Кибератака на Национальный комитет Демократической партии США
Кибератака на Национальный комитет Демократической партии США (англ. DNC hack, англ. DNC leak), также Гризлигейт (англ. Grizzlygate, по аналогии с Уотергейт) — несанкционированное вмешательство в информационную систему Национального комитета Демократической партии США, которое стало известно широкой общественности в июне 2016 года.
Несанкционированное вмешательство было обнаружено в конце апреля 2016 года, и тогда же к расследованию была привлечена фирма CrowdStrike. После проведения расследования фирма пришла к выводу о том, что взломать информационную систему удалось двум группировкам хакеров[1] — Cozy Bear[к. 1] и Fancy Bear. Представители CrowdStrike считают, что данные группировки тесно связаны с российским правительством и участвуют в политическом и экономическом шпионаже. Согласно результатам расследования, Cozy Bear получила несанкционированный доступ к информационной системе летом 2015 года, а Fancy Bear — в апреле 2016 года. По заключению CrowdStrike, обе группировки смогли похитить письма ящиков электронной почты, а также компромат на конкурента демократов на выборах Президента — Дональда Трампа[2][1].
Российское правительство отрицает свою причастность к инциденту[3].
Впоследствии стало известно о возможной кибератаке типа тайпосквоттинг против DCCC[к. 2]. Атака началась примерно в июне 2016 года[4].
Кибератака
Национальный комитет Демократической партии США
18 мая 2016 года директор службы национальной разведки США Джеймс Клэппер заявил о попытках иностранных разведок шпионить за предвыборными штабами обоих кандидатов за кибератаки на их информационные системы[5].
Специалисты CrowdStrike утверждают, что Fancy Bear использовала вредоносное программное обеспечение (ПО) под названием X-Agent для удаленного выполнения команд, передачи файлов, шпионажа за нажатыми клавишами, и оно было запущено командой rundll32[1]:
rundll32.exe "C:\Windows\twain_64.dll"
Также, по мнению представителей CrowdStrike, была использована программа X-Tunnel для установления соединений через систему NAT и удаленного выполнения команд, и обе программы были доставлены внутри программы RemCOM — аналога с открытыми кодами коммерческой программы PsExec. Эксперты CrowdStrike пришли к выводу о том, что хакеры приняли меры по уничтожению следов своего пребывания, что выражалось в периодическом вычищении журналов событий и изменении атрибутов времени изменения файлов[1].
CrowdStrike не обнаружила признаков сотрудничества между двумя предполагаемыми группами хакеров. Анализ, также, выявил компьютеры, зараженные двумя типами вредоносного ПО. На этом основании был сделан вывод о том, что группы не контактируют между собой и могут одновременно участвовать в атаках на одну жертву[1].
DCCC
Впоследствии стало известно о возможной кибератаке типа тайпосквотинг против DCCC[к. 2]. По утверждению Reuters, двое источников агентства сообщили, что атака началась приблизительно в июне 2016 года[4].
Для нарушения подлинности адреса веб-сервера DCCC был создан адрес actblues.com, отличающийся от настоящего — actblue.com — только одной буквой. Этот адрес был связан с IP-адресом 191.101.31.112 (Host1Plus, подразделение Digital Energy Technologies Ltd., физически местонахождение — Нидерланды), и зарегистрирован в регистраторе I.T.Itch с повышенной защитой приватности. Также:[6]
- доменное имя actblues.com было зарегистрировано на пользователя с адресом электронной почты fisterboks@email.com, на который также было зарегистрировано три других доменных имени, которые германская контрразведка связывает с Fancy Bear;[7]
- также, пользователь fisterboks@email.com использовал те же доменные имена, что и пользователь frank_merdeux@europe.com, зарегистрировавший доменное имя misdepatrment.com, и которое в свою очередь было использовано для тайпсквоттинговой атаки на подрядчика Нацкомитета Демократической партии.
Российская сторона отрицает свою причастность к этой и другим атакам, считая свою связь с хакерами недоказанной[4].
Легализация
Гуччифер 2
Ради легализации похищенных данных был создан клон, который должен был служить фасадом для группировки, — «хакер» по прозвищу Гуччифер 2.0 (англ. Guccifer 2.0). Данное прозвище было заимствовано у другого хакера — румына Марселя Лазара Лехеля (рум. Marcel Lazăr Lehel), который назвал себя англ. Guccifer (слияние слов Gucci и Lucifer). Марсель Лехель прославился благодаря взлому почтовых ящиков известных людей (в частности, сестры Джорджа Уокера Буша). В 2014 году он был приговорен в Румынии к 7 годам заключения, но впоследствии передан в Соединенные Штаты, где по состоянию на 2016 год ожидает приговора суда. Уже в США Лехель заявил, что неоднократно взламывал личный почтовый сервер Хиллари Клинтон, когда та была государственным секретарем США (см. Имейлгейт)[8]. Однако, он не смог привести ни одного доказательства, а следователи — найти никаких свидетельств в подтверждение его слов[9][10][11]. В июле 2016 года директор ФБР Джеймс Коми заявил, что Лазарь солгал, когда заявил о взломе почтового сервера Клинтон[12].
Благодаря Лехелю широкая общественность узнала о существовании частного почтового ящика Хиллари Клинтон, когда он распространил письма со взломанного им же почтового ящика близкого партнера Клинтон Сидни Блюменталя[13][14][15]. Обнародованные письма касались событий вокруг террористических атак на консульство США в Бенгази в 2012 году[13][14][15]. Сидни Блюменталь на то время не имел доступа к секретной информации, однако некоторые из полученных им от Клинтон текстов были впоследствии признаны подпадающими под гриф «секретно»[16][17].
В отличие от первого Гуччифера, Guccifer 2.0 не смог привести убедительные доказательства своей подлинности или что за этим фасадом стоит реальный живой человек[18][19][20][21]. По мнению аналитиков фирмы ThreatConnect, скорее всего, Guccifer 2.0 — лишь попытка российских спецслужб обманом отвлечь внимание от их роли во взломе информационных систем Демократической партии[22]. Среди прочего:
- нетипичное для обычных политических хактивистов поведение — документы не были опубликованы сразу после их получения, а только по истечении более чем одного года;
- нетипичное использование хакером-одиночкой уязвимости нулевого дня в проприетарном (частном, не являющимся открытым) нишевом программном обеспечении. Обычно поиск и обнаружение уязвимостей в ПО, еще до момента его официального релиза, доступно только мощным группировкам. При этом гораздо лучше оснащённые хакеры (в случае связи их с российскими спецслужбами) пользовались ранее гораздо более простым направленным фишингом;
- странный факт изменения метаданных документов (и даже содержания документов) «хакером» Guccifer 2.0 перед обнародованием, что ставит под сомнение подлинность добытых материалов.
По мнению специалиста по компьютерной безопасности Дэйва Айтеля, обнародовав похищенные файлы, российские спецслужбы пересекли красную линию допустимого. Он предложил считать такое наглое вмешательство извне в ход президентских выборов примером кибервойны[23].
WikiLeaks
Следующим шагом по легализации похищенных данных, получившим гораздо больше огласки, стала публикация остальных файлов на сайте организации WikiLeaks, которую бывший сотрудник АНБ Джон Р. Шиндлер назвал суррогатом российских спецслужб[24]. Основатель WikiLeaks Джулиан Ассанж анонсировал обнародование данных в интервью телеканалу ITV 12 июня 2016 года. При этом он признал, что этой утечкой пытается помешать Хиллари Клинтон выиграть выборы[25]. Обнародование произошло 22 июля 2016 года — организация разместила в свободном доступе у себя на сайте 19 252 электронных письма с 8034 вложенными файлами. Письма были украдены из почтовых ящиков 7 ключевых лиц в DNC и охватывают период от января 2015 года до 25 мая 2016 года[3]. Среди писем с вложенными файлами присутствовали и сообщения голосовой почты[26].
О передаче обнародованных писем к WikiLeaks заявил Гуччифер 2.0, который первым выступил публично как личность, стоящая за кибератаками на Демократическую партию[3]. Несмотря на это, Джулиан Ассанж отрицал любую причастность российских спецслужб к утечке данных, а также пообещал обнародовать ещё больше компромата на Хиллари Клинтон. При этом он предположил, что «источник или источники информации дадут о себе знать»[27]. 9 августа 2016 года Ассанж сделал намёк, что возможным источником полученных файлов был сотрудник Демократической партии Сэт Рич (англ. Seth Rich), который был убит утром 10 июля возле своей квартиры. Однако он отказался прямо подтвердить или опровергнуть причастность Рича к истокам данных[28][29].
Обнародованные письма, среди прочего, содержали частную информацию некоторых доноров Демократической партии — номера социального страхования, номера паспортов, информацию о кредитных картах[3]. Один лист содержал перечень лиц, приглашенных на встречу ЛГБТ-активистов, организованную Демократической партией. Среди файлов голосовой почты присутствовала запись сотрудника Демократической партии о посещении с детьми зоопарка[26].
Последствия
WikiLeaks обнародовала похищенные письма накануне съезда Демократической партии, на котором состоялась формальная номинация Хиллари Клинтон в кандидаты на выборах Президента США 2016 года. Однако, из обнародованных писем следовало, что Национальный комитет Демократической партии на праймериз отдавал предпочтение Хиллари Клинтон перед Берни Сандерсом. Вследствие вызванного этим разоблачением скандала председатель Национального комитета Демократической партии Дебби Вассерман-Шульц была вынуждена срочно уйти в отставку[30].
Ряд экспертов по вопросам национальной безопасности Республиканской партии 28 июля 2016 года обратился с открытым письмом к политическим лидерам Конгресса провести тщательное расследование кибератаки на Демократическую партию с последующим обнародованием похищенной информации, поскольку данный случай является «атакой на целостность всего политического процесса»[31].
31 июля Хиллари Клинтон обвинила спецслужбы России в кибератаке на штаб Демократической партии[32]. В ответ АНБ, вероятно, взламывает российских хакеров[33][34].
Российское правительство отрицало свою причастность к инциденту[3].
Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», отметил, что между фактом обнаружения атаки и сообщениями об обвинениях «российских хакеров» прошло менее недели. По его экспертному заключению, за такое время невозможно было определить организатора атаки[35].
Министерство национальной безопасности США после этого случая стало изучать возможность зачисления информационных систем, вовлеченных в избирательный процесс, в число объектов «критической инфраструктуры»[36].
В декабре 2016 года ФБР и АНБ опубликовали совместный доклад[37] о хакерских атаках из России. США официально предъявили России обвинение во вмешательстве в выборы 2016 года, выслали из страны 35 российских дипломатов и закрыли 2 посольских жилищных комплекса[38]. Владимир Путин заявил, что российская сторона не будет предпринимать ответных действий, но при этом оставляет право за собой на ответные меры. При этом он отметил, что дальнейшие шаги по восстановлению российско-американских отношений будут выстраиваться исходя из политики, которую станет проводить избранный президент США Дональд Трамп[39].
В 2018 году в США были выдвинуты официальные обвинения против ряда сотрудников российской военной разведки в связи с данной кибератакой[40].
В августе 2020 года комитет по разведке Сената США пришёл к выводу, что Владимир Путин «отдал приказ» взломать компьютеры и аккаунты членов Демократической партии США[41].
См. также
Примечания
- Комментарии
- Также именуемые как CozyDuke или APT29.
- DCCC — организация, собирающая пожертвования для кандидатов в Конгресс от Демократической партии.
- Источники
- Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee . CrowdStrike (14 червня 2016).
- Ellen Nakashima. Russian government hackers penetrated DNC, stole opposition research on Trump . Washington Post (14 червня 2016).
- Andrea Peterson. Wikileaks posts nearly 20,000 hacked DNC emails online . Washington Post (July 22, 2016).
- Joseph Menn, Dustin Volz, Mark Hosenball. Exclusive: FBI probes hacking of Democratic congressional group - sources (Thu Jul 28, 2016).
- Nicole Gaouette. Intel chief: Presidential campaigns under cyber attack . Politics. CNN (May 18, 2016).
- FANCY BEAR Has an (IT) Itch that They Can’t Scratch . Threat Geek (1 серпня 2016).
- BfV Cyber-Brief Nr. 01/2016 - Hinweis auf aktuelle Angriffskampagne . Bundesamt für Verfassungsschutz (3 березня 2016).
- Cynthia McFadden, Tim Uehlinger & Tracy Connor. Hacker 'Guccifer': I Got Inside Hillary Clinton's Server . NBC News (5 травня 2016).
- Hillary Clinton may have to testify under oath about email server . Associated Press (May 4, 2016). — «"[T]he hacker provided no proof of his claim to have hacked Clinton's server"».
- Pete Williams. Guccifer, Hacker Who Says He Breached Clinton Server, Pleads Guilty . NBC News (25 травня 2016). — «[Lehel] refused to show any of the material he said he found on the Clinton server, and federal investigators said they have found no evidence to back up his claim.».
- Matt Zapotosky. Officials: Scant evidence that Clinton had malicious intent in handling of emails . Washington Post (May 5, 2016). — «U.S. officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton’s personal email server. The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others, and they believed if he had accessed Clinton's emails, he would have released them — as he did when he got into accounts of other high-profile people.».
- Patrick Howell O'Neill. FBI director says Guccifer admitted he lied about hacking Hillary Clinton's email . The Daily Dot (7 июля 2016).
- Hacker Begins Distributing Confidential Memos Sent To Hillary Clinton On Libya, Benghazi Attack (March 18, 2013). Дата обращения: 30 сентября 2015.
- Cook, John Hacked Emails Show Hillary Clinton Was Receiving Advice at a Private Email Account From Banned, Obama-Hating Former Staffer (March 20, 2013). Дата обращения: 30 сентября 2015.
- Acohido, Byron 'Guccifer' hacks Hillary Clinton's e-emails via aide's account (March 22, 2013). Дата обращения: 30 сентября 2015.
- Gerstein, Josh.
- Morrison, Micah.
- Lorenzo Franceschi-Bicchierai. We Spoke to DNC Hacker 'Guccifer 2.0' . Motherboard (June 21, 2016).
- Dan Goodin. “Guccifer” leak of DNC Trump research has a Russian’s fingerprints on it . Ars Technica (Jun 17, 2016).
- Lorenzo Franceschi-Bicchierai. DNC Hacker Denies Russian Link, Says Attack Was His ‘Personal Project' . Motherboard (June 30, 2016).
- Ellen Nakashima. Cyber researchers confirm Russian government hack of Democratic National Committee . Washington Post (20 June 2016).
- Shiny Object? Guccifer 2.0 and the DNC Breach . ThreatConnect (June 29, 2016).
- Dave Aitel. Guest editorial: The DNC hack and dump is what cyberwar looks like . Ars Technica (Jun 17, 2016).
- John R. Schindler. Wikileaks Dismantling of DNC Is Clear Attack by Putin on Clinton . Observer (25 липня 2016). — «By stepping into the middle of our Presidential race, the obvious Russian front has outed themselves. … This, of course, means that Wikileaks is doing Moscow’s bidding and has placed itself in bed with Vladimir Putin. … In truth, to anyone versed in counterintelligence and Russian espionage tradecraft, Wikileaks has been an obvious Kremlin front for years, …».
- CHARLIE SAVAGE. Assange, Avowed Foe of Clinton, Timed Email Release for Democratic Convention . New York Times (JULY 26, 2016).
- Matt Tait. On the Need for Official Attribution of Russia’s DNC Hack . Lawfare (July 28, 2016).
- Matthew Chance. Julian Assange: 'A lot more material' coming on US elections . CNN (July 27, 2016).
- By Peter Hermann and Clarence Williams. WikiLeaks offers reward for help finding DNC staffer’s killer . Washington Post (August 9, 2016).
- Assange implies murdered DNC staffer was WikiLeaks' source . Fox News (August 10, 2016).
- Jeff Zeleny, MJ Lee, Eric Bradner. Dems open convention without Wasserman Schultz . CNN politics (July 25, 2016).
- Tom Hamburger. Republican security experts request congressional investigation of DNC hack . Washington Post (July 28, 2016).
- Клінтон звинуватила спецслужби Росії в кібератаці на сервери Демократичної партії США.
- АНБ "зламує у відповідь" хакерські угруповання з Росії - ЗМІ. Дата обращения 1 января 2017.
- The NSA Is Likely 'Hacking Back' Russia's Cyber Squads . ABC News (30 июля 2016). Дата обращения: 1 января 2017.
- Владимир Познер: Итоги года и прогнозы на будущее. Проверено 1 января 2017. Время от начала источника: 48:06. «Смотрите. С момента обнаружения атаки на DNC, Демократическую партию США — случилась она в середине мая, эта атака — до момента когда сказали «это русские» прошло меньше одной недели. Я, как человек, профессионально занимаюсь исследованием вредоносных программ многие-многие годы, и видел всякое, ответственно заявляю, что за такой короткий срок установить организатора атаки невозможно, никому, даже если это будет ЦРУ.»
- Tim Starks. The meaning of deeming elections ‘critical infrastructure’ . Politico (4 aug 2016).
- https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
- ФБР и АНБ опубликовали доклад о хакерских атаках из России
- Путин заявил, что Россия не вышлет американских дипломатов, РИА Новости. Дата обращения 1 января 2017.
- Козачек, он же Kazak, он же blablabla1234565 12 сотрудников ГРУ обвинили во вмешательстве в американские выборы. Кто они и что сделали (по версии США), Meduza (13 июля 2018). Дата обращения 17 ноября 2017.
- В сенате США заявили о «приказе» Путина взломать компьютеры Демпартии . РБК. Дата обращения: 18 августа 2020.
Литература
- Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee . CrowdStrike (14 червня 2016).
- What's in a Name Server? . ThreatConnect (7 липня 2016).
- Shiny Object? Guccifer 2.0 and the DNC Breach . ThreatConnect (29 червня 2016).
- ThreatConnect follows Guccifer 2.0’s French breadcrumbs back to a Russian VPN Service . ThreatConnect (26 липня 2016).
Ссылки
- Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack . Vice Motherboard (25 липня 2016).
- Matt Tait. On the Need for Official Attribution of Russia’s DNC Hack . Lawfare (July 28, 2016).