Російський слід?

Ось уже тиждень у США не вщухає скандал з кібератакою на поштовий сервер Національного комітету Демократичної партії США (DNC), який спалахнув після публікації порталом WikiLeaks майже 20 тисяч електронних листів, написаних або отриманих чиновниками комітету. WikiLeaks оприлюднив переписку 22 липня, однак сама інформація про злам сервера DNC з'явилася ще місяцем раніше. DW зібрала головні факти про кібератаку на Національний комітет демократів.

Що з'ясувалося після публікації WikiLeaks

Із опублікованих листів стало зрозуміло, що глава DNC Деббі Вассерман-Шульц та інші функціонери комітету усіма силами намагалися підірвати виборчу кампанію Берні Сандерса, головного внутрішньопартійного конкурента кандидатки в президенти США Гілларі Клінтон. Після оприлюднення цієї інформації Вассерман-Шульц подала у відставку. Джерело витоку переписки Демократичної партії незрозуміле, однак ще 14 червня DNC розповів, що його сервери були зламані.

Хто зламав сервери DNC

Дві американські компанії, які займаються питаннями інтернет-безпеки, незалежно одна від одної розслідували злам серверів DNC. Вони дійшли висновку, що до нього причетні щонайменше дві групи хакерів. Одна з них - Cozy Bear ("Затишний ведмідь") - мала доступ до серверів комітету з минулого літа, як свідчать дані компанії CrowdStrike, що проводила розслідування на прохання DNC. Торік ці ж хакери атакували сервери Білого дому, Держдепартаменту та Комітету командувачів штабів збройних сил США, як випливає зі звіту CrowdStrike, оприлюдненого 15 червня.

Друга група зламників - Fancy Bear ("Модний ведмідь"), - яка діяла окремо від попередньої, зламала сервери DNC у квітні 2016 року, встановили в CrowdStrike. Їй також приписують кібератаку на німецький Бундестаг у травні минулого року і злам мереж французького телеканалу TV5Monde у квітні того ж року.

Своєю чергою розслідування фірми SecureWorks підрозділу з кібербезпеки корпорації Dell, показало, що злам пошти функціонерів DNC - справа рук хакерської групи TG-4127, яка також зламала домен передвиборчого штабу Гілларі Клінтон hillaryclinton.com, отримавши доступ до переписки його співробітників. Атака на DNC і співробітників передвиборчої компанії, за даними SecureWorks, відбувалася з березня до травня 2016 року.

Як діяли хакери

Проаналізувавши методи хакерів, спеціалісти SecureWorks дійшли висновку, що TG-4127 і Fancy Bear - одна і та ж група осіб. Судячи з усього, вони використовували одну й ту ж шкідливу програму та інфраструктуру, щоб отримати доступ до переписки DNC, пояснив в інтерв'ю DW спеціаліст з безпеки у підрозділі SecureWorks по боротьбі з загрозами Том Фінні: "Тобто, ці суб'єкти, судячи з усього, співпадають".

Атаці з боку цих хакерів піддалися також скриньки співробітників DNC і передвиборчого штабу Гілларі Клінтон, створені на поштовому сервісі Google. Щоб отримати доступ до їхньої пошти, зловмисники відправляли їм електронні листи, які містили посилання на підробний сайт, зовнішньо абсолютно ідентичний веб-сторінці для входу в пошту Gmail. При цьому ім'я користувача у відповідному полі було заповнено автоматично. Жертві лишалося лише ввести пароль, щоб хакери отримали доступ до її переписки. Своєю чергою хакери Cozy Bear, за свідченнями CrowdStrike, розсилали жертвам посилання на заражений файл, який встановлює вірус у комп'ютерну систему.

Чи мала Росія відношення до кібератаки

Достеменно не відомо. Однак спеціалісти CrowdStrike і SecureWorks вважають, що обидві групи хакерів Cozy Bear і Fancy Bear (або TG-4127), діяли в інтересах російської влади. За словами Тома Фінні, експерти SecureWorks близько року стежили за групою TG-4127, і їм вдалося з'ясувати, що серед тих, хто піддавався атаці хакерів, виявилися українські політики та армія, а також влада Грузії.

Вони також атакували представників збройних сил США та Великобританії, російських політиків і журналістів по всьому світу, які критикували російську владу. "Ми подивилися на цілі атак - Грузія, Україна, критики російської влади - і поставили собі питання: у якої країни можуть бути інтереси у всіх цих сферах", - пояснив Фінні, додавши, що складно знайти іншу країну крім Росії з таким спектром інтересів.

Передвиборчий штаб Гілларі Клінтон напряму звинуватив Росію у зламі сервера і викраденні переписки DNC з метою підтримки кандидата в президенти від республіканців Дональда Трампа. На це в інтерв'ю телеканалу NBC 26 липня завуальовано натякнув і президент США Барак Обама. "Усе можливо", - відповів глава держави на запитання, чи вірить він, що Кремль намагається вплинути на результати виборів у США.

Хто такий Guccifer 2.0

Відповідальність за витік переписки всередині DNC, так само як і за злам його сервера, про який стало відомо всередині червня, взяв на себе такий собі хакер Guccifer 2.0. На своєму сайті він розповідає, що народився у Східній Європі, але не уточнює, де саме.

На думку американських спеціалістів, поява Guccifer 2.0. не що інше як частина дезінформаційної кампанії російських спецслужб, покликаної відволікти увагу від зламу сервера DNC. Як встановили аналітики компанії ThreatConnect, Guccifer 2.0 користується розташованою у Росії анонімною мережею VPN, щоб спілкуватися зі ЗМІ та "зливати" їм документи. "Це відкриття підкріплює наші висновки, що Guccifer 2.0 - це російський засіб пропаганди, а не незалежний автор", - зазначається у матеріалах TthreatConnect, опублікованих 26 липня.

У Secure Works не виключають, що передати дані з серверів DNC могли хакери з TG-4127. Сам Guccifer 2.0 відкидає свій зв'язок з Росією, заявляючи, що злам сервера DNC - його "особистий проект".