1. Перейти до змісту
  2. Перейти до головного меню
  3. Перейти до інших проєктів DW

Кібератаки в США: сліди ведуть у Росію?

Ілля Коваль
6 січня 2017 р.

DW розповідає, чому розвідслужби США вважають, що хакери, які атакували сервери Демократичної партії, діяли з Росії.

Фото: picture-alliance/dpa/A. Marchi

На початку наступного тижня у публічному доступі повинна з'явитися незасекречена частина доповіді американських розвідслужб про іноземне втручання у вибори президента США. 5 січня повний звіт на цю тему було надано чинному президенту Бараку Обамі, 6 січня з дослідженням ознайомився його наступник Дональд Трамп.

Озвучуючи підсумки розслідування перед Сенатом, глава Нацрозвідки США Джеймс Клеппер підтвердив, що, на думку американських спецслужб, кібератаки були здійснені хакерами з Росії і санкціоновані російськими високопосадовцями. Чи будуть в незасекреченій частині доповіді представлені однозначні докази причетності Росії до хакерських атак, невідомо. Поки у всіх звітах фігурували непрямі докази. DW розповідає, в чому звинувачують комп'ютерних зломщиків і про які свідчення того, що хакери діяли з Росії, відомо на даний момент.

Джеймс Клеппер у КонгресіФото: picture-alliance/AP Photo/E. Vucci

Кого і в яких кібератаки звинувачують?

Основну увагу спецслужби приділяють двом епізодам злому серверів Демократичної партії в 2015 і 2016 роках. Наприкінці грудня міністерство внутрішньої безпеки і Федеральне бюро розслідувань (ФБР) підготували доповідь про ці атаки. У документі стверджувалося, що ці акції здійснили два хакерські угрупування, пов'язані з російською військовою та цивільною розвідкою. Влітку 2015 року діяли хакери з групи Cozy Bear (дослівно "лагідний ведмідь", відома ще як APT29), а навесні 2016 року - Fancy Bear (дослівно "прикольний ведмідь", відома ще як APT28).

Висновок про те, що до однієї з атак причетна група Fancy Bear, підтверджували також розслідування фірми SecureWorks (підрозділ з кібербезпеки корпорації Dell. - Ред.) і компанії-розробника антивірусного програмного забезпечення ESET.

Компанія Crowdstrike, яка проводила влітку розслідування на прохання Національного комітету Демократичної партії (DNC), висловила припущення, що Cozy Bear працюють під керівництвом ФСБ, Fancy Bear - під керівництвом військової розвідки ГРУ.

Чому звинувачують саме Росію?

Публічно озвучувалися кілька непрямих ознак, що вказують на те, що обидві хакерські групи базуються в Росії і діють в інтересах російських спецслужб. Зокрема, вивченню хакерської активності Fancy Bear були присвячені розслідування компанії FireEye, що спеціалізується на комп'ютерній безпеці, і вже згаданої ESET. Їхні висновки зводяться до двох основних тез.

Перша: хакери зламують тих, хто міг би бути цікавий російським спецслужбам. Так, об'єктами атак Fancy Bear в різний час були, поряд з американськими цілями, структури НАТО, уряди і оборонні відомства Грузії і України, російські опозиційні діячі. "Ми спостерігаємо за роботою добре тренованої команди розробників, які збирають розвідувальну інформацію з геополітичних питань і питань оборони - даних, цікавих тільки урядам", - написала в своєму звіті FireEye.

Другий аспект, який відзначають ті, хто вивчав роботу хакерів - це час їхньої активності. Більше 96 відсотків атак з боку Fancy Bear, зафіксованих фахівцями FireEye, мали місце з понеділка по п'ятницю, 89 відсотків зломів були здійснені з 10 до 18 за московським часом. На збіг активності цієї хакерської групи з офісними годинами роботи за московським часом вказують і аналітики ESET.

Ще одну нитку, яка зв'язує зломщиків з Росією, знайшли фахівці компанії ThreatConnect. Відповідальність за витік листування всередині DNC взяв на себе хакер з ніком Guccifer 2.0. Проаналізувавши технічні дані листування Guccifer 2.0 з представниками ЗМІ, аналітики зуміли встановити, що він використовував анонімну мережу VPN, яка маскувала його IP-адресу.

Фірма Elite VPN, яка надавала йому такі послуги, розташована в Росії. Більш того, той IP, який використовує хакер, не пропонується на вибір звичайним користувачам даного сервісу. Остання обставина, за оцінкою ThreatConnect, може означати, що йдеться не про звичайного хакера-одинака і за ним стоїть якась команда.

На прес-конференції на початку січня компанія Crowdstrike знову висловила впевненість у тому, що за атаками стоять російські хакери. Імен конкретних виконавців або однозначних доказів фахівці не навели, але в той же час представники компанії підкреслили, що коди шкідливих програм, якими користуються хакери, мають унікальний характер і не перебувають у публічному доступі. Крім того, за словами фахівців Crowdstrike, у розпорядженні хакерів є потужна інфраструктура, що свідчить про діяльність добре підготовленої групи.

Трамп посварився з ЦРУ через російських хакерів (12.12.2016)

02:04

This browser does not support the video element.

Пропустити розділ Більше за темою
Пропустити розділ Топтема

Топтема

Пропустити розділ Більше публікацій DW

Більше публікацій DW