Loading AI tools
З Вікіпедії, вільної енциклопедії
Кібератака на Національний комітет Демократичної партії США (англ. DNC hack, англ. DNC leak) — несанкційоване втручання до інформаційної системи Національного комітету Демократичної партії США[en], яке стало відоме широкому загалу у червні 2016. Несанкційоване втручання було виявлене іще наприкінці квітня, тоді ж до розслідування була залучена фірма CrowdStrike. В результаті проведеного розслідування було встановлено, що зламати інформаційну систему вдалось двом угрупуванням російських хакерів — Cozy Bear (CozyDuke або APT29) та Fancy Bear (Sofacy Group або APT28). Група Cozy Bear отримала несанкційований доступ до інформаційної системи іще влітку 2015 року, а Fancy Bear — в квітні 2016 року. Разом обидва угрупування спромоглись викрасти скриньки електронної пошти, а також зібраний компромат на конкурента демократів на виборах Президента — Дональда Трампа[1][2].
Згодом стало відомо про можливу кібератаку типу тайпосквотинг (різновид кіберсквотингу — навмисного створення фальшивих сайтів з доменими іменами дуже схожими на оригінальні) проти DCCC[en] — організації, що збирає пожертви для кандидатів у Конгрес від Демократичної партії. Атака розпочалась приблизно в червні 2016 року[3].
У спільній заяві Міністерство національної безпеки США та директора Національної розвідки 7 жовтня 2016 року повідомили, що американська розвідка впевнена у причетності російського уряду до «нещодавніх кібератак проти окремих осіб та політичних організацій». Розкриття викраденої інформації сайтами DCLeaks.com та WikiLeaks та інтернет-персонажем Guccifer 2.0[en] цілком вкладається у методи та цілі російського керівництва. Такі кібератаки з метою впливу на суспільну думку вже спостерігались в Європі та Євразії та мали бути схвалені на найвищих рівнях[4][5].
18 травня 2016 року директор служби національної розвідки США Джеймс Клеппер заявив про спроби іноземних розвідок шпигувати за передвиборчими штабами обох кандидатів через кібератаки на їхні інформаційні системи[6].
Sofacy Group (Fancy Bear) використала шкідливе ПЗ під назвою X-Agent для віддаленого виконання команд, передачі файлів, шпигування за натисненими клавішами. Воно було запущене командою rundll32[2]:
rundll32.exe "C:\Windows\twain_64.dll"
Також була використана програма X-Tunnel для встановлення з'єднань через систему NAT та віддаленого виконання команд. Обидві програми були доставлені всередині програми RemCOM — аналог з відкритими кодами комерційної програми PsExec. Також російські хакери вдались до декількох заходів зі знищення слідів свого перебування: періодичне вичищення журналів подій та зміна атрибутів часу зміни файлів[2].
Слід зазначити, що обидва угрупування діяли незалежно один від одного, були виявлені випадки зараження одного і того ж комп'ютера обома групами в спробах викрасти одну й ту саму інформацію[2].
Згодом стало відомо про можливу кібератаку типу тайпосквотинг (різновид кіберсквотингу — навмисного створення фальшивих сайтів з доменими іменами дуже схожими на оригінальні) проти DCCC (англ. Democratic Congressional Campaign Committee) — організації, що збирає пожертви для кандидатів у Конгрес від Демократичної партії. Атака розпочалась, приблизно, в червні 2016 року[3].
Для спуфінгу справжньої адреси вебсервера DCCC була створена адреса actblues[.]com, яка відрізняється від справжньої — actblue[.]com лише однією літерою. Ця адреса була пов'язана з IP-адресою 191.101.31[.]112 (Host1Plus, підрозділ Digital Energy Technologies Ltd., фізично прив'язана до Нідерландів), та зареєстрована в реєстраторі I.T. Itch з підвищеним захистом приватності. Також:[7]
У жовтні 2015 — травні 2016 року угрупування Sofacy Group (Fancy Bear, APT28) здійснило масовану направлену фішингову (англ. spearfishing) атаку на користувачів поштовими послугами Gmail (як корпоративними, так і приватними). Всього було виявлено 3907 поштових скриньок, на які були відправлені фішингові листи. Для введення жертв в оману, зловмисники скористались інтернет-службою Bitly, яка дозволяє скорочувати і приховувати справжні адреси гіперпосилань. Прямого зв'язку між направленою фішинговою атакою та зламом інформаційної системи Національного комітету Демократичної партії США встановити не вдалось, проте можна припустити, що аналогічні методи допомогли розпочати проникнення до системи[9].
19 березня 2016 року фішингова атака проти Джона Подести, керівника передвиборчого штабу Гіларі Клінтон, завершилась вдало. 9 жовтня того ж року, у розпал передвиборчої кампанії, «Вікілікс» розпочав оприлюднення листів (у тому числі компрометуючих) з його поштової скрині[10].
Слід зазначити, що злам поштової скриньки із викраденням приватного листування Джона Подести під час виборчої кампанії був не першим таким випадком — під час виборів 2008 року була зламана поштова скриня Сари Пейлін, кандидата у віце-президенти США та партнера кандидата в президенти Джона Маккейна. Відповідальним виявився Девід Кернел (англ. David Kernell). Листування Пейлін було спочатку оприлюднене на інтернет-форумах, а потім розміщене Вікілікс. Кернел ретельно дослідив профілі Сари Пейлін в соціальних мережах, звідки дізнався її біографічні дані, необхідні для проходження процедури «відновлення» паролю до поштової скрині[11][12]. Його звинуватили у вчиненні низки злочинів із сукупним терміном покарання 50 років у в'язниці, визнали винним у скоєнні двох та засудили до ув'язнення на термін 1 рік + 1 день[13].
Заради легалізації викрадених даних було створене «опудало», що мало служити фасадом для угрупування — «хакер» на прізвисько «Гуцифер 2.0» (англ. Guccifer 2.0). Це прізвисько було запозичене в іншого хакера — румунця Марселя Лазара Лехеля (рум. Marcel Lazăr Lehel), котрий назвав себе англ. Guccifer (злиття слів Gucci та Lucifer). Марсель Лехель став відомим завдяки зламу поштових скриньок відомих людей (зокрема, сестри Джорджа Вокера Буша). В 2014 році його засудили в Румунії до 7 років ув'язнення, але згодом передали до Сполучених Штатів, де станом на 2016 рік він очікував на вирок суду. Після того, як Лехеля доставили до США, він заявив, що неодноразово зламував особистий поштовий сервер Гілларі Клінтон, коли та була державним секретарем США (див. Імейлгейт)[14]. Проте, він не зміг навести жодного доказу, а слідчі не знайшли жодних свідчень на підтвердження його слів[15][16][17]. У липні 2016 року директор ФБР Джеймс Комі заявив, що Лазар збрехав, коли заявив про злам поштового серверу Клінтон[18].
Утім, саме завдяки Лехелю широкий загал дізнався про існування приватної поштової скрині Гілларі Клінтон, коли він поширив листи зі зламаної ним же поштової скрині близького партнера Клінтон Сідні Блюменталя[19][20][21] Оприлюднені листи стосувались подій навколо терористичних атак на консульство США в Бенгазі в 2012 році[19][20][21]. Сідні Блюменталь на той час не мав доступу до таємної інформації, однак деякі з отриманих ним від Клінтон текстів були згодом визнані такими, що підпадають під гриф «таємно»[22][23].
На відміну від першого Гуцифера, Guccifer 2.0 не зміг навести переконливі докази своєї автентичності, або що за цим фасадом стоїть реальна жива людина[24][25][26][27]. На думку аналітиків фірми ThreatConnect, швидше за все, Guccifer 2.0 — лише спроба російських спецслужб облудою відвернути увагу від їхньої ролі у зламі інформаційних систем Демократичної партії[28] Серед іншого:
На думку фахівця з комп'ютерної безпеки Дейва Айтеля, оприлюднивши викрадені файли російські спецслужби перетнули червону лінію припустимого. Він запропонував вважати таке нахабне втручання в перебіг президентських виборів іззовні країни прикладом кібервійни[29].
У березні 2018 року американське видання The Daily Beast із посиланням на власні «джерела» повідомило, що фахівцям фірми Threat Connect та співробітникам американської розвідки вдалось знайти докази, що за персонажем Guccifer 2.0 стояли співробітники ГРУ, які працювали в офісах ГРУ на вулиці Гризодубової в Москві. Оператори цього інтернет-персонажа заходили в соціальні мережі через анонамізатор Elite VPN з точкою виходу у Франції, але штаб-квартирою в Москві. Одного разу оператор припустився помилки і зайшов до соц. мереж зі своєї справжньої IP-адреси[30].
Наступним кроком з легалізації викрадених даних, який отримав набагато більше розголосу, стала публікація решти файлів на сайті організації Вікілікс, яку колишній співробітник АНБ Джон Р. Шиндлер назвав «сурогатом російських спецслужб»[31]. Засновник Вікілікс, Джуліан Ассанж, анонсував оприлюднення даних в інтерв'ю телеканалу ITV 12 червня 2016 року. При цьому, він визнав, що цим витоком намагається зашкодити Гілларі Клінтон виграти вибори[32]. Оприлюднення сталось шість тижнів по тому, 22 липня 2016 року — організація розмістила у вільному доступі у себе на сайті 19 252 електронних листів з 8034 вкладеними файлами. Листи були викрадені з поштових скриньок 7 ключових осіб в DNC та охоплювали період від січня 2015 року до 25 травня 2016 року[33]. Серед листів з вкладеними файлами були й повідомлення голосової пошти[34].
Про передачу оприлюднених листів до Вікілікс заявив Гуцифер 2.0, який першим виступив публічно як особа, що стоїть за кібератаками на Демократичну партію.[33]. Попри те, Джуліан Ассанж заперечив будь-яку причетність російських спецслужб до витоку даних, а також пообіцяв оприлюднити ще більше компромату на Гілларі Клінтон. При цьому, він припустив, що «колись джерело або джерела інформації дадуть про себе знати»[35]. 9 серпня 2016 року Ассанж зробив натяк, що можливим джерелом отриманих файлів був співробітник Демократичної партії Сес Річ (англ. Seth Rich), якого вбили вранці 10 липня поблизу його квартири. Однак, він відмовився прямо підтвердити чи спростувати причетність Річа до витоку даних[36][37].
Оприлюднені листи, серед іншого, містили приватну інформацію деяких донорів Демократичної партії — номери соціального страхування, номера паспортів, інформацію про кредитні картки[33]. Один лист містив перелік осіб, запрошених на зустріч ЛГБТ активістів, організовану Демократичною партією. Серед файлів голосової пошти був запис співробітника Демократичної партії про відвідання зоопарку з дітьми[34].
Вікілікс оприлюднила викрадені листи напередодні з'їзду Демократичної партії, на якій відбулась формальне висування Гілларі Клінтон у кандидати на виборах Президента США 2016 року. Однак, з оприлюднених листів випливало, що Національний комітет Демократичної партії протягом праймеріз віддавав деяку перевагу Гілларі Клінтон перед Берні Сандерсом. Унаслідок спричиненого цим викриттям скандалу голова Національного комітету Демократичної партії, Деббі Вассерман-Шульц, була змушена терміново піти у відставку[38].
Низка експертів з питань національної безпеки Республіканської партії 28 липня 2016 року звернулись з відкритим листом до політичних лідерів Конгресу провести ретельне розслідування кібератаки на Демократичну партію з наступним оприлюдненням викраденої інформації, оскільки такий випадок вважали «атакою на цілісність всього політичного процесу»[39].
31 липня Гілларі Клінтон звинуватила спецслужби Росії в кібератаці на штаб Демократичної партії [40]. У відповідь АНБ, можливо, зламує російських хакерів [41][42].
Російський уряд заперечував свою причетність до інциденту[33].
Після цього випадку міністерство національної безпеки США стало вивчати можливість зарахування інформаційних систем, залучених у виборчий процес, до переліку об'єктів «критичної інфраструктури»[43].
На початку листопада 2017 року видання The Wall Street Journal повідомило із посиланням на власні джерела, що міністерству юстиції США вдалось встановити особи шістьох російських високопосадовців, причетних до хакерської атаки на комітет демократичної партії[44].
29 грудня 2016 року США вирішили вислати з країни 35[45] російських дипломатів і закрити 2 дипломатичні установи Росії в США.[46] Також Мінфін США ввів санкції проти російських чиновників і хакерів, що були причетні до хакерських атак[47]. Під дію санкцій також потрапили Федеральна служба безпеки та Головне розвідувальне управління ГШ ЗС РФ.
Перед тим на сайті Комп'ютерної команди екстреної готовності США (US-CERT) було опубліковано звіт про кібератаки Росії[48].
Під санкції потрапили начальник Головного розвідувального управління Генштабу ЗС РФ Ігор Коробов, його заступники Володимир Алексєєв, Сергій Гізун і Ігор Костюков, а також хакери Олексій Белан і Євген Богачов[47].
Євген Михайлович Богачов також відомий під псевдонімом «Славік» (англ. Slavik), його вважали автором банківського троянця ZeuS. В 2014 році він опинився в списку 10 найбільш розшукуваних злочинців ФБР. Згідно зі звинуваченнями на його адресу, ним було створене кіберзлочинне угрупування «Бізнес клуб», яке відповідальне за викрадення понад $100 млн у банків та підприємств з усього світу. За сприяння в його арешті ФБР обіцяло винагороду в $3 млн[49].
Да словами данської компанії Fox-IT, її фахівцям вдалось отримати доступ до серверів очолюваного Богачовим угрупування. Восени 2013, коли політична криза в Україні стала переростати у протистояння з Російською Федерацією, фахівці Fox-IT помітили, що «Славік» переналаштував інфраструктуру своєї кіберзлочинної організації під виконання суто шпигунських функцій. Вражені його троянцями системи шукали файли, в яких зустрічаються ключові слова, притаманні таємним документам (див. також Російсько-українська кібервійна). Те саме було зроблено для заражених систем в Турецькому міністерстві закордонних справ та підрозділі поліції KOM. В Туреччині «Славік» намагався перехопити інформацію стосовно війни в Сирії та ситуації на Турецько-сирійському кордоні[49].
13 липня 2018 року міністерство юстиції США висунуло звинувачення проти 12 російських військових з військових частин 26165 та 74455 у складі ГРУ ГШ РФ за хакерські атаки під час виборів 2016 року[50].
Слідству вдалось встановити, що у 2016 році військовослужбовці з в/ч 26165 розпочали фішингову операцію проти волонтерів та співробітників передвиборчої компанії Гіларі Клінтон, в тому числі, проти голови її штабу. Під час цієї операції зловмисникам вдалось викрасти дані облікових записів численних осіб та з цими даними викрасти вміст їх поштових скриньок і здобути несанкційований доступ до їх персональних комп'ютерів. Зловмисникам також вдалось отримати несанкційований доступ до комп'ютерних мереж DCCC та DNC. Отримавши доступ до мереж зловмисники могли приховано переглядати листування, спостерігати за роботою працівників штабу, встановлювати шкідливе ПЗ для подальшого викрадення даних облікових записів та зберігати свій доступ до мереж[50].
Службовці в/ч 26165 узгоджували свої дії зі службовцями в/ч 74455 для планомірного оприлюднення викрадених документів з метою інформаційного впливу на перебіг виборів президента 2016 року. Зловмисники зареєстрували домен DCLeaks.com і згодом виклали на цьому сайті тисячі викрадених листів та документів. На цьому сайті зловмисники вдавали із себе «американських хактивістів» та використовували облікові записи Facebook і Twitter з вигаданими іменами для поширення інформації про сайт. Після публічних звинувачень на адресу російських спецслужб у зламі серверів Демократичної партії зловмисниками було створене опудало (вигаданий персонаж) 2.0. Надвечір 15 червня, у проміжку між 16:19 та 16:56, зловмисники використали свій московський сервер для пошуку низки англійських слів та фраз, які згодом були використані у першому дописі від імені Guccifer 2.0. У цьому дописі зловмисники стверджували, що це опудало насправді є румунським хакером[50].
Військовослужбовці в/ч 74455 також здійснили хакерську атаку проти комп'ютерів виборчих комісій низки штатів, секретарів штатів, та американських компаній — постачальників ПЗ та інші технології для проведення виборів. Метою зловмисників було викрасти дані виборців[50].
З метою конспірації зловмисники скористались несправжніми особистими даними, використовували різні комп'ютери по всьому світу (в тому числі, у США) сплачували за послуги криптовалютою. Зловмисники використали єдину інфраструктуру для сплати за послуги. Так, наприклад, та сама біткойн-ферма, яка сплатила за реєстрацію DCLeaks.com, сплатила за сервери і домени, використані у фішинговій операції[50].
Всього було висунуто 11 звинувачень.
Розслідування відкритих джерел журналістами «Радіо Свобода» показало, що одна з названих військових частин, номер 74455, знаходиться у доволі великій будівлі за адресою Хорошевское шосе № 76. За результатами розслідування групою Bellingcat за тією ж адресою перебувала штаб-квартира ГРУ, і там же працював офіцер ГРУ Олег Іванніков (псевдо «Оріон»), який був причетний до постачання ЗРК «Бук» на схід України влітку 2014 року, з якого було збито літак рейсу MH17[51][52].
На основі відкритих джерел вдалось встановити, що один з хакерів, які брали участь у викраденні та подальшому поширенні приватного листування членів команди кандидата у Президенти Франції Еммануеля Макрона, мав стосунок до в/ч № 26165. Ця військова частина також відома як «85-й главный центр специальной службы ГРУ»[53][54].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.