Дело о взломе Демпартии США - как это было

Министерство юстиции США предъявило обвинение 12 россиянам в организации хакерской атаки на сервера Демократической Партии в 2016 году и распространении украденной информации в интернете. Утверждается, что обвиняемые использовали собственное вредоносное ПО и оплачивали сетевые услуги с помощью криптовалюты.

Хакеры на выборах

Атаки предшествовали состоявшимся в том же году президентским выборам в США. В ходе атак было украдены десятки тысяч электронных писем и документов, которые затем были опубликованы в интернете. 

Разразился скандал. В письмах выяснилось, например, что руководство Демократической парии накануне выборов перед праймериз (предварительными выборами) изначально поддерживало Хиллари Клинтом в ущерб другому кандидату - Берни Сандерсу. В итоге Клинтон, став кандидатом от Демократической партии, осенью 2016 года проиграла президентские выборы кандидату от Республиканской партии Дональду Трампу.

Обвинения в сторону российских властей во взломе серверов Демократической партии и вмешательстве в американские выборы стала раздаваться еще в 2016 году. В том числе появилась угроза импичмента Дональду Трампу еще до его инаугурации. В конце 2016 года покидающий свой пост президент США Барак Обама под предлогом вмешательства России в выборы выслал российских дипломатов из страны и ввел санкции против ФСБ, ГРУ, их руководителей и других российских граждан и организаций. В начале 2017 года ФБР, ЦРУ и АНБ опубликовали результаты совместного расследования утечки файлов из Демократической партии - с аналогичными выводами. 

После этого началось расследование под руководством спецпрокурора Роберта Мюллера, результаты которого и были сейчас опубликованы. Обвинение направлено в суд округа Колумбия. Текст документа размещен газетой New York Times. В частности, уже опубликованы имена обвиняемых - их можно узнать в тексте обвинительного заключения Минюста США. Утверждается, что все они служат в курируемых ГРУ войсковых частях  №26165 (Москва) и №74455 (подмосковные Химки). Один обвиняемый использовал ники «Kate S. Milton», «James McMorgans», «Karen W. Milen», другой - «Den Katenberg» и «Yuliana Martynova». Также были использовались ники «kazak»  и «blablabla123456»,«djangomagicdev» и «realblatr». 

Дело о взломе Демпартии США - как это было

Фишинговые письма от Google

Утверждается, что обвиняемые атаковали более 300 лиц из предвыборного штаба Хиллари Клинтон, Национальный комитет Демократической партии (Democratic National Committee, DNC) и Комитет Демократической Партии по избранию членов Конгресса США (Democratic Congressional Campaign Committee, DCCC). 

Первая атака состоялась в марте 2016 года в отношении главы предвыборного штаба Хиллари Клинтон. Его имя в обвинительном заключении не называется, но известно, что эту должность занимал Джон Подеста, чьи письма и были тогда распространены в интернете. Хакеры, по версии обвинения, направили упомянутой персоне фальшивое письмо от Google с предложением сменить пароль. К письму была прикреплена ссылка, созданная специальным сервисом для сокращения ссылок. После того, как жертва зашла по ссылке, у него было украдено порядка 50 тыс электронных писем.  Аналогичным образом были разосланы фишинговые письма еще двум руководителям штаба Хиллари Клинтон, используя адрес hi.mymail@yandex.com. Затем обвиняемые создали электронный адрес с именем, похожим на имя известного сотрудника штаба Клинтон. С этого адреса другим сотрудникам штаба стали рассылаться письма с приложенным файлом «hilary-clinton-favorable-rating.xlsx», в котором скрывалась ссылка на фишинговый сайт. 

Вредоносное ПО собственной разработки

Параллельно, по версии обвинения, хакеры исследовали сети DNC и DCCC на предмет определения используемых ими интернет-протоколов и подключенных устройств. С рабочего места одного из сотрудников  DCCC - обозначен в документе как «Сотрудник №1» - с помощью фишингового письма были украдены идентификаторы доступа. Это позволило установить X-Agent на компьютеры как минимум 10 сотрудников DCCC. Далее хакеры, по версии обвинения, смогли через доступ к сети  DCCC следить за активностью сотрудников данной организации и получать различные пароли. Утверждается, что X-Agent передавал информацию с компьютеров DCCC на сервер в американском штате Аризона и имел условное название AMS. Позднее между X-Agent и упомянутым сервером было установлено дополнительное звено - промежуточный компьютер, обеспечивавший большую скрытность. 

С помощью X-Agent обвиняемые могли делать скриншоты и использовать keylogger (программа записи вводимого с клавиатуры текста)  на компьютерах сотрудников DCCC. Как говорится в обвинении, в том числе была перехвачена переписка упомянутой Сотрудницы №1 с другой неназванной сотрудницей – «Сотрудницей №2», в котором обсуждались вопросы финансирования партии, пожертвований, пропаганды, а также содержались данные об индивидуальных банковских аккаунтах. Аналогичным образом была взломана сеть DNC и туда был внедрен X-Agent. В случае с сетью DNC были также использованы скриншоты и keylogger. Кроме того, в сети DNC обвиняемые искали информацию по ключевым словам: «hillary»,  «cruz» и «trump». Кроме того, как утверждается, было скопировано содержимое папки Bengazi Investigation (инцидент в ливийском городе Бенгази, где был убит американский посол). 

Дело о взломе Демпартии США - как это было

Обвинение говорит, что было использовано и другое вредоносное ПО собственной разработки - X-Tunnel, и что с его помощью с компьютеров DNC было украдено несколько гигабайтов информации, которая затем была переведена на сервер в американском штате Иллинойс. 

Кроме того, был взломан использовавшийся в DNC почтовый сервер Microsoft Exchange Server. Затем с помощью оболочки PowerShell  хакеры смогли давать удаленные команды, и в том числе благодаря этому, снимались логи с компьютеров DNC. Также был взломан сервер стороннего «облачного» хостинг-провайдера, использовавшегося DNC.  

По версии обвинения, также  в июне 2016 года обвиняемые создали домен actblues.com, похожий на домен, использовавшейся Демократической партией для сбора пожертвований. Затем был осуществлен взлом сайта DCCC, откуда посетителей стали перенаправлять на сайт actblues.com. В том же месяце был взлома сайт государственного совета по выборам (SBOE 1) и были украдены данные о 500 тыс избирателей. Далее был взломан неназванный в обвинительном заключении разработчик ПО для идентификации избирателей. От лица этой организации и с использованием ее логотипа стали рассылаться фишинговые письма лицам, ответственным за проведение выборов в американском штате Флорида. 

Большая чистка 

В мае 2016 года DNC и DCCC поняли, что их компьютеры были взломаны. К этому выводу пришла нанятая имя компания в области информационной безопасности. В обвинительном заключении ее название не приводится, но известно, что к такому выводу пришла американская компания CrowdStrike. Эта же фирма стала «вычищать» сети DNC и DCCC от внедренного ПО. В июне 2016 года они в течение семи часов безуспешно пытались установить связь с X-Agent,  а также войти с помощью украденных ранее паролей. Но Linux-версия X-Agent продолжала присутствовать в сетях пострадавших организаций до октября 2016 года, связываясь с фальшивым доменом linuxkrl.net (маскируется  под доменом ядра ОС LInux). Со своей стороны, обвиняемые поняли, что их обнаружили и стали вычищать следы своего присутствия из взломанных сетей с помощью утилиты CCleaner.

Дело о взломе Демпартии США - как это было

Компромат за биткоины

Для распространения украденной информации, по версии обвинения,  хакеры пытались зарегистрировать домен electionleaks.com. В итоге, как утверждается, ими был зарегистрирован другой домен - dcleaks.com. Там и стала распространяться часть украденной информации, всего за время существование данного ресурса его посетило более 1 млн человек. Для продвижения dcleaks.com были созданы аккаунты в Twitter и Facebook. Аккаунт на Facebook был зарегистрирован ранее созданным фальшивым пользователем «Alice Donowan». Также для продвижения этого аккаунта использовались другие фальшивые аккаунты, включая «Jason Scott» и «Richard Gingrey». А аккаунт в Twitter был зарегистрирован с того же компьютера, что и другой аккаунт - BaltimorelsWhr, с которого шла направленная против Хиллари Клинтон кампания с хеш-тегом #BlacksagainstHillary.

Как утверждает обвинение, хакеры тщательно маскировали свои следы. Связь с упомянутыми аккаунтами они осуществляли через VPN-сервер в Малазии, в этой же стране размещался сайт DCleaks.com. Оплата хостинга, VPN и доменов осуществлялась с помощью кпиптовалюты биткоин, общая сумма затрат, как утверждается, составила $95 тыс. Виртуальная валюта как «майнилась» самими обвиняемыми, так и получалась иными способами, позволяющими скрыть ее происхождение: прямой обмен между пользователями, обмен с помощью других виртуальных валют и предоплаченные карты. Для скрытия источников средств обвиняемые использовали сотни электронных адресов, генерируя новый почтовый адрес примерно для каждой транзакции с виртуальной валютой. Например, использовавшийся для оплаты аккаунт «gfadel47» собирал bitcoin  в ходе сотен транзакций, полученных от владельцев примерно 100 электронных адресов.

Также увтерждается что обвиняемые использовали фиктивные имена для ряда операций. Для регистрации домена «DCleaks.com» использовалось имя «Carrie Feehan», якобы проживавшего в Нью-Йорке.  Оплата данного домена, как и оплата другого принадлежащего обвиняемым домена - «linuxkrnl.org» - осуществлялась от лица вымышленного имени «Daniel Farrel».  Для оплаты американских серверов, на которых размещалось вредоносное ПО X-Tunnel, использовались фиктивные имена «Ward DeClaur» и «Mike Long».  В качестве адресов при платежах указывались вымышленные названия: «usa Denver AZ», «gfhgh ghfhggh fdgfg WA»,  «1 2 dwd District of Columbia» и т.д.

Guccifer 2.0

Румынский хакер и Wikileaks 

После того, как в июне 2016 года DNC сообщили о взломе ее серверов, обвиняемые, как утверждается, зарегистрировали на WorldPress аккаунт Guccifer 2.0, который называл себя «румынским хакером». Данный персонаж взял на себя ответственность за взлом Демократической партии. От лица этого персонажа гигабайты украденных у Демократической партии данных стали рассылаться американским журналистам, политическим лоббистам и другим лицам. Например, одному журналисту был отправлен пароль от закрытой переписки, размещенной на dcleaks.com. 

На связь с Guccifer 2.0 выходили один из кандидатов в Конгресс США и неназванное лицо, связанной с одной из высокопоставленных персон из штаба Дональда Трампа. Газета The New York Times предполагает, что этим лицом был давний советник Трампа Роджер Стоун. 

Guccifer 2.0 вступил в переписку и некоей организацией, чье название в обвинительном заключении не упоминается. Из описании становится очевидно, что данной организацией является Wikileaks. Представитель Wikileaks заинтересовался имеющимися у Guccifer 2.0 данными. В том числе в переписке он сказал, что ему интересен «конфликт между Берни и Хилари», а также что у Трампа «есть только 25% шансов быть избранным». Guccifer 2.0 переслал Wikileaks  зашифрованный файл «wk dne link1.txt.png», в котором содержалась инструкция для доступа к украденной переписке. В итоге Wikileaks получил файлы объемом 1 Гб и опубликовал порядка 50 тыс украденных писем Демократической партии. 

Что далее?

Напомним, что ранее Демократическая партия США уже подавала иск в суд Южного округа Нью-Йорка - против России, ГРУ, Wikileaks, ряда советников Трампа и российских бизнесменов, которые могли быть связаны с Трампом. Иск касается вышеупомянутых деталей о краже переписке Демократической партии и передачи их Wikileaks через Guccifer 2.0.

В то же время, как отмечают эксперты, для Дональда Трампа пока нет самого страшного: его не обвиняют в сговоре с российскими властями. Более того, оглашая нынешнее обвинение, заместитель генпрокурора США Род Розенстайн подчеркнул: нет свидетельств о том, что указанные действия смогли повлиять на результаты президентских выборов.  

Напомним также, что российские власти традиционно отрицали свое вмешательство в американские выборы. Новые обвинения со стороны США в Министерстве иностранных дел России также отвергли, назвав их лживыми. В МИД полагают, что их цель – испортить атмосферу перед встречей  президентов двух стран в Хельсинки.

Дело о взломе Демпартии США - как это было

Рубрики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, хакеры