Кибератака на Национальный комитет Демократической партии США

Кибератака на Национальный комитет Демократической партии США (англ. DNC hack, англ. DNC leak), также Гризлигейт (англ. Grizzlygate, по аналогии с Уотергейт) — несанкционированное вмешательство в информационную систему Национального комитета Демократической партии США, которое стало известно широкой общественности в июне 2016 года.

Несанкционированное вмешательство было обнаружено в конце апреля 2016 года, и тогда же к расследованию была привлечена фирма CrowdStrike. После проведения расследования фирма пришла к выводу о том, что взломать информационную систему удалось двум группировкам хакеров[1]Cozy Bear[к. 1] и Fancy Bear. Представители CrowdStrike считают, что данные группировки тесно связаны с российским правительством и участвуют в политическом и экономическом шпионаже. Согласно результатам расследования, Cozy Bear получила несанкционированный доступ к информационной системе летом 2015 года, а Fancy Bear — в апреле 2016 года. По заключению CrowdStrike, обе группировки смогли похитить письма ящиков электронной почты, а также компромат на конкурента демократов на выборах ПрезидентаДональда Трампа[1][2].

Российское правительство отрицает свою причастность к инциденту[3].

Впоследствии стало известно о возможной кибератаке типа тайпосквоттинг против DCCC[англ.][к. 2]. Атака началась примерно в июне 2016 года[4].

Кибератака

[править | править код]

Национальный комитет Демократической партии США

[править | править код]

18 мая 2016 года директор службы национальной разведки США Джеймс Клэппер заявил о попытках иностранных разведок шпионить за предвыборными штабами обоих кандидатов за кибератаки на их информационные системы[5].

Специалисты CrowdStrike утверждают, что Fancy Bear использовала вредоносное программное обеспечение (ПО) под названием X-Agent для удаленного выполнения команд, передачи файлов, шпионажа за нажатыми клавишами, и оно было запущено командой rundll32[1]: 

 rundll32.exe "C:\Windows\twain_64.dll"

Также, по мнению представителей CrowdStrike, была использована программа X-Tunnel для установления соединений через систему NAT и удаленного выполнения команд, и обе программы были доставлены внутри программы RemCOM — аналога с открытыми кодами коммерческой программы PsExec. Эксперты CrowdStrike пришли к выводу о том, что хакеры приняли меры по уничтожению следов своего пребывания, что выражалось в периодическом вычищении журналов событий и изменении атрибутов времени изменения файлов[1].

CrowdStrike не обнаружила признаков сотрудничества между двумя предполагаемыми группами хакеров. Анализ, также, выявил компьютеры, зараженные двумя типами вредоносного ПО. На этом основании был сделан вывод о том, что группы не контактируют между собой и могут одновременно участвовать в атаках на одну жертву[1].

DCCC

[править | править код]

Впоследствии стало известно о возможной кибератаке типа тайпосквотинг против DCCC[англ.][к. 2]. По утверждению Reuters, двое источников агентства сообщили, что атака началась приблизительно в июне 2016 года[4].

Для нарушения подлинности адреса веб-сервера DCCC был создан адрес actblues.com, отличающийся от настоящего — actblue.com — только одной буквой. Этот адрес был связан с IP-адресом 191.101.31.112 (Host1Plus, подразделение Digital Energy Technologies Ltd., физически местонахождение — Нидерланды), и зарегистрирован в регистраторе I.T.Itch с повышенной защитой приватности. Также:[6]

  • доменное имя actblues.com было зарегистрировано на пользователя с адресом электронной почты fisterboks@email.com, на который также было зарегистрировано три других доменных имени, которые германская контрразведка связывает с Fancy Bear;[7]
  • также, пользователь fisterboks@email.com использовал те же доменные имена, что и пользователь frank_merdeux@europe.com, зарегистрировавший доменное имя misdepatrment.com, и которое в свою очередь было использовано для тайпсквоттинговой атаки на подрядчика Нацкомитета Демократической партии.

Российская сторона отрицает свою причастность к этой и другим атакам, считая свою связь с хакерами недоказанной[4].

Легализация

[править | править код]

Гуччифер 2

[править | править код]

Ради легализации похищенных данных был создан клон, который должен был служить фасадом для группировки, — «хакер» по прозвищу Гуччифер 2.0 (англ. Guccifer 2.0). Данное прозвище было заимствовано у другого хакера — румына Марселя Лазара Лехеля (рум. Marcel Lazăr Lehel), который назвал себя англ. Guccifer (слияние слов Gucci и Lucifer). Марсель Лехель прославился благодаря взлому почтовых ящиков известных людей (в частности, сестры Джорджа Уокера Буша). В 2014 году он был приговорен в Румынии к 7 годам заключения, но впоследствии передан в Соединенные Штаты, где по состоянию на 2016 год ожидает приговора суда. Уже в США Лехель заявил, что неоднократно взламывал личный почтовый сервер Хиллари Клинтон, когда та была государственным секретарем США (см. Имейлгейт)[8]. Однако, он не смог привести ни одного доказательства, а следователи — найти никаких свидетельств в подтверждение его слов[9][10][11]. В июле 2016 года директор ФБР Джеймс Коми заявил, что Лазарь солгал, когда заявил о взломе почтового сервера Клинтон[12].

Благодаря Лехелю широкая общественность узнала о существовании частного почтового ящика Хиллари Клинтон, когда он распространил письма со взломанного им же почтового ящика близкого партнера Клинтон Сидни Блюменталя[13][14][15]. Обнародованные письма касались событий вокруг террористических атак на консульство США в Бенгази в 2012 году[13][14][15]. Сидни Блюменталь на то время не имел доступа к секретной информации, однако некоторые из полученных им от Клинтон текстов были впоследствии признаны подпадающими под гриф «секретно»[16][17].

В отличие от первого Гуччифера, Guccifer 2.0 не смог привести убедительные доказательства своей подлинности или что за этим фасадом стоит реальный живой человек[18][19][20][21]. По мнению аналитиков фирмы ThreatConnect, скорее всего, Guccifer 2.0 — лишь попытка российских спецслужб обманом отвлечь внимание от их роли во взломе информационных систем Демократической партии[22]. Среди прочего:

  • нетипичное для обычных политических хактивистов поведение — документы не были опубликованы сразу после их получения, а только по истечении более чем одного года[источник не указан 2683 дня];
  • нетипичное использование хакером-одиночкой уязвимости нулевого дня в проприетарном (частном, не являющимся открытым) нишевом программном обеспечении. Обычно поиск и обнаружение уязвимостей в ПО, еще до момента его официального релиза, доступно только мощным группировкам. При этом гораздо лучше оснащённые хакеры (в случае связи их с российскими спецслужбами) пользовались ранее гораздо более простым направленным фишингом;
  • странный факт изменения метаданных документов (и даже содержания документов) «хакером» Guccifer 2.0 перед обнародованием, что ставит под сомнение подлинность добытых материалов.

По мнению специалиста по компьютерной безопасности Дэйва Айтеля, обнародовав похищенные файлы, российские спецслужбы пересекли красную линию допустимого. Он предложил считать такое наглое вмешательство извне в ход президентских выборов примером кибервойны[23].

WikiLeaks

[править | править код]

Следующим шагом по легализации похищенных данных, получившим гораздо больше огласки, стала публикация остальных файлов на сайте организации WikiLeaks, которую бывший сотрудник АНБ Джон Р. Шиндлер назвал суррогатом российских спецслужб[24]. Основатель WikiLeaks Джулиан Ассанж анонсировал обнародование данных в интервью телеканалу ITV 12 июня 2016 года. При этом он признал, что этой утечкой пытается помешать Хиллари Клинтон выиграть выборы[25]. Обнародование произошло 22 июля 2016 года — организация разместила в свободном доступе у себя на сайте 19 252 электронных письма с 8034 вложенными файлами. Письма были украдены из почтовых ящиков 7 ключевых лиц в DNC и охватывают период от января 2015 года до 25 мая 2016 года[3]. Среди писем с вложенными файлами присутствовали и сообщения голосовой почты[26].

О передаче обнародованных писем к WikiLeaks заявил Гуччифер 2.0, который первым выступил публично как личность, стоящая за кибератаками на Демократическую партию[3]. Несмотря на это, Джулиан Ассанж отрицал любую причастность российских спецслужб к утечке данных, а также пообещал обнародовать ещё больше компромата на Хиллари Клинтон. При этом он предположил, что «источник или источники информации дадут о себе знать»[27]. 9 августа 2016 года Ассанж сделал намёк, что возможным источником полученных файлов был сотрудник Демократической партии Сэт Рич (англ. Seth Rich), который был убит утром 10 июля возле своей квартиры. Однако он отказался прямо подтвердить или опровергнуть причастность Рича к истокам данных[28][29].

Обнародованные письма, среди прочего, содержали частную информацию некоторых доноров Демократической партии — номера социального страхования, номера паспортов, информацию о кредитных картах[3]. Один лист содержал перечень лиц, приглашенных на встречу ЛГБТ-активистов, организованную Демократической партией. Среди файлов голосовой почты присутствовала запись сотрудника Демократической партии о посещении с детьми зоопарка[26].

Последствия

[править | править код]

WikiLeaks обнародовала похищенные письма накануне съезда Демократической партии, на котором состоялась формальная номинация Хиллари Клинтон в кандидаты на выборах Президента США 2016 года. Однако, из обнародованных писем следовало, что Национальный комитет Демократической партии на праймериз отдавал предпочтение Хиллари Клинтон перед Берни Сандерсом. Вследствие вызванного этим разоблачением скандала председатель Национального комитета Демократической партии Дебби Вассерман-Шульц была вынуждена срочно уйти в отставку[30].

Ряд экспертов по вопросам национальной безопасности Республиканской партии 28 июля 2016 года обратился с открытым письмом к политическим лидерам Конгресса провести тщательное расследование кибератаки на Демократическую партию с последующим обнародованием похищенной информации, поскольку данный случай является «атакой на целостность всего политического процесса»[31].

31 июля Хиллари Клинтон обвинила спецслужбы России в кибератаке на штаб Демократической партии[32]. В ответ АНБ, вероятно, взламывает российских хакеров[33][34].

Российское правительство отрицало свою причастность к инциденту[3].

Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», отметил, что между фактом обнаружения атаки и сообщениями об обвинениях «российских хакеров» прошло менее недели. По его экспертному заключению, за такое время невозможно было определить организатора атаки[35].

Министерство национальной безопасности США после этого случая стало изучать возможность зачисления информационных систем, вовлеченных в избирательный процесс, в число объектов «критической инфраструктуры»[36].

В декабре 2016 года ФБР и АНБ опубликовали совместный доклад[37] о хакерских атаках из России. США официально предъявили России обвинение во вмешательстве в выборы 2016 года, выслали из страны 35 российских дипломатов и закрыли 2 посольских жилищных комплекса[38]. Владимир Путин заявил, что российская сторона не будет предпринимать ответных действий, но при этом оставляет право за собой на ответные меры. При этом он отметил, что дальнейшие шаги по восстановлению российско-американских отношений будут выстраиваться исходя из политики, которую станет проводить избранный президент США Дональд Трамп[39].

В 2018 году в США были выдвинуты официальные обвинения против ряда сотрудников российской военной разведки в связи с данной кибератакой[40].

В августе 2020 года комитет по разведке Сената США пришёл к выводу, что Владимир Путин «отдал приказ» взломать компьютеры и аккаунты членов Демократической партии США[41].

См. также

[править | править код]

Примечания

[править | править код]

Комментарии

  1. Также именуемые как CozyDuke или APT29.
  2. 1 2 DCCC — организация, собирающая пожертвования для кандидатов в Конгресс от Демократической партии.

Источники

  1. 1 2 3 4 5 Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike (14 июня 2016). Дата обращения: 19 августа 2016. Архивировано 24 мая 2019 года.
  2. Ellen Nakashima. Russian government hackers penetrated DNC, stole opposition research on Trump. Washington Post (14 июня 2016). Дата обращения: 19 августа 2016. Архивировано 22 мая 2019 года.
  3. 1 2 3 4 5 Andrea Peterson. Wikileaks posts nearly 20,000 hacked DNC emails online. Washington Post (22 июля 2016). Дата обращения: 19 августа 2016. Архивировано 14 ноября 2016 года.
  4. 1 2 3 Joseph Menn, Dustin Volz, Mark Hosenball. Exclusive: FBI probes hacking of Democratic congressional group - sources (28 июля 2016). Дата обращения: 30 сентября 2017. Архивировано 1 октября 2017 года.
  5. Nicole Gaouette. Intel chief: Presidential campaigns under cyber attack. Politics. CNN (18 мая 2016). Дата обращения: 19 августа 2016. Архивировано 18 августа 2016 года.
  6. FANCY BEAR Has an (IT) Itch that They Can’t Scratch. Threat Geek (1 августа 2016). Дата обращения: 19 августа 2016. Архивировано из оригинала 4 августа 2016 года.
  7. BfV Cyber-Brief Nr. 01/2016 - Hinweis auf aktuelle Angriffskampagne. Bundesamt für Verfassungsschutz (3 марта 2016). Дата обращения: 19 августа 2016. Архивировано из оригинала 6 октября 2016 года.
  8. Cynthia McFadden, Tim Uehlinger & Tracy Connor. Hacker 'Guccifer': I Got Inside Hillary Clinton's Server. NBC News (5 мая 2016). Дата обращения: 19 августа 2016. Архивировано 1 августа 2016 года.
  9. Hillary Clinton may have to testify under oath about email server. Associated Press (4 мая 2016). — «"[T]he hacker provided no proof of his claim to have hacked Clinton's server"». Дата обращения: 19 августа 2016. Архивировано 2 августа 2016 года.
  10. Pete Williams. Guccifer, Hacker Who Says He Breached Clinton Server, Pleads Guilty. NBC News (25 мая 2016). — «[Lehel] refused to show any of the material he said he found on the Clinton server, and federal investigators said they have found no evidence to back up his claim.» Дата обращения: 19 августа 2016. Архивировано 29 июля 2016 года.
  11. Matt Zapotosky. Officials: Scant evidence that Clinton had malicious intent in handling of emails. Washington Post (5 мая 2016). — «U.S. officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton’s personal email server. The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others, and they believed if he had accessed Clinton's emails, he would have released them — as he did when he got into accounts of other high-profile people.» Дата обращения: 19 августа 2016. Архивировано 14 декабря 2020 года.
  12. Patrick Howell O'Neill. FBI director says Guccifer admitted he lied about hacking Hillary Clinton's email. The Daily Dot (7 июля 2016). Дата обращения: 19 августа 2016. Архивировано 30 июля 2016 года.
  13. 1 2 Hacker Begins Distributing Confidential Memos Sent To Hillary Clinton On Libya, Benghazi Attack (18 марта 2013). Дата обращения: 30 сентября 2015. Архивировано 26 января 2021 года.
  14. 1 2 Cook, John. Hacked Emails Show Hillary Clinton Was Receiving Advice at a Private Email Account From Banned, Obama-Hating Former Staffer (20 марта 2013). Дата обращения: 30 сентября 2015. Архивировано 1 октября 2015 года.
  15. 1 2 Acohido, Byron. 'Guccifer' hacks Hillary Clinton's e-emails via aide's account (22 марта 2013). Дата обращения: 30 сентября 2015. Архивировано 8 ноября 2020 года.
  16. Gerstein, Josh.
  17. Morrison, Micah.
  18. Lorenzo Franceschi-Bicchierai. We Spoke to DNC Hacker 'Guccifer 2.0'. Motherboard (21 июня 2016). Дата обращения: 19 августа 2016. Архивировано 26 июля 2016 года.
  19. Dan Goodin. “Guccifer” leak of DNC Trump research has a Russian’s fingerprints on it. Ars Technica (17 июня 2016). Дата обращения: 30 сентября 2017. Архивировано 25 июля 2016 года.
  20. Lorenzo Franceschi-Bicchierai. DNC Hacker Denies Russian Link, Says Attack Was His ‘Personal Project'. Motherboard (30 июня 2016). Дата обращения: 19 августа 2016. Архивировано 3 августа 2016 года.
  21. Ellen Nakashima. Cyber researchers confirm Russian government hack of Democratic National Committee. Washington Post (20 июня 2016). Дата обращения: 19 августа 2016. Архивировано 3 августа 2016 года.
  22. Shiny Object? Guccifer 2.0 and the DNC Breach. ThreatConnect (29 июня 2016). Дата обращения: 19 августа 2016. Архивировано 27 июля 2016 года.
  23. Dave Aitel. Guest editorial: The DNC hack and dump is what cyberwar looks like. Ars Technica (17 июня 2016). Дата обращения: 30 сентября 2017. Архивировано 19 июля 2017 года.
  24. John R. Schindler. Wikileaks Dismantling of DNC Is Clear Attack by Putin on Clinton. Observer (25 июля 2016). — «By stepping into the middle of our Presidential race, the obvious Russian front has outed themselves. … This, of course, means that Wikileaks is doing Moscow’s bidding and has placed itself in bed with Vladimir Putin. … In truth, to anyone versed in counterintelligence and Russian espionage tradecraft, Wikileaks has been an obvious Kremlin front for years, …» Дата обращения: 19 августа 2016. Архивировано 1 августа 2016 года.
  25. CHARLIE SAVAGE. Assange, Avowed Foe of Clinton, Timed Email Release for Democratic Convention. New York Times (26 июля 2016). Дата обращения: 30 сентября 2017. Архивировано 5 января 2022 года.
  26. 1 2 Matt Tait. On the Need for Official Attribution of Russia’s DNC Hack. Lawfare (28 июля 2016). Дата обращения: 19 августа 2016. Архивировано 19 августа 2016 года.
  27. Matthew Chance. Julian Assange: 'A lot more material' coming on US elections. CNN (27 июля 2016). Дата обращения: 19 августа 2016. Архивировано 10 ноября 2021 года.
  28. By Peter Hermann and Clarence Williams. WikiLeaks offers reward for help finding DNC staffer’s killer. Washington Post (9 августа 2016). Дата обращения: 19 августа 2016. Архивировано 20 мая 2017 года.
  29. Assange implies murdered DNC staffer was WikiLeaks' source. Fox News (10 августа 2016). Дата обращения: 19 августа 2016. Архивировано 21 мая 2017 года.
  30. Jeff Zeleny, MJ Lee, Eric Bradner. Dems open convention without Wasserman Schultz. CNN politics (25 июля 2016). Дата обращения: 19 августа 2016. Архивировано 2 августа 2016 года.
  31. Tom Hamburger. Republican security experts request congressional investigation of DNC hack. Washington Post (28 июля 2016). Дата обращения: 19 августа 2016. Архивировано 22 августа 2016 года.
  32. "Клінтон звинуватила спецслужби Росії в кібератаці на сервери Демократичної партії США". Архивировано 1 августа 2016. Дата обращения: 19 августа 2016. {{cite news}}: |archive-date= / |archive-url= несоответствие временной метки; предлагается 1 августа 2016 (справка)
  33. "АНБ "зламує у відповідь" хакерські угруповання з Росії - ЗМІ". Архивировано 3 августа 2016. Дата обращения: 1 января 2017. {{cite news}}: |archive-date= / |archive-url= несоответствие временной метки; предлагается 3 августа 2016 (справка)
  34. The NSA Is Likely 'Hacking Back' Russia's Cyber Squads. ABC News (30 июля 2016). Дата обращения: 1 января 2017. Архивировано 30 июля 2016 года.
  35. Владимир Познер: Итоги года и прогнозы на будущее. 21 декабря 2016. Отметка времени: 48:06. Дата обращения: 1 января 2017. Смотрите. С момента обнаружения атаки на DNC, Демократическую партию США — случилась она в середине мая, эта атака — до момента когда сказали «это русские» прошло меньше одной недели. Я, как человек, профессионально занимаюсь исследованием вредоносных программ многие-многие годы, и видел всякое, ответственно заявляю, что за такой короткий срок установить организатора атаки невозможно, никому, даже если это будет ЦРУ.
  36. Tim Starks. The meaning of deeming elections ‘critical infrastructure’. Politico (4 августа 2016). Дата обращения: 19 августа 2016. Архивировано 5 августа 2016 года.
  37. Архивированная копия. Дата обращения: 30 декабря 2016. Архивировано 1 января 2017 года.
  38. ФБР и АНБ опубликовали доклад о хакерских атаках из России. Дата обращения: 30 декабря 2016. Архивировано 30 декабря 2016 года.
  39. "Путин заявил, что Россия не вышлет американских дипломатов". РИА Новости. Архивировано 31 декабря 2016. Дата обращения: 1 января 2017. {{cite news}}: |archive-date= / |archive-url= несоответствие временной метки; предлагается 31 декабря 2016 (справка)
  40. "Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США)". Meduza. 13 июля 2018. Архивировано 17 ноября 2018. Дата обращения: 17 ноября 2017. {{cite news}}: |archive-date= / |archive-url= несоответствие временной метки; предлагается 17 ноября 2018 (справка)
  41. В сенате США заявили о «приказе» Путина взломать компьютеры Демпартии. РБК. Дата обращения: 18 августа 2020. Архивировано 20 августа 2020 года.

Литература

[править | править код]

Ссылки

[править | править код]