HАCK YOU, МИССИС КЛИНТОН!
Могли ли русские взломщики повлиять на исход выборов президента США?
#Russiansdidit («это сделали русские!» — англ.)… Эта фраза, родившаяся в соцсетях после громких сообщений о кибератаках на штаб американских демократов, стала таким же главным интернет-мемом конца 2016-го, как и выражение лица Мишель Обамы на инаугурации Трампа.
Так кто же они, эти загадочные и ужасные русские кибервзломщики? Об этом — в нашем расследовании.
«Сева + Леша = победа Трампа?»
В начале января на весь Интернет прогремела новость: некие доброжелатели слили отчет якобы американской разведки, сильно компрометирующий избранного президента США Дональда Трампа.
35 листов убористого машинописного текста — нечто похожее на сборник агентурных данных за период с марта по конец декабря 2016 года без явок, паролей и реальных имен информаторов — опубликовал портал buzzfeed.com.
Первые 34 листа нас не интересуют. В них про «Трампа и проституток», «Трампа и Кремль», «Трампа и его бизнес-связи в Москве».
Главным объектом нашего расследования будет последняя, 35-я страница отчета. Именно она содержит беспрецедентное обвинение: провал Хиллари Клинтон на выборах и триумф эпатажного бизнесмена- республиканца — результат серии кибератак, совершенных хакерами по заданию ФСБ и Кремля.
Вот дословный перевод этого сообщения:
«Отчет от 13 декабря 2016 года. Дополнительные детали секретного диалога между командой Трампа, Кремлем и связкой хакеров в Праге. Пункт 3.
Некто (имя замазано. — Авт.) доложил, что в период с марта по сентябрь 2016 года компания под названием XBT/Webzilla и ее аффилированные лица использовали ботнеты и порнотрафик для передачи вирусов, создания программных сбоев на зараженных компьютерах жертв, а также кражи информации и подтасовки данных, направленных против руководства Демократической партии. Весомыми игроками данной операции стали некто Alexey Gubarov (здесь и далее до конца цитаты написание имен приведено в точном соответствии с текстом источника. — Авт.), а также другой эксперт по хакерству — Seva Kapsugovich. Оба вовлечены под давлением ФСБ. В Праге Коэн (Майкл Коэн — юридический представитель Трампа. — Авт.) согласился с предложенными сценариями сохранения операции на случай непредвиденных ситуаций, и в особенности — что нужно делать, если Клинтон выиграет президентские выборы. При таком исходе все платежи хакерам должны были бы осуществляться быстро и осторожно. Далее следовало бы дать отбой всем кибер- и иным действиям и замести следы».
«Идентификация»
Мы проверили имена указанных в этом докладе фигурантов. Все они принадлежат реальным людям и компаниям.
XBT/Webzilla — существующий по сей день крупный IT-холдинг. Сфера деятельности — облачные технологии, разработки в сфере информационной безопасности, предоставление площадок для интернет- хостинга. По данным налоговых органов, зарегистрирован в офшорной зоне на Кипре. Имеет несколько дочерних компаний по всему миру, в том числе и в России. Руководит холдингом нанятый по аутсорсингу управленец, российский гражданин.
Алексей Губаров. Здесь, вероятно, составители отчета напортачили (спишем на трудности перевода и восприятия русских фамилий на слух). На самом деле человека зовут Алексей Губарев. Он действительно является видным специалистом в сфере компьютерных технологий. Несколько лет назад запустил в России новый проект. В активе те же облачные технологии, работа с базами данных, хранение информации и предоставление адресов для сайтов в Интернете. Офисы проекта базируются в Москве, Амстердаме и Далласе (США). Более того, Губарев имеет прямую связь с одной из дочерних фирм XBT/Webzilla — компанией- провайдером «Единая сеть». По сведениям российских налоговиков, он является миноритарным акционером этой фирмы.
Сева Капцугович. Пожалуй, самый занятный персонаж в этой истории. Сева (полное имя — Севастьян) Капцугович — известный пермский педофил, осужденный к 18,5 года колонии за создание сети порносайтов. Стражи порядка гонялись за Севой с конца 90-х, поймали в начале нулевых. Потом отпустили (по официальной версии — не хватило улик, по неофициальной — папа, ректор пермского вуза, слишком активно сражался за непутевого сына). Затем любитель извращенных утех вместе с пятью подельниками, трое из которых профессиональные программисты, попался снова. Каждый член педофильской банды получил солидный срок, однако Капцугович вышел по УДО. В 2013-м был осужден повторно — теперь уже на 18,5 года. По данным ФСИН, сейчас Сева сидит в ИК-29 в Кировской области. Ни о каком досрочном освобождении речи нет.
«Поймай меня, если сможешь»
Итак, люди в докладе вполне реальные. Один — крутой айтишник, второй — осужденный за создание порносети преступник. Плюс компьютерная компания со счетами в офшоре. Вроде бы идеальная картинка. Но смогут ли американские спецслужбы (если доклад действительно исходит от них) хоть что-то им предъявить?
Эксперты по кибершпионажу уверены, что нет. Как нам пояснили специалисты, главная фишка любых хакерских атак — практически полная недоказуемость. Она базируется на трех постулатах. Первый — невозможность связать момент атаки с конкретными действиями конкретного человека. Ведь взломщик может находиться, скажем, в Берлине, а его жертва, например, в Сиднее. Атаковать можно откуда угодно: из маленького кабинета в небоскребе, кафе на окраине города или гостиничного номера, арендованного на час. Для сыщиков это все равно, что ловить какого-то конкретного муравья в тайге.
Второй — использование принципиально новых типов вирусных программ. Схема проста и очень напоминает вечную гонку наркоконтроля за дилерами. Пока сыщики ищут известные им спайсы, химики успевают придумать десяток новых формул. Только если новые наркотики попадают в черные списки где-то через полгода после создания и выхода на черный рынок, то с новыми вирусами счет может идти на годы. Все это время вредоносная программа остается невидимой не только для криминалистов, но и для новейших версий антивирусов.
Третий и, пожалуй, самый главный кит хакерской неуловимости: атаку крайне сложно доказать юридически.
— Сфера киберпреступности самая молодая в законодательстве, — поясняет управляющий партнер чикагской юридической компании Федор Козлов. — Многое зависит от профессионализма органов дознания, потому что большинство доказательств остается в цифровом, компьютерном пространстве. Часто суды сталкиваются с вопросом, как квалифицировать действия: кража это или мошенничество? Еще специфика многих преступлений в Сети часто связана со сложностью в определении их территориальности, то есть с тем, какой суд будет разбирать инцидент.
Поэтому для спецслужб и сыщиков единственный способ выйти победителями из погони за хакером — получить от него чистосердечное признание.
— В подобных делах для спецслужб существует один-единственный принцип: бескомпроматности страны, на которую они работают, — говорит независимый эксперт по киберугрозам Андрей Масалович. — Это значит, что для получения признания можно применять любые меры. Они не имеют ничего общего с представлениями о законности и правах человека: частные тюрьмы, психологическое давление и так далее. Главное, чтобы в итоге заинтересованная страна получила признание и не была ни в чем скомпрометирована. В любом другом случае доказать атаку невозможно. Все улики будут представлять собой разрозненный набор фактов. Связать воедино их может только одно: признание вины конкретным человеком.
«Вор у вора шапку украл»
У криминалистов есть понятие modus operandi — в переводе с латыни «образ действия». Это почерк, свойственный конкретному преступнику. Именно по такому почерку сыщикам удается составить портрет маньяков, серийных убийц и… хакеров.
— Следы активности в Интернете можно стереть, но так называемый профиль игроков бесследно не исчезает, — объясняет Масалович. — Под профилем понимается определенный стиль поведения в Сети. Предпочтительные часы работы, определенные вирусы и другие инструменты, которые преступник использует для атаки.
Все эти детали тщательно собираются сыщиками и формируются в досье. Однако здесь айтишники указывают на новую угрозу. Такой «фоторобот» сам по себе становится объектом вожделения для иностранных шпионов. Ведь если вы точно знаете, как ведет себя реальный преступник, то кто вам мешает его скопировать? Всем известны десятки случаев, когда фанатики копировали убийства, совершенные растиражированными серийными маньяками. Здесь так же. Надо лишь украсть досье и нанять других хакеров, которые поведут не только следствие, но и ход мировой политической истории по новому пути.
По словам экспертов, именно в такой водоворот шпионских игр попала группа кибершпионажа под названием Fancy Bear («прикольный медведь»). Эти неуловимые ребята появились в 2004 году и с тех пор успели атаковать посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, а также журналистов из Восточной Европы. Излюбленными приемами хакеров были фишинговые атаки (массовая рассылка электронных писем с вирусами) и атаки по так называемым «уязвимостям нулевого дня». Это несколько часов или минут, которые разработчики программного обеспечения тратят на исправление только что обнаруженного сбоя. Все это время программа остается беззащитной, чем и пользуются злодеи. При этом задействованные в слежке за «медведями» компании в области защиты информации установили общую для всех эпизодов черту: их активность всякий раз шла с 9 до 17 часов по московскому времени. Западные специалисты группировку сразу же закрепили за Россией и связали с неким «государственным спонсором в Москве».
— Неужели вы реально думаете, что кто-то будет называть себя Fancy Bear или Felix Edmundovich? Это названия, которые хакерам давали наши спецслужбы, у которых те были в разработке, — говорит Андрей Масалович. — Просто потом их почерк был, мягко говоря, позаимствован другими хакерами, нанятыми совсем другими службами. Представим себе, что такая схема существует в любой стране, где есть хакеры и спецслужбы.
А значит, вполне вероятна совсем другая версия: авторы скандального отчета взяли за основу реальных людей с подходящими профессиональными данными и биографией. А затем, прикрываясь этими людьми, запустили свою игру.
— Прицепить к такой истории педофила очень выгодно, — считает Масалович. — Во- первых, такой не огрызнется. Он ведь уже сидит. Во-вторых, на зонах действительно есть гаджеты и менее защищенные места. Например, библиотеки или мастерские, где работают заключенные. Так что техническая возможность атаковать из таких мест существует. В-третьих, через порновидео реально можно притянуть на свой гаджет очень много заразы — это всем известный факт. И доказать потом что-либо практически невозможно. Поэтому любая версия, в которой есть связка «порно+хакер+офшор», выглядит на первый взгляд правдоподобной. Авторам отчета можно только поаплодировать. Это очень тонкая работа.
Есть еще мнение, что версия о «русских хакерах» преследует определенную цель — отвлечь внимание от явного провала Демократической партии. По словам аналитиков, он стал очевиден еще весной (как раз когда появилась первая волна истерии вокруг русских хакеров). Тогда американские политпиарщики собрали анализ настроений по графствам. Их в США 3144. Оказалось, что за демократов всего 58 графств. Остальные поддерживали республиканцев. Признать такое?! Ну уж нет. Решили поступить проще: закрыть сайт, на котором раньше регулярно публиковалась статистика настроений избирателей (http://www.census.gov/support/ USACdataDownloads.html — сейчас он заблокирован). И придумать теорию заговоров с хакерами.
Татьяна АНТОНОВА.