Избирательная кампания на пост президента США получила неожиданное развитие после того, как газета The Washington Post опубликовала репортаж о том, как российские хакеры, якобы связанные с силовиками из России и действующие в интересах президента Владимира Путина, взломали компьютерную сеть сторонников Демократической партии и украли компромат на кандидата в президенты Дональда Трампа.
Россияне действительно достаточно заметны на мировой арене киберпреступности. Например, российские корни были у банковского трояна Dyre, который успешно атаковал 400 финансовых организаций, среди которых оказались Bank of America Corp, PayPal и JPMorgan Chase & Co. Подозреваемые в создании вредоносной программы были задержаны в Москве в конце ноября 2015 года. Ущерб экономике России от киберпреступности в 2015 году составил 203,3 млрд руб., или 0,25% от ВВП, сообщается в совместном исследовании Group-IB, Фонда развития интернет-инициатив (ФРИИ) и Microsoft. Более 92% крупных коммерческих компаний, госструктур, а также предприятий малого и среднего бизнеса столкнулись с киберинцидентами.
Сообщения о "политических" взломах за которыми якобы стоят российские власти, появляются регулярно. Так в мае 2016 года российских хакеров обвинили в кибератаках на инфраструктуру правительства Германии, в августе 2015 года их стараниями якобы была взломана почтовая система Пентагона, а в октябре 2015 года Хилари Клинтон сообщала, что злоумышленники из России атакуют ее подчиненных при помощи почтовых троянов.
О недавнем взломе сети партии демократов сообщила компания CrowdStrike, которую наняла организация Национальный демократический комитет (Democratic National Committe - DNC), она управляет избирательной компанией Хилари Клинтон. CrowdStrike сообщила о том, что обнаружила две организованные хакерские группы, которые с большой долей вероятности связаны с российской службой внешней разведки. Эти группы, по данным CrowdStrike, взломали сеть DNC и похитили некий компромат на Трампа, включающий данные о его деловых связях, в том числе и его интересах, связанных с РФ.
Компанию CrowdStrike возглавляет Генри Шон, бывший высокопоставленный сотрудник ФБР, ранее отвечавший за подразделение по борьбе с киберпреступностью и кибертерроризмом. CrowdStrike опубликовала подробный отчет о своем расследовании. Компания якобы обнаружила две хакерские группы с анекдотическими названиями COZY BEAR и FANCY BEAR, которые с середины 2000-х атакуют сети Белого дома, различных американских министерств и ведомств, стратегических инфраструктурных объектов а также правительственные организации в десятках стран мира. По мнению подчиненных Шона, COZY BEAR связана с российской службой внешней разведки Главным разведывательным управлением, а FANCY BEAR - с Федеральной службой безопасности, причем на сайте CrowdStrike названия этих ведомств, видимо для русскоязычной аудитории, продублированы на кириллице.
CrowdStrike приводит анализ вредоносного кода, при помощи которого хакеры получили доступ к сети DNC, пр этом в отчете нет никакой информации, на основе каких данных были сделаны выводы о связи хакеров с ГРУ и ФСБ. Также газета The Washington Post не сообщает, какого рода компромат удалось украсть злоумышленникам и что помещало обнародовать эти данные после взлома. Генри Шон достаточно давно является идеологом так называемых кибервойн, которые якобы ведут враждебные США государства - в первую очередь Россия и Китай.
В многочисленных интервью американской прессе Шон излагает свою теорию, согласно которой враждебные Америке страны создают специализированные структуры, которые специализируются на диверсиях в отношении государственных учреждений противника, кибертерроризме, промышленном шпионаже и проч. Никаких значимых доказательств такой деятельности пока обнаружено не было, что не мешает большому количеству частных и государственных структур в США получать бюджетные средства на борьбу с этой угрозой. Например нынешний президент Барак Обама предлагает заложить в бюджет 2017 года на эти цели $19 млрд.
Найти доказательства участия спецслужб какого-либо государства во взломе достаточно легко, уверен заместитель генерального директора Infowatch Рустэм Хайретдинов:
Комментировать фантазии сложно, имитировать след любой страны в сети довольно просто: прокси-сервера из этой страны, куски текстов в альтернативной раскладке (кириллица, арабская вязь или иероглифы), пара постов на хакерских форумах - и вот уже это русская, игиловская, северокорейская или китайская атака. Что действительно сложно подделать - это красивые технические решения, требующие хорошего образования и богатого опыта. Компактный самособирающийся код, сложные многокомпонентные атаки - это действительно умеют делать россияне, в том числе и бывшие. Русскими хакерами называют и хакеров из СНГ, и американцев, австралийцев, канадцев и израильтян, говорящих по русски, но на какую страну или группировку они работают, никто в реальности не знает.
Александр Лямин, глава компании Qrator Labs, высказался еще более категорично:
Приставка "кибер" стала отличным инструментом для выбивания федерального финансирования и нагнетания атмосферы страха через использования мутных и малосодержательных идиом, и страшных наименований BEAR, VODKA, USHANKA это всего-лишь часть стратегии по выбиванию денег из конгресса. Описанные методы вызывают у профессионала неконтролируемые приступы гомерического смеха. Это уровень приблизительно школьника-самоучки. Атрибутиция атак в пользу РФ вообще спекуляция. Перед тем как тыкать пальцем, неплохо бы установить вменяемую доказательную базу.
Добавить 7 комментариев
Где вы таких «экспертов» нашли? Отрицать что APT28 российский может только далекий от ИБ человек.
Yeah bro.
Thats definitely EVIDENCE! :))))))))))
»
The first, most easy to spot one, is the use of “)))” instead of a standard smile emoticon in the Guccifer 2.0 blog post. Using a single or multiple “)” instead the usual “:)” is very common for Russians, given the awkward way one needs to type the colon in a Russian keyboard.
«
Что тут скажешь? Поймали за руку))))
Итальянцы и испанцы любят asd asd asd писать ;-)
А вообще анекдотичные вещи скорее для публики, чем внутреннего потребления. Или всё прям настолько серьёзно?
Это типа двухходовочка, чтобы все подумали, что Россия за Клинтон, хотя Россия за Трампа, чтобы США метнулись и поставили президентом Трампа, чтобы побесить Россию, а ей того и надо? :) Вообще, Трамп хотя бы не запрещает оружие.
Пересказываю всю историю чтобы было понятно, как российские «эксперты» манипулируют фактами:
CrowdStrike благодаря своим мощнейшим технологиям и профессионализму обнаруживает две группы в локальной сети одного из клиентов. Клиент разрешает опубликовать информацию о взломе. Информацию подхватывает The Washington Post и другие значимые издания.
Как только появилась шумиха в СМИ, некто, под никнеймом Gucifer 2.0, создает блог в тот же день, с историей о том, что это он был тем хакером кто взломал сеть DHC. Мировая общественность усомнилась в том, что публикация этого блога не является операцией для отвлечения внимания. В частности указали на «))))» в качестве смайликов.
Что делают российские ИБ-шники? Что тут, что и в других местах, например: https://twitter.com/imedv/status/743688213730988032
Российские ИБ-шники заявляют что смайлики являются главным доказательством! Т.е. полностью отрицается вся грандиозная работа проведенная Crowdstike. Вы можете понять эту логику?
Раскрывать такие кампании шпионажа, которые раскрыли в Crowdstrike, это вам не e-shop’ы от DDoS-детишек защищать. Тут совсем другой уровень профессионализма нужен, к большому сожалению такой уровень практически недостижим для российских ИБ-шников.
«Мощнейшие технологии» — это powershell ? :)
FalconHost кроудстрайсковский не на powershell написан это точно.