участвовала в торжественной церемонии в бундестаге, посвященной 70-й годовщине окончания Второй мировой войны. Среди приглашенных гостей были послы разных стран, в частности представитель России.
Однако в тот день в бундестаг попал и некий незваный гость из Москвы — виртуально. Он сумел получить доступ к служебным компьютерам в офисе представителей Меркель. Днем ранее его попытку взлома электронной переписки еще удалось предотвратить, потому что на его клавиатуре не было немецких умлаутов. Но в годовщину окончания войны этот человек под ником «Скарамуш» (Scaramouche) добился своего.
С момента кибератаки прошло пять лет, но до сих пор так до конца и не понятно, какой конкретно оказалась добыча «Скарамуша» и его подельников в немецком парламенте. IT-система была на несколько дней выведена из строя. Даже когда о секретной атаке стало известно, ворам удавалось продолжать красть информацию. В общей сложности, по разным оценкам, «утекли» 16 гигабайт различных данных, в том числе, предположительно, несколько тысяч электронных писем из офиса уполномоченных Меркель.
Расследованием обстоятельств атаки занимались эксперты Федерального управления уголовной полиции, Федерального управления по информационной безопасности, а также частных компаний. В рамках расследования были изъяты более 300 серверов. Запросы о содействии были направлены в 21 страну.
По оценке властей, хакерам удалось получить доступ к двум аккаунтам «канцлерин» и всей электронной переписке офиса ее представителей с 2012 по 2015 год. Вероятно, они сумели скопировать эти письма. Какого объема получилась «добыча» нападавших, идет ли речь обо всей переписке или только о части, «достоверно установить невозможно», говорят в кругах органов безопасности.
ФБР тоже ищет «Скарамуша»
Речь идет о письмах из офиса Меркель в бундестаге, а не Ведомства федерального канцлера, чья переписка может быть поистине «деликатной» и строго засекреченной. Но и получив доступ к переписке представителей Меркель в бундестаге, хакеры могли узнать немало ценной информации о ее личном и деловом окружении, а также о политической кухне Федеративной Республики, недоступной для людей извне.
Российские спецслужбы с удовольствием пользуются такой информацией, чтобы сеять раздор и неуверенность на Западе. Даже списки телефонных номеров являются для шпионов ценной добычей.
За атакой на электронную почту Меркель стоят российские власти — на этот счет у немецких органов безопасности нет сомнений. Долгое время они осторожно говорили, что за этим хакерским нападением, «вероятно», стоит Москва, а именно тамошнее Главное разведывательное управление (ГРУ). Теперь же Федеральный верховный суд занял однозначную позицию по этому вопросу.
Следователи не надеются поймать Дмитрия Бадина
На этой неделе Федеральный верховный суд по поручению генерального прокурора Петера Франка (Peter Frank) выдал ордер на арест Дмитрия Бадина — российского шпиона 1990 года рождения. Он обвиняется в «агентурной деятельности». По словам представителей Верховного суда, этот хакер и скрывается за ником «Скарамуш». Сайт Bellingcat утверждает, что его последним адресом регистрации был именно кодовый номер 26165 в Москве, принадлежащий хакерскому отделу ГРУ.
У немецкой юстиции появляются все новые и новые претензии к России. Генеральный прокурор обвиняет Москву в том, что наемный убийца застрелил проживавшего в Берлине в статусе беженца чеченца. Теперь официальные обвинения выдвинуты против кремлевских «кибервоинов». Впрочем, ордер на арест, выданный в Карлсруэ, имеет скорее символическое значение — следственные органы не надеются поймать Дмитрия Бадина.
Так, по их утверждениям, АРТ28 в 2016 году взломала сервер Демократической партии США и получила доступ к информации, позволившей ей повлиять на выборы президента и способствовать победе Дональда Трампа. Кроме того, «кремлевских хакеров» уличили в шпионаже за Организацией по запрещению химического оружия (ОЗХО) после отравления бывшего шпиона-перебежчика Сергея Скрипаля в Великобритании. В Германии эту группировку также подозревают в нескольких хакерских атаках.
Все эти атаки объединяет один момент: нападающим, похоже, безразлично, сумеют их обнаружить или нет. Атакуя серверы в бундестаге, они даже не потрудились замести следы.
Вот как проходила кибератака
Атака на немецких парламентариев началась с одного электронного письма, отправленного якобы представителями ООН и касавшегося якобы конфликта на Украине. Когда одна из сотрудниц фракции Левой партии прошла по ссылке, на компьютер установилась вредоносная программа. Считается, что это «первое заражение» произошло 30 апреля 2015 года в 11:46.
Следователи уголовной полиции и фирмы BFK из Карлсруэ смогли буквально поминутно реконструировать развитие событий в тот день. «Скарамуш» и его возможные сообщники быстро получили доступ к базе данных всего бундестага, получив права администратора. «Админы», как известно, настоящие хозяева в мире информационных технологий — им видно и дозволено практически все.
Таким образом, российским хакерам удалось получить доступ ко всей компьютерной сети бундестага — более чем 5,6 тысячам компьютеров и их содержимому.
В тот день, когда «Скарамуш» внедрился в компьютеры Меркель, эксперты IT-отдела бундестага решили проинформировать об этом Федеральное управление информационной безопасности. Однако до по-настоящему решительной реакции прошло несколько дней, и это время было, по сути, потеряно. Причем если бы специалисты своевременно связались с Федеральным управлением, то при определенных условиях могли бы и вовсе предотвратить атаку, так как сервер, который использовали нападавшие, числился в «черном списке» Управления по информационной безопасности.
Но «Скарамуш», копируя файлы из двух почтовых ящиков представителей Меркель, допустил ошибку: он забыл удалить «путь» к папке, в которой находилась его вредоносная программа. Так следствию удалось выяснить, что хакер сохранил ПО со своего компьютера в папке «Проекты». Одновременно они узнали и его никнейм: «Скарамуш» — имя персонажа-маски итальянской комедии дель арте, в переводе означающее «маленький забияка». Это было все равно что оставить визитку.
Смотрели футбол и искали запчасти для автомобилей
Для следствия эта информация оказалась чрезвычайно ценной. Ведь «Скарамуш» вскоре должен был объявиться и где-то в другом месте. Вместе с коллегами из отдела 26165 он использовал серверы не только в служебных (для шпионажа), но и в личных целях. И делали они это уже на глазах специалистов Федеральной службы защиты Конституции и Федерального управления уголовной полиции, наблюдавших за ними с 2016 года.
Немецкие следователи наблюдали, как русские в служебное время пользовались интернетом в личных целях. В частности, они смотрели футбол, искали запчасти для автомобилей и писали частные электронные письма.
Особенно беззаботно вел себя как раз «Скарамуш». Он постоянно пользовался личным почтовым ящиком на сервере Gmail, который отслеживали агенты ФБР. Им удалось обнаружить договоры, личные фотографии, личную переписку, учебные документы — то есть массу информации о жизни Дмитрия Бадина, родившегося 15 ноября 1990 года в Курске. При этом пароль от его аккаунта был поистине дилетантским: Badin1990.