Interested Article - Кибератака на Национальный комитет Демократической партии США
- 2021-06-05
- 2
Кибератака на Национальный комитет Демократической партии США ( англ. DNC hack , англ. DNC leak ), также Гризлигейт ( англ. Grizzlygate , по аналогии с Уотергейт ) — несанкционированное вмешательство в информационную систему Национального комитета Демократической партии США , которое стало известно широкой общественности в июне 2016 года .
Несанкционированное вмешательство было обнаружено в конце апреля 2016 года, и тогда же к расследованию была привлечена фирма CrowdStrike . После проведения расследования фирма пришла к выводу о том, что взломать информационную систему удалось двум группировкам хакеров — Cozy Bear и Fancy Bear . Представители CrowdStrike считают, что данные группировки тесно связаны с российским правительством и участвуют в политическом и экономическом шпионаже. Согласно результатам расследования, Cozy Bear получила несанкционированный доступ к информационной системе летом 2015 года, а Fancy Bear — в апреле 2016 года. По заключению CrowdStrike, обе группировки смогли похитить письма ящиков электронной почты , а также компромат на конкурента демократов на выборах Президента — Дональда Трампа .
Российское правительство отрицает свою причастность к инциденту .
Впоследствии стало известно о возможной кибератаке типа тайпосквоттинг против . Атака началась примерно в июне 2016 года .
Кибератака
Национальный комитет Демократической партии США
18 мая 2016 года директор службы национальной разведки США Джеймс Клэппер заявил о попытках иностранных разведок шпионить за предвыборными штабами обоих кандидатов за кибератаки на их информационные системы .
Специалисты CrowdStrike утверждают, что Fancy Bear использовала вредоносное программное обеспечение (ПО) под названием X-Agent для удаленного выполнения команд, передачи файлов, шпионажа за нажатыми клавишами, и оно было запущено командой rundll32 :
rundll32.exe "C:\Windows\twain_64.dll"
Также, по мнению представителей CrowdStrike, была использована программа X-Tunnel для установления соединений через систему NAT и удаленного выполнения команд, и обе программы были доставлены внутри программы RemCOM — аналога с открытыми кодами коммерческой программы PsExec. Эксперты CrowdStrike пришли к выводу о том, что хакеры приняли меры по уничтожению следов своего пребывания, что выражалось в периодическом вычищении журналов событий и изменении атрибутов времени изменения файлов .
CrowdStrike не обнаружила признаков сотрудничества между двумя предполагаемыми группами хакеров. Анализ, также, выявил компьютеры, зараженные двумя типами вредоносного ПО. На этом основании был сделан вывод о том, что группы не контактируют между собой и могут одновременно участвовать в атаках на одну жертву .
DCCC
Впоследствии стало известно о возможной кибератаке типа тайпосквотинг против . По утверждению Reuters , двое источников агентства сообщили, что атака началась приблизительно в июне 2016 года .
Для нарушения подлинности адреса веб-сервера DCCC был создан адрес actblue s .com, отличающийся от настоящего — actblue.com — только одной буквой. Этот адрес был связан с IP-адресом 191.101.31.112 (Host1Plus, подразделение Digital Energy Technologies Ltd., физически местонахождение — Нидерланды), и зарегистрирован в регистраторе I.T.Itch с повышенной защитой приватности. Также:
- доменное имя actblues.com было зарегистрировано на пользователя с адресом электронной почты [email protected], на который также было зарегистрировано три других доменных имени, которые германская контрразведка связывает с Fancy Bear ;
- также, пользователь [email protected] использовал те же доменные имена, что и пользователь [email protected], зарегистрировавший доменное имя misdepatrment.com, и которое в свою очередь было использовано для тайпсквоттинговой атаки на подрядчика Нацкомитета Демократической партии.
Российская сторона отрицает свою причастность к этой и другим атакам, считая свою связь с хакерами недоказанной .
Легализация
Гуччифер 2
Ради легализации похищенных данных был создан клон, который должен был служить фасадом для группировки, — «хакер» по прозвищу Гуччифер 2.0 ( англ. Guccifer 2.0 ). Данное прозвище было заимствовано у другого хакера — румына Марселя Лазара Лехеля ( рум. Marcel Lazăr Lehel ), который назвал себя англ. Guccifer (слияние слов Gucci и Lucifer ). Марсель Лехель прославился благодаря взлому почтовых ящиков известных людей (в частности, сестры Джорджа Уокера Буша ). В 2014 году он был приговорен в Румынии к 7 годам заключения, но впоследствии передан в Соединенные Штаты , где по состоянию на 2016 год ожидает приговора суда. Уже в США Лехель заявил, что неоднократно взламывал личный почтовый сервер Хиллари Клинтон, когда та была государственным секретарем США (см. Имейлгейт) . Однако, он не смог привести ни одного доказательства, а следователи — найти никаких свидетельств в подтверждение его слов . В июле 2016 года директор ФБР Джеймс Коми заявил, что Лазарь солгал, когда заявил о взломе почтового сервера Клинтон .
Благодаря Лехелю широкая общественность узнала о существовании частного почтового ящика Хиллари Клинтон, когда он распространил письма со взломанного им же почтового ящика близкого партнера Клинтон Сидни Блюменталя . Обнародованные письма касались событий вокруг террористических атак на консульство США в Бенгази в 2012 году . Сидни Блюменталь на то время не имел доступа к секретной информации, однако некоторые из полученных им от Клинтон текстов были впоследствии признаны подпадающими под гриф «секретно» .
В отличие от первого Гуччифера, Guccifer 2.0 не смог привести убедительные доказательства своей подлинности или что за этим фасадом стоит реальный живой человек . По мнению аналитиков фирмы ThreatConnect, скорее всего, Guccifer 2.0 — лишь попытка российских спецслужб обманом отвлечь внимание от их роли во взломе информационных систем Демократической партии . Среди прочего:
- нетипичное для обычных политических хактивистов поведение — документы не были опубликованы сразу после их получения, а только по истечении более чем одного года [ источник не указан 2319 дней ] ;
- нетипичное использование хакером-одиночкой уязвимости нулевого дня в проприетарном (частном, не являющимся открытым) нишевом программном обеспечении. Обычно поиск и обнаружение уязвимостей в ПО, еще до момента его официального релиза, доступно только мощным группировкам. При этом гораздо лучше оснащённые хакеры (в случае связи их с российскими спецслужбами) пользовались ранее гораздо более простым направленным фишингом;
- странный факт изменения метаданных документов (и даже содержания документов) «хакером» Guccifer 2.0 перед обнародованием, что ставит под сомнение подлинность добытых материалов.
По мнению специалиста по компьютерной безопасности Дэйва Айтеля, обнародовав похищенные файлы, российские спецслужбы пересекли красную линию допустимого. Он предложил считать такое наглое вмешательство извне в ход президентских выборов примером кибервойны .
WikiLeaks
Следующим шагом по легализации похищенных данных, получившим гораздо больше огласки, стала публикация остальных файлов на сайте организации WikiLeaks , которую бывший сотрудник АНБ Джон Р. Шиндлер назвал суррогатом российских спецслужб . Основатель WikiLeaks Джулиан Ассанж анонсировал обнародование данных в интервью телеканалу ITV 12 июня 2016 года. При этом он признал, что этой утечкой пытается помешать Хиллари Клинтон выиграть выборы . Обнародование произошло 22 июля 2016 года — организация разместила в свободном доступе у себя на сайте 19 252 электронных письма с 8034 вложенными файлами. Письма были украдены из почтовых ящиков 7 ключевых лиц в DNC и охватывают период от января 2015 года до 25 мая 2016 года . Среди писем с вложенными файлами присутствовали и сообщения голосовой почты .
О передаче обнародованных писем к WikiLeaks заявил Гуччифер 2.0, который первым выступил публично как личность, стоящая за кибератаками на Демократическую партию . Несмотря на это, Джулиан Ассанж отрицал любую причастность российских спецслужб к утечке данных, а также пообещал обнародовать ещё больше компромата на Хиллари Клинтон. При этом он предположил, что «источник или источники информации дадут о себе знать» . 9 августа 2016 года Ассанж сделал намёк, что возможным источником полученных файлов был сотрудник Демократической партии Сэт Рич ( англ. Seth Rich ), который был убит утром 10 июля возле своей квартиры. Однако он отказался прямо подтвердить или опровергнуть причастность Рича к истокам данных .
Обнародованные письма, среди прочего, содержали частную информацию некоторых доноров Демократической партии — номера социального страхования, номера паспортов, информацию о кредитных картах . Один лист содержал перечень лиц, приглашенных на встречу ЛГБТ-активистов, организованную Демократической партией. Среди файлов голосовой почты присутствовала запись сотрудника Демократической партии о посещении с детьми зоопарка .
Последствия
WikiLeaks обнародовала похищенные письма накануне съезда Демократической партии , на котором состоялась формальная номинация Хиллари Клинтон в кандидаты на выборах Президента США 2016 года . Однако, из обнародованных писем следовало, что Национальный комитет Демократической партии на праймериз отдавал предпочтение Хиллари Клинтон перед Берни Сандерсом . Вследствие вызванного этим разоблачением скандала председатель Национального комитета Демократической партии Дебби Вассерман-Шульц была вынуждена срочно уйти в отставку .
Ряд экспертов по вопросам национальной безопасности Республиканской партии 28 июля 2016 года обратился с открытым письмом к политическим лидерам Конгресса провести тщательное расследование кибератаки на Демократическую партию с последующим обнародованием похищенной информации, поскольку данный случай является «атакой на целостность всего политического процесса» .
31 июля Хиллари Клинтон обвинила спецслужбы России в кибератаке на штаб Демократической партии . В ответ АНБ , вероятно, взламывает российских хакеров .
Российское правительство отрицало свою причастность к инциденту .
Александр Гостев, главный антивирусный эксперт « Лаборатории Касперского », отметил, что между фактом обнаружения атаки и сообщениями об обвинениях «российских хакеров» прошло менее недели. По его экспертному заключению, за такое время невозможно было определить организатора атаки .
Министерство национальной безопасности США после этого случая стало изучать возможность зачисления информационных систем, вовлеченных в избирательный процесс, в число объектов «критической инфраструктуры» .
В декабре 2016 года ФБР и АНБ опубликовали совместный доклад о хакерских атаках из России. США официально предъявили России обвинение во вмешательстве в выборы 2016 года, выслали из страны 35 российских дипломатов и закрыли 2 посольских жилищных комплекса . Владимир Путин заявил, что российская сторона не будет предпринимать ответных действий, но при этом оставляет право за собой на ответные меры. При этом он отметил, что дальнейшие шаги по восстановлению российско-американских отношений будут выстраиваться исходя из политики, которую станет проводить избранный президент США Дональд Трамп .
В 2018 году в США были выдвинуты официальные обвинения против ряда сотрудников российской военной разведки в связи с данной кибератакой .
В августе 2020 года комитет по разведке Сената США пришёл к выводу, что Владимир Путин «отдал приказ» взломать компьютеры и аккаунты членов Демократической партии США .
См. также
Примечания
- Комментарии
- Также именуемые как CozyDuke или APT29.
- ↑ DCCC — организация, собирающая пожертвования для кандидатов в Конгресс от Демократической партии.
- Источники
- ↑ Dmitri Alperovitch. . CrowdStrike (14 июня 2016). Дата обращения: 19 августа 2016. 24 мая 2019 года.
- Ellen Nakashima. . Washington Post (14 июня 2016). Дата обращения: 19 августа 2016. 22 мая 2019 года.
- ↑ Andrea Peterson. . Washington Post (22 июля 2016). Дата обращения: 19 августа 2016. 14 ноября 2016 года.
- ↑ Joseph Menn, Dustin Volz, Mark Hosenball. (28 июля 2016). Дата обращения: 30 сентября 2017. 1 октября 2017 года.
- Nicole Gaouette. . Politics . CNN (18 мая 2016). Дата обращения: 19 августа 2016. 18 августа 2016 года.
- . Threat Geek (1 августа 2016). Дата обращения: 19 августа 2016. Архивировано из 4 августа 2016 года.
- . Bundesamt für Verfassungsschutz (3 марта 2016). Дата обращения: 19 августа 2016. Архивировано из 6 октября 2016 года.
- Cynthia McFadden, Tim Uehlinger & Tracy Connor. . NBC News (5 мая 2016). Дата обращения: 19 августа 2016. 1 августа 2016 года.
- . Associated Press (4 мая 2016). — «"[T]he hacker provided no proof of his claim to have hacked Clinton's server"». Дата обращения: 19 августа 2016. 2 августа 2016 года.
- Pete Williams. . NBC News (25 мая 2016). — «[Lehel] refused to show any of the material he said he found on the Clinton server, and federal investigators said they have found no evidence to back up his claim.» Дата обращения: 19 августа 2016. 29 июля 2016 года.
- Matt Zapotosky. . Washington Post (5 мая 2016). — «U.S. officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton’s personal email server. The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others, and they believed if he had accessed Clinton's emails, he would have released them — as he did when he got into accounts of other high-profile people.» Дата обращения: 19 августа 2016. 14 декабря 2020 года.
- Patrick Howell O'Neill. . The Daily Dot (7 июля 2016). Дата обращения: 19 августа 2016. 30 июля 2016 года.
- ↑ (18 марта 2013). Дата обращения: 30 сентября 2015. 26 января 2021 года.
- ↑ Cook, John (20 марта 2013). Дата обращения: 30 сентября 2015. 1 октября 2015 года.
- ↑ Acohido, Byron (22 марта 2013). Дата обращения: 30 сентября 2015. 8 ноября 2020 года.
- Gerstein, Josh.
- Morrison, Micah.
- Lorenzo Franceschi-Bicchierai. . Motherboard (21 июня 2016). Дата обращения: 19 августа 2016. 26 июля 2016 года.
- Dan Goodin. . Ars Technica (17 июня 2016). Дата обращения: 30 сентября 2017. 25 июля 2016 года.
- Lorenzo Franceschi-Bicchierai. . Motherboard (30 июня 2016). Дата обращения: 19 августа 2016. 3 августа 2016 года.
- Ellen Nakashima. . Washington Post (20 июня 2016). Дата обращения: 19 августа 2016. 3 августа 2016 года.
- . ThreatConnect (29 июня 2016). Дата обращения: 19 августа 2016. 27 июля 2016 года.
- Dave Aitel. . Ars Technica (17 июня 2016). Дата обращения: 30 сентября 2017. 19 июля 2017 года.
- John R. Schindler. . Observer (25 июля 2016). — «By stepping into the middle of our Presidential race, the obvious Russian front has outed themselves. … This, of course, means that Wikileaks is doing Moscow’s bidding and has placed itself in bed with Vladimir Putin. … In truth, to anyone versed in counterintelligence and Russian espionage tradecraft, Wikileaks has been an obvious Kremlin front for years, …» Дата обращения: 19 августа 2016. 1 августа 2016 года.
- CHARLIE SAVAGE. . New York Times (26 июля 2016). Дата обращения: 30 сентября 2017. 5 января 2022 года.
- ↑ Matt Tait. . Lawfare (28 июля 2016). Дата обращения: 19 августа 2016. 19 августа 2016 года.
- Matthew Chance. . CNN (27 июля 2016). Дата обращения: 19 августа 2016. 10 ноября 2021 года.
- By Peter Hermann and Clarence Williams. . Washington Post (9 августа 2016). Дата обращения: 19 августа 2016. 20 мая 2017 года.
- . Fox News (10 августа 2016). Дата обращения: 19 августа 2016. 21 мая 2017 года.
- Jeff Zeleny, MJ Lee, Eric Bradner. . CNN politics (25 июля 2016). Дата обращения: 19 августа 2016. 2 августа 2016 года.
- Tom Hamburger. . Washington Post (28 июля 2016). Дата обращения: 19 августа 2016. 22 августа 2016 года.
- . из оригинала 1 августа 2016 . Дата обращения: 19 августа 2016 .
- . из оригинала 3 августа 2016 . Дата обращения: 1 января 2017 .
- . ABC News (30 июля 2016). Дата обращения: 1 января 2017. 30 июля 2016 года.
-
. 2016-12-21. Event occurs at 48:06
. Дата обращения:
1 января 2017
.
Смотрите. С момента обнаружения атаки на DNC, Демократическую партию США — случилась она в середине мая, эта атака — до момента когда сказали «это русские» прошло меньше одной недели. Я, как человек, профессионально занимаюсь исследованием вредоносных программ многие-многие годы, и видел всякое, ответственно заявляю, что за такой короткий срок установить организатора атаки невозможно, никому, даже если это будет ЦРУ .
- Tim Starks. . Politico (4 августа 2016). Дата обращения: 19 августа 2016. 5 августа 2016 года.
- . Дата обращения: 30 декабря 2016. 1 января 2017 года.
- . Дата обращения: 30 декабря 2016. 30 декабря 2016 года.
- . РИА Новости . из оригинала 31 декабря 2016 . Дата обращения: 1 января 2017 .
- . Meduza . 2018-07-13. из оригинала 17 ноября 2018 . Дата обращения: 17 ноября 2017 .
- . РБК . Дата обращения: 18 августа 2020. 20 августа 2020 года.
Литература
- Dmitri Alperovitch. . CrowdStrike (14 июня 2016). Дата обращения: 19 августа 2016. 24 мая 2019 года.
- ThreatConnect (7 июля 2016). Дата обращения: 19 августа 2016. 27 июля 2016 года.
- . ThreatConnect (29 июня 2016). Дата обращения: 19 августа 2016. 27 июля 2016 года.
- . ThreatConnect (26 июля 2016). Дата обращения: 19 августа 2016. 27 июля 2016 года.
Ссылки
-
Thomas Rid.
. Vice Motherboard (25 июля 2016). Дата обращения: 19 августа 2016.
29 января 2017 года.
- Matt Tait. . Lawfare (28 июля 2016). Дата обращения: 19 августа 2016. 19 августа 2016 года.
- 2021-06-05
- 2