Русская Википедия:Кибератака на Национальный комитет Демократической партии США

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Кибератака на Национальный комитет Демократической партии США (Шаблон:Lang-en, Шаблон:Lang-en), также Гризлигейт (Шаблон:Lang-en, по аналогии с Уотергейт) — несанкционированное вмешательство в информационную систему Национального комитета Демократической партии США, которое стало известно широкой общественности в июне 2016 года.

Несанкционированное вмешательство было обнаружено в конце апреля 2016 года, и тогда же к расследованию была привлечена фирма CrowdStrike. После проведения расследования фирма пришла к выводу о том, что взломать информационную систему удалось двум группировкам хакеров[1]Cozy BearШаблон:Ref+ и Fancy Bear. Представители CrowdStrike считают, что данные группировки тесно связаны с российским правительством и участвуют в политическом и экономическом шпионаже. Согласно результатам расследования, Cozy Bear получила несанкционированный доступ к информационной системе летом 2015 года, а Fancy Bear — в апреле 2016 года. По заключению CrowdStrike, обе группировки смогли похитить письма ящиков электронной почты, а также компромат на конкурента демократов на выборах ПрезидентаДональда Трампа[2][1].

Российское правительство отрицает свою причастность к инциденту[3].

Впоследствии стало известно о возможной кибератаке типа тайпосквоттинг против Шаблон:Нп3Шаблон:Ref+. Атака началась примерно в июне 2016 года[4].

Кибератака

Национальный комитет Демократической партии США

18 мая 2016 года директор службы национальной разведки США Джеймс Клэппер заявил о попытках иностранных разведок шпионить за предвыборными штабами обоих кандидатов за кибератаки на их информационные системы[5].

Специалисты CrowdStrike утверждают, что Fancy Bear использовала вредоносное программное обеспечение (ПО) под названием X-Agent для удаленного выполнения команд, передачи файлов, шпионажа за нажатыми клавишами, и оно было запущено командой rundll32[1]: 

 rundll32.exe "C:\Windows\twain_64.dll"

Также, по мнению представителей CrowdStrike, была использована программа X-Tunnel для установления соединений через систему NAT и удаленного выполнения команд, и обе программы были доставлены внутри программы RemCOM — аналога с открытыми кодами коммерческой программы PsExec. Эксперты CrowdStrike пришли к выводу о том, что хакеры приняли меры по уничтожению следов своего пребывания, что выражалось в периодическом вычищении журналов событий и изменении атрибутов времени изменения файлов[1].

CrowdStrike не обнаружила признаков сотрудничества между двумя предполагаемыми группами хакеров. Анализ, также, выявил компьютеры, зараженные двумя типами вредоносного ПО. На этом основании был сделан вывод о том, что группы не контактируют между собой и могут одновременно участвовать в атаках на одну жертву[1].

DCCC

Впоследствии стало известно о возможной кибератаке типа тайпосквотинг против Шаблон:Нп3Шаблон:Ref+. По утверждению Reuters, двое источников агентства сообщили, что атака началась приблизительно в июне 2016 года[4].

Для нарушения подлинности адреса веб-сервера DCCC был создан адрес actblues.com, отличающийся от настоящего — actblue.com — только одной буквой. Этот адрес был связан с IP-адресом 191.101.31.112 (Host1Plus, подразделение Digital Energy Technologies Ltd., физически местонахождение — Нидерланды), и зарегистрирован в регистраторе I.T.Itch с повышенной защитой приватности. Также:[6]

  • доменное имя actblues.com было зарегистрировано на пользователя с адресом электронной почты fisterboks@email.com, на который также было зарегистрировано три других доменных имени, которые германская контрразведка связывает с Fancy Bear;[7]
  • также, пользователь fisterboks@email.com использовал те же доменные имена, что и пользователь frank_merdeux@europe.com, зарегистрировавший доменное имя misdepatrment.com, и которое в свою очередь было использовано для тайпсквоттинговой атаки на подрядчика Нацкомитета Демократической партии.

Российская сторона отрицает свою причастность к этой и другим атакам, считая свою связь с хакерами недоказанной[4].

Легализация

Гуччифер 2

Ради легализации похищенных данных был создан клон, который должен был служить фасадом для группировки, — «хакер» по прозвищу Гуччифер 2.0 (Шаблон:Lang-en). Данное прозвище было заимствовано у другого хакера — румына Марселя Лазара Лехеля (Шаблон:Lang-ro), который назвал себя Шаблон:Lang-en (слияние слов Gucci и Lucifer). Марсель Лехель прославился благодаря взлому почтовых ящиков известных людей (в частности, сестры Джорджа Уокера Буша). В 2014 году он был приговорен в Румынии к 7 годам заключения, но впоследствии передан в Соединенные Штаты, где по состоянию на 2016 год ожидает приговора суда. Уже в США Лехель заявил, что неоднократно взламывал личный почтовый сервер Хиллари Клинтон, когда та была государственным секретарем США (см. Имейлгейт)[8]. Однако, он не смог привести ни одного доказательства, а следователи — найти никаких свидетельств в подтверждение его слов[9][10][11]. В июле 2016 года директор ФБР Джеймс Коми заявил, что Лазарь солгал, когда заявил о взломе почтового сервера Клинтон[12].

Благодаря Лехелю широкая общественность узнала о существовании частного почтового ящика Хиллари Клинтон, когда он распространил письма со взломанного им же почтового ящика близкого партнера Клинтон Сидни Блюменталя[13][14][15]. Обнародованные письма касались событий вокруг террористических атак на консульство США в Бенгази в 2012 году[13][14][15]. Сидни Блюменталь на то время не имел доступа к секретной информации, однако некоторые из полученных им от Клинтон текстов были впоследствии признаны подпадающими под гриф «секретно»[16][17].

В отличие от первого Гуччифера, Guccifer 2.0 не смог привести убедительные доказательства своей подлинности или что за этим фасадом стоит реальный живой человек[18][19][20][21]. По мнению аналитиков фирмы ThreatConnect, скорее всего, Guccifer 2.0 — лишь попытка российских спецслужб обманом отвлечь внимание от их роли во взломе информационных систем Демократической партии[22]. Среди прочего:

  • нетипичное для обычных политических хактивистов поведение — документы не были опубликованы сразу после их получения, а только по истечении более чем одного годаШаблон:Нет АИ;
  • нетипичное использование хакером-одиночкой уязвимости нулевого дня в проприетарном (частном, не являющимся открытым) нишевом программном обеспечении. Обычно поиск и обнаружение уязвимостей в ПО, еще до момента его официального релиза, доступно только мощным группировкам. При этом гораздо лучше оснащённые хакеры (в случае связи их с российскими спецслужбами) пользовались ранее гораздо более простым направленным фишингом;
  • странный факт изменения метаданных документов (и даже содержания документов) «хакером» Guccifer 2.0 перед обнародованием, что ставит под сомнение подлинность добытых материалов.

По мнению специалиста по компьютерной безопасности Дэйва Айтеля, обнародовав похищенные файлы, российские спецслужбы пересекли красную линию допустимого. Он предложил считать такое наглое вмешательство извне в ход президентских выборов примером кибервойны[23].

WikiLeaks

Следующим шагом по легализации похищенных данных, получившим гораздо больше огласки, стала публикация остальных файлов на сайте организации WikiLeaks, которую бывший сотрудник АНБ Джон Р. Шиндлер назвал суррогатом российских спецслужб[24]. Основатель WikiLeaks Джулиан Ассанж анонсировал обнародование данных в интервью телеканалу ITV 12 июня 2016 года. При этом он признал, что этой утечкой пытается помешать Хиллари Клинтон выиграть выборы[25]. Обнародование произошло 22 июля 2016 года — организация разместила в свободном доступе у себя на сайте 19 252 электронных письма с 8034 вложенными файлами. Письма были украдены из почтовых ящиков 7 ключевых лиц в DNC и охватывают период от января 2015 года до 25 мая 2016 года[3]. Среди писем с вложенными файлами присутствовали и сообщения голосовой почты[26].

О передаче обнародованных писем к WikiLeaks заявил Гуччифер 2.0, который первым выступил публично как личность, стоящая за кибератаками на Демократическую партию[3]. Несмотря на это, Джулиан Ассанж отрицал любую причастность российских спецслужб к утечке данных, а также пообещал обнародовать ещё больше компромата на Хиллари Клинтон. При этом он предположил, что «источник или источники информации дадут о себе знать»[27]. 9 августа 2016 года Ассанж сделал намёк, что возможным источником полученных файлов был сотрудник Демократической партии Сэт Рич (Шаблон:Lang-en), который был убит утром 10 июля возле своей квартиры. Однако он отказался прямо подтвердить или опровергнуть причастность Рича к истокам данных[28][29].

Обнародованные письма, среди прочего, содержали частную информацию некоторых доноров Демократической партии — номера социального страхования, номера паспортов, информацию о кредитных картах[3]. Один лист содержал перечень лиц, приглашенных на встречу ЛГБТ-активистов, организованную Демократической партией. Среди файлов голосовой почты присутствовала запись сотрудника Демократической партии о посещении с детьми зоопарка[26].

Последствия

WikiLeaks обнародовала похищенные письма накануне съезда Демократической партии, на котором состоялась формальная номинация Хиллари Клинтон в кандидаты на выборах Президента США 2016 года. Однако, из обнародованных писем следовало, что Национальный комитет Демократической партии на праймериз отдавал предпочтение Хиллари Клинтон перед Берни Сандерсом. Вследствие вызванного этим разоблачением скандала председатель Национального комитета Демократической партии Дебби Вассерман-Шульц была вынуждена срочно уйти в отставку[30].

Ряд экспертов по вопросам национальной безопасности Республиканской партии 28 июля 2016 года обратился с открытым письмом к политическим лидерам Конгресса провести тщательное расследование кибератаки на Демократическую партию с последующим обнародованием похищенной информации, поскольку данный случай является «атакой на целостность всего политического процесса»[31].

31 июля Хиллари Клинтон обвинила спецслужбы России в кибератаке на штаб Демократической партии[32]. В ответ АНБ, вероятно, взламывает российских хакеров[33][34].

Российское правительство отрицало свою причастность к инциденту[3].

Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», отметил, что между фактом обнаружения атаки и сообщениями об обвинениях «российских хакеров» прошло менее недели. По его экспертному заключению, за такое время невозможно было определить организатора атаки[35].

Министерство национальной безопасности США после этого случая стало изучать возможность зачисления информационных систем, вовлеченных в избирательный процесс, в число объектов «критической инфраструктуры»[36].

В декабре 2016 года ФБР и АНБ опубликовали совместный доклад[37] о хакерских атаках из России. США официально предъявили России обвинение во вмешательстве в выборы 2016 года, выслали из страны 35 российских дипломатов и закрыли 2 посольских жилищных комплекса[38]. Владимир Путин заявил, что российская сторона не будет предпринимать ответных действий, но при этом оставляет право за собой на ответные меры. При этом он отметил, что дальнейшие шаги по восстановлению российско-американских отношений будут выстраиваться исходя из политики, которую станет проводить избранный президент США Дональд Трамп[39].

В 2018 году в США были выдвинуты официальные обвинения против ряда сотрудников российской военной разведки в связи с данной кибератакой[40].

В августе 2020 года комитет по разведке Сената США пришёл к выводу, что Владимир Путин «отдал приказ» взломать компьютеры и аккаунты членов Демократической партии США[41].

См. также

Примечания

Комментарии

Шаблон:Примечания

Источники

Шаблон:Примечания

Литература

Ссылки

Шаблон:Обвинения России во вмешательстве в президентские выборы 2016 года в СШАШаблон:Хакерские атаки 2010-х

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. 1,0 1,1 1,2 1,3 1,4 Шаблон:Cite web
  2. Шаблон:Cite web
  3. 3,0 3,1 3,2 3,3 3,4 Шаблон:Cite web
  4. 4,0 4,1 4,2 Шаблон:Cite web
  5. Шаблон:Cite web
  6. Шаблон:Cite web
  7. Шаблон:Cite web
  8. Шаблон:Cite web
  9. Шаблон:Cite web
  10. Шаблон:Cite web
  11. Шаблон:Cite web
  12. Шаблон:Cite web
  13. 13,0 13,1 Шаблон:Cite web
  14. 14,0 14,1 Шаблон:Cite web
  15. 15,0 15,1 Шаблон:Cite web
  16. Gerstein, Josh.
  17. Morrison, Micah.
  18. Шаблон:Cite web
  19. Шаблон:Cite web
  20. Шаблон:Cite web
  21. Шаблон:Cite web
  22. Шаблон:Cite web
  23. Шаблон:Cite web
  24. Шаблон:Cite web
  25. Шаблон:Cite web
  26. 26,0 26,1 Шаблон:Cite web
  27. Шаблон:Cite web
  28. Шаблон:Cite web
  29. Шаблон:Cite web
  30. Шаблон:Cite web
  31. Шаблон:Cite web
  32. Шаблон:Cite news
  33. Шаблон:Cite news
  34. Шаблон:Cite web
  35. Шаблон:Cite video
  36. Шаблон:Cite web
  37. Шаблон:Cite web
  38. Шаблон:Cite web
  39. Шаблон:Cite news
  40. Шаблон:Cite news
  41. Шаблон:Cite web
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Кибератака_на_Национальный_комитет_Демократической_партии_США&oldid=10113743