The New York Times: Український експерт з шкідливим програмам, який міг би викрити російське хакерство

Ілюстрація / REUTERS
Про це пишуть Ендрю Крамер і Ендрю Хіггінс в статті "Український експерт з шкідливим програмам, який міг би викрити російське хакерство", опублікованій на сайті газети The New York Times .
Хакер, відомий тільки під ніком "Profexer", завжди залишався в тіні. Він написав тільки комп'ютерний код в своїй квартирі і спокійно продав свою роботу в анонімній частини Інтернету, відомої як даркнет. Але минулої зими він раптово зник.
Пости Profexer, і без того доступні тільки невеликій групі хакерів і кіберзлочинців, які шукали підказки в питаннях програмного забезпечення, зникли в січні - всього через кілька днів після того, як американські спецслужби публічно назвали програму, яку він написав, одним з інструментів, використаних при зломі Національного комітету Демократичної партії.
Але хоча онлайн-персона Profexer'а зникла, з'явився цілком реальна людина, з плоті і крові: наляканий чоловік, який, за словами української поліції, прийшов з повинною на початку цього року і тепер став свідком ФБР.
Читайте також Екс-глава британської спецслужби: джерелом кібератак є діяльність держорганів РФ
"Я не знаю, що станеться", - написав він в одному зі своїх останніх повідомлень, на веб-сайті з обмеженим доступом, перш ніж відправитися в поліцію. "Це не буде приємно. Але я все ще живий".
Це перший відомий приклад появи живого свідка, на тлі маси технічних деталей, які до сих пір формували розслідування злому комітету демократів і викликали активні дебати. Українська поліція відмовилася розголошувати ім'я цієї людини або інші подробиці, крім того, що він живе в Україні і не був заарештований.
Немає ніяких доказів того, що Profexer працював, по крайней мере, свідомо, на розвідувальні служби Росії, на відміну від його шкідливого ПЗ.
Те, що операція по злому, яка, як переконаний Вашингтон, була організована Москвою, задіяла шкідливе ПО від джерела в Україні - можливо, самого запеклого ворога Кремля - проливає світло на методи російських служб безпеки, в процесі того, що західні спецслужби вважають таємницею кібервійною проти США і Європи.
Це не маленька команда державних службовців, які пишуть свої коди і здійснюють атаки в робочі години в Москві або Санкт-Петербурзі, це скоріше набагато вільніше підприємство, яке шукає таланти і інструменти для злому, де тільки можливо.
Крім того, з України з'являється більш чітке уявлення про те, що, на думку Сполучених Штатів, є урядовою групою хакерів, відомої як Advanced Persistent Threat 28 або Fancy Bear. Саме цією групою, на думку американських розвідувальних агентств, управляє російська військова розвідка, яку звинувачували разом з другим формуванням, відомим як Cozy Bear, у зломі демократів.
Замість того, щоб навчати, озброювати і задіяти хакерів для виконання конкретної місії, як ще одну одиницю, Fancy Bear і її близнюк Cozy Bear діють швидше як центри організації та фінансування; велика частина важкої роботи, такої як написання кодів, передається приватним, часто злочинним виконавцям.
Російське поле для випробувань
Протягом більш ніж десятиліття відстеження підозрілих кібератак, організованих Росією, на безліч об'єктів на Заході і на колишніх радянських територіях - наприклад, НАТО, електричні мережі, дослідницькі групи, журналістів, які критикують Росію, і політичні партії - служби безпеки по всьому світу визначили лише жменьку людей, які були безпосередньо залучені до скоєння таких атак або надання використаного кіберзброї.
Відсутність надійних свідків надало Трампу і іншим достатньо можливостей, щоб поставити під сумнів реальну причетність Росії до злому комітету Демократичної партії.
"І зараз, і ніколи раніше не було жодного технічного докази, що зв'язувало б шкідливе ПО, яке використовується в атаці на демократів з ГРУ, ФСБ чи будь-яким іншим відомством російського уряду", - сказав Джеффрі Карр, автор книги про кібервійни. ГРУ - російське агентство військової розвідки, а ФСБ - федеральна служба безпеки РФ.
Читайте також The Guardian: Хакери підривають спроби Росії контролювати Інтернет
Однак, розвідувальні служби Сполучених Штатів недвозначно вказали на Росію.
Прагнучи знайти вихід з цієї ситуації, дослідники в сфері кібербезпеки і західні співробітники правоохоронних органів звернулися до України, країні, яку Росія протягом багатьох років використовувала в якості лабораторії для цілого ряду політизованих операцій, які пізніше здійснювалися в інших країнах, включаючи хакерську атаку на виборах в Сполучених Штатах.
В першу чергу певні види комп'ютерних вторгнень відбувалися в Україні. Наприклад, використання шкідливого ПО для виведення з ладу критично важливої інфраструктури або крадіжка повідомлень електронної пошти, які пізніше були опубліковані для зміни громадської думки. Пізніше ті ж методи були використані в Західній Європі і Сполучених Штатах.
Таким чином, не дивно, що ті, хто вивчає кібервійну в Україні, тепер знаходять підказки в розслідуванні злому демократів, включаючи появу рідкісного свідка.
Експерти з питань безпеки спочатку дивувалися, коли Департамент внутрішньої безпеки 29 грудня опублікував технічні докази російського злому, які, скоріш за все, вказували не на Росію, а скоріше на Україну.
У цьому первісному звіті відділу тільки один зразок шкідливого ПО, за даними, був показником злому, що фінансується Росією, але, на думку незалежних експертів, в процесі злому були використані різні шкідливі програми.
Зразок вказував на шкідливу програму, під назвою PAS web-shell, хакерський інструмент, рекламований на російськомовних форумах Dark Web і використовуваний кіберзлочинцями на території колишнього Радянського Союзу. Його автор, Profexer, є шанованою технічним експертом серед хакерів, про який говорять з благоговінням і повагою в Києві.
Він зробив його доступним для безкоштовного скачування з веб-сайту, на якому запрошувалися тільки пожертвування, від 3 до 250 доларів США. Реальні гроші заробляли шляхом продажу індивідуальних версій і шляхом консультування хакерських клієнтів в питанні їх ефективного використання. Залишається неясним, наскільки активно він взаємодіяв з російської хакерської командою.
Після того, як Департамент внутрішньої безпеки визначив його роботу, він швидко закрив свій сайт і написав на закритому форумі для хакерів Exploit: "Я не зацікавлений в надмірній увазі до моєї персони".
Незабаром з'явився натяк на паніку, і він відправив записку, в якій говорилося, що через шість днів він все ще живий.
Інший хакер під ніком Злий Санта припустив, що американці, безсумнівно, знайдуть його і заарештують, можливо, під час перельоту в аеропорту.
"Це можливо, чи ні, все залежить тільки від політики", - відповів Profexer. "Якщо правоохоронні органи США захочуть мене схопити, вони не будуть чекати мене в аеропорту якоїсь країни. Відносини між нашими країнами настільки близькі, що мене заарештують на моїй кухні, на першу вимогу".
Насправді, глава української кіберполіції Сергій Демедюк сказав в інтерв'ю, що Profexer сам прийшов до влади. Коли почалася співпраця, Profexer зник з хакерських форумів. Він останній раз публікував що-небудь в Інтернеті 9 січня. Демедюк сказав, що надав свідка ФБР, яке відправило до Києва фахівця з кібербезпеки на повний робочий день в якості одного з чотирьох агентів бюро, розміщених в посольстві Сполучених Штатів. ФБР відмовилося від коментарів.
Profexer не був арештований, тому що його діяльність виявляється в сірій зоні закону, він автор, але не користувач шкідливого ПО, заявляє українська поліція. Але він дійсно знав користувачів, по крайней мере, по їх онлайн-іменах. "Він сказав нам, що не створював його для такого використання", - сказав Демедюк.
Член парламенту України, який має тісні зв'язки зі службами безпеки, Антон Геращенко, сказав, що взаємодія проходило онлайн або по телефону, і що українському програмісту заплатили, щоб він написав індивідуальні шкідливі програми, не знаючи їх цілі, тільки пізніше він дізнався про використання для злому демократичної партії.
Геращенко дуже абстрактно описав автора, щоб захистити молодого хлопця з провінційного українського міста. Він підтвердив, що автор прийшов в поліцію і співпрацював в якості свідка в розслідуванні злому демократів. "Він був фрілансером, а тепер він цінний свідок", - сказав Геращенко.
Берлога ведмедя
Поки невідомо, що Profexer розповів українським слідчим і ФБР про хакерські спроби Росії; показання, які виходять з України, знову надали деякі важливі дані про Fancy Bear або Advanced Persistent Threat 28, якою управляє ГРУ.
Fancy Bear вдалося ідентифікувати, головним чином, за її діяльності. Однією з повторюваних особливостей групи стала крадіжка електронних листів і тісна співпраця з російськими державними ЗМІ.
Однак, відстежити ведмедя до його барлогу, поки виявилося неможливим, не в останню чергу тому, на думку багатьох експертів, єдиного такого місця немає.
Навіть для такої передової технологічної компанії, як Microsoft, знайти людей в цифровому просторі виявилося практично неможливим. Щоб обмежити шкоду для операційних систем клієнтів, компанія подала скаргу на Fancy Bear в минулому році в окружний суд Сполучених Штатів в Східній Вірджинії. Але, в результаті, це виявився бій з тінню.
Як повідомили в суді адвокати Microsoft, "оскільки підсудні використовували підроблені контактні дані, анонімні Bitcoin, передоплачені кредитні карти і фальшиві посвідчення особи, а також складні технічні засоби для приховування їх особистості, при налаштуванні і використанні відповідних інтернет-доменів, справжня особистість підсудних залишається невідомою ".
Проте, українські офіційні особи, хоча і побоюючись розладнати адміністрацію Трампа, все ж співпрацювали з американськими слідчими, щоб спробувати з'ясувати, хто ховається за всіма масками.
В цей обмін інформацією були включені копії жорстких дисків серверів Центральної виборчої комісії України, яка стала об'єктом атаки під час президентських виборів в травні 2014 року. ФБР вже отримало докази цього, але про злом, пов'язаному з Росією, які раніше не повідомлялося.
Сліди одного і того ж шкідливого коду, на цей раз програми під назвою Sofacy, були помічені в атаці 2014 року в Україні, а потім у зломі демократів в США.
Цікаво, що в кібератаці під час виборів в Україні, яка, мабуть, стала провалом на російському державному Першому каналі, ненавмисно були замішані державні органи в Москві.
Хакери завантажили на сервер української виборчої комісії графік, що імітує сторінку відображення результатів. Ця фальшива сторінка показала шокуючий результат: перемогу на виборах відчайдушно антиросійського ультраправого кандидата, Дмитра Яроша. Ярош насправді отримав менше 1% голосів.
Фальшивий результат був би на руку російській пропаганді про те, що сьогодні Україна керують ультраправі, навіть фашистські особистості.
Фальшива картинка була запрограмована для відображення при закритті опитувань о 8 годині вечора, але українська компанія з кібербезпеки "Інфосейф" виявила її всього за кілька хвилин до цього і відключила сервер.
Проте, державне телебачення в Росії повідомило, що Ярош виграв і показував фальшивий графік, посилаючись на сайт виборчої комісії, хоча цей графік так і не з'явився на сайті. Хакер явно надав Першому каналу той же зображення заздалегідь, але журналісти не перевірили, чи спрацювала атака.
"Для мене це очевидний зв'язок між хакерами і російськими чиновниками", - сказав Віктор Жора, директор "Інфосейф", компанії з кібербезпеки, яка першою виявила фальшивий графік.
Український урядовий дослідник, який вивчав атаку, Микола Коваль, опублікував свої висновки в книзі 2015 року "Кібервійна в перспективі" і ідентифікував шкідливе ПО Sofacy на сервері.
Дзеркало жорсткого диска відправили ФБР, у яких був цей судовий зразок, коли компанія з кібербезпеки CrowdStrike ідентифікувала те ж саме шкідливе ПО два роки по тому, на серверах Демократичної партії.
"Це був перший удар", - сказав Віктор Жора про злом комп'ютерів виборчої комісії України. Кіберполіції України також надала ФБР копії жорстких дисків сервера, що вказують на можливе походження деяких фішингових листів, націлених на Демократичну партію під час виборів.
У 2016 році, через два роки після злому виборів в Україні, хакери, використовуючи ті ж методи, розграбували систему електронної пошти Всесвітнього антидопінгового агентства (ВАДА), яке звинуватило російських спортсменів в систематичному вживанні допінгу.
Читайте також Хакери Fancy Bear зламували українських політиків і журналістів зі Східної Європи
Цей рейд теж, мабуть, був тісно скоординований з російським державним телебаченням, яке почало транслювати добре підготовлені сюжети про вкрадені листах ВАДА через всього декілька хвилин після їх оприлюднення. Листи з'явилися на веб-сайті, який оголосив, що ВАДА було зламано групою, що називає себе "хакерська команда Fancy Bears".
Тоді вперше Fancy Bear дали про себе знати.
Однак, Fancy Bear залишається надзвичайно невловимою. Щоб збити слідчих зі сліду, група провела різні перетворення, поповнивши свій арсенал шкідливого ПО і іноді ховаючись під різними масками. Одне з їх альтер его, на думку кіберекспертов, це КіберБеркут, група, імовірно створена в Україні прихильниками проросійського президента країни Віктора Януковича, який був вигнаний у 2014 році.
Після бездіяльності протягом багатьох місяців, КіберБеркут знову приступив до дій цього літа, коли численні розслідування у Вашингтоні про можливу змову кампанії Трампа з Москвою перейшли на новий рівень. КіберБеркут опублікував вкрадені електронні листи, які, як повідомив він сам і російські державні ЗМІ, викрили правду: Хілларі Клінтон вступила в змову з Україною.
Якщо ви знайшли помилку, видiлiть її мишкою та натисніть Ctrl + Enter