Як ГРУ, за версією США, "ламало" американські вибори: розповідь у п'яти діях

Автор фото, Getty Images Підпис до фото, Роберт Мюллер

У п'ятницю, 13 липня, офіс спецпрокурора Роберта Мюллера озвучив нові звинувачення у розслідуванні російського втручання в американські вибори проти 12 співробітників двох частин Головного розвідувального управління РФ. Росіян звинувачують у багаторівневому зламі комп'ютерних систем, крадіжці документів та особистих даних.

Російська служба Бі-бі-сі зібрала всю доступну інформацію про 12 співробітників Головного розвідувального управління, які звинувачуються у втручанні в американські вибори. МЗС Росії стверджує, що всі докази непрямі, а звинувачення ні на чому істотному не грунтується.

Дійові особи

Віктор Нетикшо - офіцер російської розвідки, приписаний до частини 26165. Вона розташована у Москві за адресою Комсомольський проспект, 20. З відкритих джерел також відомо, що Нетикшо у 2003 році захистив дисертацію на тему "Відновлення параметрів дискретних пристроїв, засноване на переоцінці ймовірностей з використанням дійсних порогових співвідношень". У титульному листі вказана військова частина 26165.

У 2010 році він був офіційним опонентом у захисті дисертації на факультеті прикладної математики Інституту криптографії, зв'язку та інформатики Академії ФСБ Росії. Тема: "Моделі і засоби виявлення загроз порушення інформаційної безпеки штатних механізмів виявлення прихованих інформаційних впливів в ядрі OC WINDOWS". В інтернеті цю наукову роботу можна придбати за 450 рублів.

У 2016 році, за даними американського слідства, частина ГРУ, в якій числився Нетикшо, займалася зламом комп'ютерів Національного демократичного комітету, Комітету з виборів в конгрес Демократичної партії США, а також електронних поштових адрес людей, пов'язаних з Гілларі Клінтон.

Борис Антонов - майор Головного розвідувального управління, також приписаний до частини 26165. У частині був підрозділ, яким керував майор Антонов. Спеціалізацією його підопічних були військові, політичні, урядові та неурядові організації, співробітники яких ставали жертвами так званого цілеспрямованого фішингу або онлайн-шахрайства, спрямованого на отримання конфіденційних даних конкретних клієнтів.

Антонов керував операцією по зламу Національного демократичного комітету, Комітету з виборів в конгрес Демократичної партії США, а також електронних адрес людей, пов'язаних з Гілларі Клінтон, стверджує слідство.

Іван Єрмаков - офіцер ГРУ в званні старшого лейтенанта, підлеглий Бориса Антонова. З 2010 року він створив безліч вигаданих персонажів - Кейт С. Мілтон, Джеймс МакМорганс, Карен У. Міллен. Надалі вони використовувалися під час багатьох хакерських операцій ГРУ.

У березні 2016 року Єрмаков брав участь у зламі щонайменше двох електронних поштових скриньок. Документи, вкрадені з них, потім були опубліковані на сайті DCLeaks.com. У травні 2016 року Єрмаков також брав участь у зламі серверів Національного демократичного комітету і крадіжці документів НДК.

Олексій Лукашев - старший лейтенант, підлеглий Бориса Антонова. Він "керував" двома вигаданими персонами - Деном Катенбергом і Юліаною Мартиновою. У 2016 році він відправив шахрайські повідомлення членам виборчого штабу Гілларі Клінтон і керівнику її кампанії Джону Подесті. За допомогою такого фішингу він отримав їхні особисті дані.

Сергій Моргачев - підполковник військової розвідки, також приписаний до частини 26165. Він керував департаментом, основною спеціалізацією якого було написання коду для зламу комп'ютерів, зокрема й хакерського інструменту X-agent, використовуваного ГРУ. Під час зламу комп'ютерів Національного демократичного комітету і Комітету з виборів в конгрес Демократичної партії США він відповідав за впровадження і "приживлення" у них шкідливого вірусу.

Микола Козачок - лейтенант російської армії, підлеглий Моргачева. Він використовував кілька кличок - в тому числі kozachek і blablabla1234565. Лейтенант розробив, удосконалив і налаштував шпигунську програму X-agent, за допомогою якої були зламані комп'ютери демократів.

Павло Єршов - підлеглий Моргачева, офіцер російської армії. Він і Козачок налаштовували і тестували код X-agent перед початком його використання.

Артем Малишев - він же djangomagicdev, realblatr. Молодший лейтенант, підлеглий Моргачева. Він у 2016 році стежив за роботою шкідливого вірусу, коли той вже був у комп'ютерах керівництва демократів.

Олександр Осадчук - полковник російської армії, керівний офіцер у частині 74455. Вона розташовувалася у підмосковних Хімках за адресою вулиця Кірова, 22, у будівлі, яку співробітники ГРУ називали "Вежа".

Частина 74455 спеціалізувалася на публікації крадених документів на DCLeaks.com і на просуванні цих публікацій за участю вигаданого персонажа Guccifier 2.0, а також на створенні контенту, що ганьбить Клінтон, для соцмереж на підконтрольних ГРУ сторінках вигаданих персонажів.

Олексій Потьомкін - керівний офіцер частини 74455, у його сферу діяльності входив контроль комп'ютерної інфраструктури, задіяної в кіберопераціях. Інфраструктура, а також профілі в соцмережах, які вели співробітники підрозділу Потьомкіна, використовувалася для публікації викрадених документів.

Анатолій Ковальов - офіцер російської армії, співробітник частини 74455, розташованої в "Вежі".

Дія перша: злам

З березня 2016 року Лукашев, Бадін, Антонов і Єрмаков розсилали листи, в яких містився шкідливий код, 300 людям, пов'язаним з кампанією Клінтон і структурами Демократичної партії. Так 19 березня 2016 Олексій Лукашев відправив Джону Подесті, керівнику виборчого штабу Клінтон, електронного листа.

Він зареєструвався під ніком john356gh на сервісі, який перетворював довгі назви веб-ресурсів у короткі посилання. Він використовував свій профіль на цьому ресурсі як маскування для посилання, що містилося в фішинг-листі. Натиснувши на неї, Подеста автоматично потрапляв на контрольований ГРУ веб-сайт.

Автор фото, Reuters Підпис до фото, Головною ціллю ГРУ було листування керівництва демократів і штабу Гілларі Клінтон

Лукашев склав лист так, щоб він виглядав як повідомлення від відділу безпеки поштового сервісу (фахівці в області IT називають подібну техніку "спуфінг"). Іншими словами, Подеста отримав повідомлення про те, що йому потрібно змінити пароль до своєї поштової скриньки і посилання, по якому треба було пройти.

Керівник виборчого штабу Клінтон саме так і вчинив і, як наслідок, Лукашев та Єрмаков отримали доступ до його електронної пошти, де містилися понад 50 тисяч листів.

Потім вони стали розсилати подібні фішинг-листи й іншим співробітникам штабу, в тому числі Джейку Саллівану, старшому раднику з міжнародної політики кампанії Клінтон. Всі подібні електронні листи надіслані з поштового сервісу Yahoo користувачем hi.mymail, що перебуває у Росії. Його ящик був замаскований під Google.

До кінця березня були зламані ящики співробітників штабу Клінтон, чиї імена зловмисники знайшли у соцмережах. Листування, знайдене там, було згодом опубліковане на сайті DCLeaks.com.

Лукашев і Єрмаков також створили електронну скриньку від імені співробітника кампанії - ім'я користувача відрізнялося від справжнього на одну букву. З нього вони розіслали листи 30 співробітникам штабу Клінтон, включивши в нього файл Hillary-clinton-favorable-rating.xlsx - він також вів на контрольований ГРУ сайт.

27 липня 2016 року ці фірми вперше спробували атакувати електронну скриньку, яка використовується в особистому офісі Клінтон, а також понад 50 електронних скриньок інших співробітників її штабу.

Дія друга: крадіжка

Одночасно зі зламами пошти старший лейтенант Єрмаков запустив спеціальний інтернет-протокол, який ідентифікував комп'ютери, планшети і смартфони, підключені до мережі Національного демократичного комітету, а потім за допомогою відкритих джерел з'ясував імена співробітників. Через кілька днів внутрішня мережа була зламана і розвідники, діючи за цією ж схемою, зламали мережу Комітету з виборів до конгресу Демократичної партії.

Автор фото, AFP Підпис до фото, Дональд Трамп неодноразово говорив, що його штаб не контактував з российкими спецслужбами перед виборами

Потім співробітники ГРУ встановили на десяти комп'ютерах вірус X-agent, за допомогою якого згодом вкрали документи, а також контролювали дії співробітників комітетів, отримавши доступ до їхніх профілів. Ці дії також дозволили розширити доступ ГРУ до мереж демократів.

X-agent переправляв всі отримані дані на орендований ГРУ сервер, розташований в Арізоні. За отримання інформації з нього відповідали Козачок і Малишев. До цього моменту у них вже були особисті дані співробітників Комітету з виборів в конгрес Демократичної партії і їхні банківські реквізити, а також дані про фінансовий стан самого Комітету. У Єршова і Єрмакова також був доступ до комп'ютера, розташованого в неназваній країні, який вони використовували як проксі-сервер для зв'язку з сервером в Арізоні і комп'ютерною системою Комітету з виборів в конгрес Демократичної партії.

Для того, щоб стиснути величезний масив даних, отриманий в обох комітетах, російські військові використовували публічно доступний сервіс, а потім застосували спеціально написану ГРУ програму X-tunnel, яка дозволила їм передати інформацію на орендований розвідкою комп'ютер в американському штаті Іллінойс.

У травні 2016 року присутність зловмисників було виявлено компанією, що відповідала за комп'ютерну безпеку комітетів, і розвідники почали замітати сліди. Попри всі зусилля служб безпеки, ГРУ зуміло зберегти свою присутність в комп'ютерній мережі демократів аж до жовтня 2016 року.

Дія третя: публікація документів

Старший лейтенант Олексій Лукашов і його колеги-розвідники зареєстрували домен DCLeaks.com в квітні 2016 року, заплативши за нього криптовалютою. У червні сайт почав роботу. Згодом на ньому були опубліковані викрадені документи і демократів, і республіканців (їх розвідники отримали в результаті зламу ще в 2015 році).

Сайт функціонував до березня 2017 року, з його змістом встигли ознайомитися більше мільйона людей. Співробітники ГРУ, які керували сайтом, називали себе групою американських хакерів-активістів. Вони також встигли відкрити офіційну сторінку в Facebook - вона була зареєстрована на вигаданого персонажа на ім'я Еліс Донован. Джейсон Скотт і Річард Джінджерлі (теж фальшиві аккаунти) стали адміністраторами ресурсу.

Керував операцією Олексій Потьомкін. Він і його подільники, за даними слідства, також зареєстрували користувача @dcleaks_ в Twitter. Примітно, що він, за документами слідства, писав пости і коментарі з комп'ютера, який використовувався і для інших хакерських атак ГРУ.

У червні 2016 року було створений вигаданий хакер-активіст на ім'я Guccifier 2.0 - розвідники, які створили його, щоб ввести всіх в оману, наполягали на його румунському походженні. Він став отримувати окремі замовлення на інформацію про конкретних конгресменів.

У серпні 2016-го Guccifier 2.0 переслав зареєстрованому лобістові і онлайн-агентству політичних новин інформацію їхнього політичного опонента, який їх цікавив (назва компанії та ім'я лобіста у документах слідства не вказується). Вони ж отримали інформацію про більш ніж 2000 донорів Демократичної партії.

Автор фото, Getty Images Підпис до фото, Радник Трампа Роджер Стоун зізнавався, що контактував з Guccifier 2.0, але це виявилося нецікавим

В цей же час співробітники ГРУ Лукашев і Єрмаков, використовуючи Guccifier 2.0, зв'язалися з неназваним журналістом, запропонувавши йому поглянути на вкрадені документи. Він отримав доступ до непублічної версії dcleaks.com.

15 серпня і 9 вересня 2016 року Guccifier 2.0 зв'язувався з людиною, яка регулярно контактувала з керівництвом штабу Трампа, і питав, чи знайшов він щось корисне в уже оприлюднених документах. Той відповів, що вважає їх "вкрай стандартними". Що це за людина, в розслідуванні не згадується, але ще в березні минулого року близький радник Трампа Роджер Стоун зізнавався, що контактував з Guccifier 2.0 і не знайшов нічого цікавого в матеріалах, на які хакер дав йому посилання.

Дія четверта: "Організація 1"

Ще один ресурс для публікації вкрадених ГРУ даних - так звана "Організація 1". У розслідуванні Мюллера не говориться, що це за організація, але можна припустити, що мова йде про проект WikiLeaks, який неодноразово публікував переписку демократів.

Представники "Організації 1" зв'язалися з Guccifier 2.0 22 червня 2016 року, написавши розвідникам повідомлення: "Надішліть нам для ознайомлення будь-які нові матеріали (вкрадені у Національного демократичного комітета), і тоді це буде мати набагато більший ефект, ніж той, що ви зараз робите ".

На початку липня вони також писали Guccifier 2.0, цікавлячись новими документами демократів напередодні їхнього з'їзду, де партія традиційно висуває єдиного кандидата. Представники організації також відзначали, що "у Трампа тільки 25% шансів перемогти Гілларі, тому конфлікт між нею і Берні (Берні Сандерс, колишній кандидат в президенти США, чия кандидатура не знайшла підтримки у демократів - Ред.) стає все більш цікавим ".

14 липня після декількох невдалих спроб передати вкрадені документи, розвідники відправили "Організації 1" докладні інструкції про доступ до даних Національного демократичного комітету. 18 липня був переданий 1 гігабайт інформації і представник "Організації 1" повідомив, що документи будуть опубліковані протягом тижня.

22 липня "Організація 1" оприлюднила 20 тисяч електронних листів. Це сталося за лічені дні до з'їзду демократів. У жовтні організація також опублікувала документи, вкрадені Олексієм Лукашевим з комп'ютера керівника штабу Клінтон Джона Подести.

Дія п'ята: злам урядових комп'ютерів

У червні 2016 року Олександр Осадчук і Анатолій Ковальов зламали комп'ютери людей, відповідальних за адміністрування американських виборів. Вони також отримали доступ до комп'ютерів виборчих комітетів штатів, секретаріатів штатів, американських компаній, що виробляють програмне забезпечення для проведення виборів. У розпорядженні розвідників також опинилася інформація про виборців.

Спершу співробітники ГРУ в пошуках слабких місць перевіряли у відкритих джерелах доменні імена різних організацій - зокрема й тих, що були наведені на сайтах Республіканської партії.

Уже за місяць, у липні, розвідники зламали веб-сайт комітету з виборів одного зі штатів, отримавши доступ до інформації про 500 тисяч виборців - у них опинилася особиста інформація (дати народження, номери соціального страхування, номери водійських посвідчень). Через місяць Ковальов і Осадчук зламали комп'ютери постачальника програмного забезпечення, яке використовувалося для перевірки і підтвердження реєстрації виборців.

Обидві атаки були проведені за одним і тим же сценарієм. У серпні про злам комп'ютерів виборчого комітету стало відомо ФБР і розвідники стали знищувати сліди своєї присутності. Одночасно співробітники ГРУ заходили на веб-сторінки виборчих комітетів певних округів штатів Джорджія, Айова і Флорида в пошуках слабких місць у системах безпеки. Ковальов і Осадчук також створили електронну скриньку, схожу на ту, з якої писав постачальник програмного забезпечення і, використовуючи його логотип, стали розсилати з нього листи зі шкідливим кодом.