Bears, ushanka, Russian hackers

Избирательная кампания на пост президента США получила неожиданное развитие после того, как газета The Washington Post опубликовала ^[1] репортаж о том, как российские хакеры, якобы связанные с силовиками из России и действующие в интересах президента Владимира Путина, взломали компьютерную сеть сторонников Демократической партии и украли компромат на кандидата в президенты Дональда Трампа.

Россияне действительно достаточно заметны на мировой арене киберпреступности. Например, российские корни были у банковского трояна Dyre, который успешно атаковал 400 финансовых организаций, среди которых оказались Bank of America Corp, PayPal и JPMorgan Chase & Co. Подозреваемые в создании вредоносной программы были задержаны в Москве в конце ноября 2015 года. Ущерб экономике России от киберпреступности в 2015 году составил ^[2] 203,3 млрд руб., или 0,25% от ВВП, сообщается в совместном исследовании Group-IB, Фонда развития интернет-инициатив (ФРИИ) и Microsoft. Более 92% крупных коммерческих компаний, госструктур, а также предприятий малого и среднего бизнеса столкнулись с киберинцидентами.

Сообщения о «политических» взломах за которыми якобы стоят российские власти, появляются регулярно. Так в мае 2016 года российских хакеров обвинили ^[3] в кибератаках на инфраструктуру правительства Германии, в августе 2015 года их стараниями якобы была взломана ^[4] почтовая система Пентагона, а в октябре 2015 года Хилари Клинтон сообщала ^[5], что злоумышленники из России атакуют ее подчиненных при помощи почтовых троянов.

^[6]

О недавнем взломе сети партии демократов сообщила ^[7] компания CrowdStrike, которую наняла организация Национальный демократический комитет (Democratic National Committe — DNC), она управляет избирательной компанией Хилари Клинтон. CrowdStrike сообщила о том, что обнаружила две организованные хакерские группы, которые с большой долей вероятности связаны с российской службой внешней разведки. Эти группы, по данным CrowdStrike, взломали сеть DNC и похитили некий компромат на Трампа, включающий данные о его деловых связях, в том числе и его интересах, связанных с РФ.

Компанию CrowdStrike возглавляет Генри Шон, бывший высокопоставленный сотрудник ФБР, ранее отвечавший за подразделение по борьбе с киберпреступностью и кибертерроризмом. CrowdStrike опубликовала подробный отчет о своем расследовании. Компания якобы обнаружила две хакерские группы с анекдотическими названиями COZY BEAR и FANCY BEAR, которые с середины 2000-х атакуют сети Белого дома, различных американских министерств и ведомств, стратегических инфраструктурных объектов, а также правительственные организации в десятках стран мира. По мнению подчиненных Шона, COZY BEAR связана с российской службой внешней разведки Главным разведывательным управлением, а FANCY BEAR — с Федеральной службой безопасности, причем на сайте CrowdStrike названия этих ведомств, видимо для русскоязычной аудитории, продублированы на кириллице.

CrowdStrike приводит анализ вредоносного кода, при помощи которого хакеры получили доступ к сети DNC, пр этом в отчете нет никакой информации, на основе каких данных были сделаны выводы о связи хакеров с ГРУ и ФСБ. Также газета The Washington Post не сообщает, какого рода компромат удалось украсть злоумышленникам и что помещало обнародовать эти данные после взлома. Генри Шон достаточно давно является идеологом так называемых кибервойн, которые якобы ведут враждебные США государства — в первую очередь Россия и Китай.

В многочисленных интервью американской прессе Шон излагает ^[8] свою теорию, согласно которой враждебные Америке страны создают специализированные структуры, которые специализируются на диверсиях в отношении государственных учреждений противника, кибертерроризме, промышленном шпионаже и проч. Никаких значимых доказательств такой деятельности пока обнаружено не было, что не мешает большому количеству частных и государственных структур в США получать бюджетные средства на борьбу с этой угрозой. Например нынешний президент Барак Обама предлагает ^[9] заложить в бюджет 2017 года на эти цели $19 млрд.

Найти доказательства участия спецслужб какого-либо государства во взломе достаточно легко, уверен заместитель генерального директора Infowatch Рустэм Хайретдинов:

Комментировать фантазии сложно, имитировать след любой страны в сети довольно просто: прокси-сервера из этой страны, куски текстов в альтернативной раскладке (кириллица, арабская вязь или иероглифы), пара постов на хакерских форумах — и вот уже это русская, игиловская, северокорейская или китайская атака. Что действительно сложно подделать — это красивые технические решения, требующие хорошего образования и богатого опыта. Компактный самособирающийся код, сложные многокомпонентные атаки — это действительно умеют делать россияне, в том числе и бывшие. Русскими хакерами называют и хакеров из СНГ, и американцев, австралийцев, канадцев и израильтян, говорящих по русски, но на какую страну или группировку они работают, никто в реальности не знает.

Александр Лямин, глава компании Qrator Labs, высказался еще более категорично:

Приставка «кибер» стала отличным инструментом для выбивания федерального финансирования и нагнетания атмосферы страха через использования мутных и малосодержательных идиом, и страшных наименований BEAR, VODKA, USHANKA это всего-лишь часть стратегии по выбиванию денег из конгресса. Описанные методы вызывают у профессионала неконтролируемые приступы гомерического смеха. Это уровень приблизительно школьника-самоучки. Атрибутиция атак в пользу РФ вообще спекуляция. Перед тем как тыкать пальцем, неплохо бы установить вменяемую доказательную базу.