Новый сайт, связанный с группой хакеров Fancy Bears (подобно российской группе Fancy Bear, которую обвиняют во взломе этим летом почтовых серверов национального комитета демократической партии), опубликовал на этой неделе похищенные данные. Согласно этой информации WADA в порядке исключения позволяло участнице Олимпийских игр гимнастке Симоне Байлз (Simone Biles), теннисисткам Серене (Serena Williams) и Винус Уильямс (Venus Williams), а также победителям Тур де Франс британцам Крису Фруму (Chris Froome) и Брэдли Уиггинсу принимать запрещенные вещества.
Похоже, установить во всем этом взаимосвязь довольно легко: после того, как российскую сборную по легкой атлетике и других спортсменов отстранили от Олимпиады из-за того, что были получены данные о приеме допинга, организованном на уровне государственных структур, кремлевские хакеры начали проводить атаки на базы данных WADA и Спортивного арбитражного суда (CAS). Последний заявил, что его базы данных подверглись хакерским атакам в августе. Правда, после утечки данных на этой неделе российские официальные лица и СМИ опровергли какую-либо причастность к этому своих соотечественников и заявили, что WADA следует двойным стандартам, предоставляя западным спортсменам большую свободу действий в употреблении лекарственных средств, чем российским спортсменам.
В среду российский министр спорта Виталий Мутко опроверг заявления о том, что к взлому базы данных WADA может быть причастна его страна. А затем в четверг посольство России в Великобритании написало в Twitter: «Взлом базы данных WADA: в отношении файлов о приеме допинга участниками Олимпиады не должно быть ничего секретного, это вопрос во многом публичный. Или некоторые из спортсменов более равны, чем другие?»
Государственное информационное агентство РИА «Новости» опубликовало статью под заголовком «WADA разрешало принимать допинг сестрам Уильямс и гимнастке Байлз» и поместило в ней карикатуру, в которой мускулистая темнокожая теннисистка в майке с надписью «США» держит золотой кубок полный таблеток.
Генеральный директор WADA Оливье Ниггли (Olivier Niggli) заявил, что правоохранительные органы проинформировали WADA, что хакерские атаки «идут из России». Компания Crowdstrike, работающая в сфере кибербезопасности, ранее заявила, что хакерская группа Fancy Bear и еще одна группа, принимавшая участие во взломе почтовых серверов американских демократов — Cosy Bear — по всей вероятности, действуют при поддержке российских спецслужб.
Однако российские эксперты подвергают сомнению этот вывод. Сергей Никитин, ведущий специалист московской лаборатории по компьютерной криминалистике Group-IB, сказал, что для того, чтобы связать эти хакерские атаки с Россией, нет достаточной информации. По его словам, компании обычно публикуют отчет с более точными данными о том, как именно была взломана их система.
«В случаях со взломами сетей национального комитета демократической партии США и WADA мы этого не видим, так что непонятно, на каком основании делаются выводы о причастности российских хакеров или спецслужб. Это делается на основе дизайна сайта, что является абсурдным», — заявил он, имея в виду изображение животных, являющихся символом России (бурого и белого медведей), размещенное на сайте группы Fancy Bears’ Hack Team.
По словам Александра Баранова, заведующего кафедрой информационной безопасности НИУ ВШЭ, хакеры, скорее всего, дилетанты, которые опубликовали не действительно компрометирующую информацию, а «полуфабрикат». «Они могли бы сделать это в более жесткой форме и более неожиданно, — говорит он. — Если бы это были [спонсируемые государством] хакеры, они бы копнули глубже. А поскольку это энтузиасты, любители, они получили то, что получили, и предали это гласности».
Но ведущие компании, работающие в сфере кибербезопасности, давно находят закономерности в деятельности группы Fancy Bears, что придает им уверенность в том, что хакеры связаны с российскими государственными структурами. По данным Лаборатории Касперского, эта группа, также известная как APT28, Strontium или Sofacy, работает, по крайней мере, с 2008 года, но в 2015 году она активизировала свою деятельность в десятки раз. В интервью изданию The Guardian специалисты Лаборатории заявили, что группа Fancy Bears является русскоязычной, она специализируется на «странах НАТО, Украине, правительствах и частных военных компаниях» — то есть, на тех странах и структурах, у которых напряженные отношения с Кремлем. По словам специалистов компании Crowdstrike, группа Fancy Bears, по всей вероятности, связана с ГРУ — российской военной разведкой.
Поскольку взлом базы данных WADA был результатом фишинговой атаки (при которой рассылаются электронные сообщения со ссылкой на фейковые сайты с тем, чтобы заставить пользователей указать свои пароли), киберпреступники не использовали вредоносные программы, которые можно было бы сверить с программами, обычно используемыми российскими группами. Но, по словам специалистов компании ThreatConnect из сферы кибербезопасности, способ осуществления этой фишинг-атаки соответствует тому, как раньше работала группа Fancy Bears.
Согласно отчету ThreatConnect, при создании фишинговых сообщений злоумышленник, взломавший базы данных WADA, зарегистрировал доменные имена в том же регистраторе доменов, который использовала группа Fancy Bears при взломе почтовых серверов американских демократов, а также в другом регистраторе доменных имен, который часто использует группа Fancy Bears. Домены были зарегистрированы вскоре после того, как российских олимпийцев и паралимпийцев не допустили к участию в играх в Рио-де-Жанейро, а фальшивые электронные адреса были написаны в соответствии с формулой, которую раньше использовала группа Fancy Bears.
По словам Никитина, Fancy Bear, скорее всего, является преступной группой, которая сливает секретную политическую информацию, чтобы получить в средствах массовой информации «бесплатную рекламу» своих услуг на черном рынке.
Но, как говорит директор по научно-исследовательским работам в компании ThreatConnect Тони Гидвани (Toni Gidwani), киберпреступники в надежде на легкий заработок склонны выбирать в качестве «мишеней» многих людей. А группа Fancy Bear известна тем, что выбирает в качестве своих жертв конкретные организации и, проникнув в их сети, задерживаются на их серверах, собирая информацию. «Мы вполне уверены, что группа Fancy Bear связана с российскими правительственными структурами, исходя из того, что мы знаем об их атаках вообще, — говорит Гидвани. — (Учитывая) уровень сложности задач, которые они, как мы видим, успешно выполняют во время этих атак, вряд ли эта организация руководствуется криминальными мотивами или является идеологическим хактивистом».
Гидвани признает, что новый демонстративный, нарочито показной сайт группы Fancy Bears, утечка данных WADA по русскому боксеру-олимпийцу Мише Алояну и заявление пользователем Twitter, называющим себя Anonymous Poland, о том, что он взломает базы данных WADA и CAS, не типичны для российской «государственной» хакерской группы. Но по его словам, возможно, что те, кто взламывает базы данных, и те, кто сливает эту информацию — разные люди. Он назвал новых пользователей, заявляющих о своей причастности к этим взломам, «фейктивистами», задачей которых является направить следствие по ложному следу.
По словам Гидвани, хакерские атаки, предположительно совершаемые при поддержке России, вероятно, продолжатся как минимум до президентских выборов в США: «Это почти то же самое, что и Джокер в „Бэтмане“ — создать как можно больше шума и неразберихи и заставить людей усомниться в честности и принципиальности этих институтов, будь то выборы в США и наше руководство или международные структуры, которые занимаются вопросами допинга в спорте».
