Как российское ГРУ ломало американские выборы. Рассказ в пяти действиях

В пятницу 13 июля офис спецпрокурора Роберта Мюллера выдвинул новые обвинения в расследовании российского вмешательства в американские выборы против 12 сотрудников двух подразделений Главного разведывательного управления. Россиян обвиняют в многоуровневом взломе компьютерных систем, краже документов и личных данных.

Русская служба Би-би-си собрала всю доступную информацию о 12 сотрудниках Главного разведывательного управления, которые обвиняются во вмешательстве в американские выборы. МИД России утверждает, что все доказательства косвенные, а обвинение ни на чем существенном не основано.

Роберт Мюллер. Фото: GETTY IMAGES

Действующие лица

Виктор Нетыкшо – офицер российской разведки, приписанный к части 26165. Она расположена в Москве по адресу Комсомольский проспект, 20. Из открытых источников также известно, что Нетыкшо в 2003 году защитил диссертацию на тему "Восстановление параметров дискретных устройств, основанное на переоценке вероятностей с использованием действительных пороговых соотношений". В титульном листе указана войсковая часть 26165.

В 2010 году он был официальным оппонентом в защите диссертации на факультете прикладной математики Института криптографии, связи и информатики Академии ФСБ России. Тема: "Модели и средства выявления угроз нарушения информационной безопасности штатных механизмов обнаружения скрытых информационных воздействий в ядре OC WINDOWS". В интернете эту научную работу можно приобрести за 450 рублей.

В 2016 году, по данным американского следствия, подразделение ГРУ, в котором числился Нетыкшо, занималось взломом компьютеров Национального демократического комитета, Комитета по выборам в конгресс Демократической партии США, а также электронных почтовых адресов людей, связанных с Хиллари Клинтон.

Борис Антонов – майор Главного разведывательного управления, также приписанный к части 26165. В части было подразделение, которым руководил майор Антонов. Специализацией его подопечных были военные, политические, правительственные и неправительственные организации, сотрудники которых с становились жертвами так называемого целенаправленого фишинга или онлайн-мошенничества, направленного на получение конфиденциальных данных конкретных клиентов.

Антонов руководил операцией по взлому Национального демократического комитета, Комитета по выборам в конгресс Демократической партии США, а также электронных адресов людей, связанных с Хиллари Клинтон, утверждает следствие.

Иван Ермаков – офицер ГРУ в звании старшего лейтенанта, подчиненный Бориса Антонова. С 2010 года он создал множество вымышленных персонажей – например, Кейт С. Милтон, Джеймс МакМорганс, Карен У. Миллен. Впоследствии эти имена применялись во время многих хакерских операций ГРУ.

В марте 2016 года Ермаков принимал участие во взломе как минимум двух электронных почтовых ящиков. Документы, украденные из них, затем были опубликованы на сайте DCLeaks.com. В мае 2016 года Ермаков также принимал участие во взломе серверов Национального демократического комитета и краже документов НДК.

Алексей Лукашев – старший лейтенант, подчиненный Бориса Антонова. Он курировал двух вымышленных персон – Ден Катенберг и Юлиана Мартынова. В 2016 году он отправил мошеннические сообщения членам избирательного штаба Хиллари Клинтон и руководителю ее кампании Джону Подесте. С помощью такого фишинга он получил их личные данные.

Сергей Моргачев – подполковник военной разведки, также приписанный к части 26165. Он руководил подразделением, основной специализацией которого было написание кода для взлома компьютеров, в том числе и хакерского инструмента X-agent, используемого ГРУ. Во время взлома компьютеров Национального демократического комитета и Комитета по выборам в конгресс Демократической партии США, он отвечал за внедрение в них вредоносного вируса.

Николай Козачек – лейтенант российской армии, подчиненный Моргачева. Он использовал несколько кличек – в том числе kozachek и blablabla1234565. Лейтенант разработал, усовершенствовал и настроил шпионскую программу X-agent, с помощью которой были взломаны компьютеры демократов.

Павел Ершов – подчиненный Моргачева, офицер российской армии. Он и Козачек настраивали и тестировали код X-agent перед началом его использования.

Артем Малышев – он же djangomagicdev, realblatr. Младший лейтенант, подчиненный Моргачева. Он в 2016 году следил за работой вредоносного вируса, когда тот уже был внедрен в компьютеры руководства демократов.

Александр Осадчук – полковник российской армии, командир в части 74455. Она располагалась по адресу улица Кирова, 22 в подмосковных Химках, в здании, которое сотрудники ГРУ называли «башня».

Часть 74455 специализировалась на публикации краденых документов на DCLeaks.com и, при участии вымышленного персонажа Guccifier 2.0, на продвижении этих публикаций и на создании порочащего Клинтон контента для соцсетей на подконтрольных ГРУ страницах вымышленных персонажей.

Алексей Потемкин – руководящий офицер части 74455, в его сферу деятельности входил контроль компьютерной инфраструктуры, участвовавшей в кибероперациях. Инфраструктура, а также профили в соцсетях, которые вели сотрудники подразделения Потемкина, использовалась для публикации украденных документов.

Анатолий Ковалев – офицер российской армии, сотрудник части 74455, расположенной в «башне».

Действие первое: взлом

С марта 2016 года Лукашев, Бадин, Антонов и Ермаков рассылали письма, в которых содержался вредоносных код, 300 людям, связанным с кампанией Клинтон и структурами Демократической партии. Так, 19 марта 2016 Алексей Лукашев отправил Джону Подесте, руководителю избирательного штаба Клинтон, электронное письмо.

Хиллари Клинтон

Главной целью ГРУ была переписка руководства демократов и штаба Хиллари Клинтон. Фото: REUTERS

Он зарегистрировался под ником john356gh на сервисе, который превращал длинные названия веб-ресурсов в короткие ссылки. Он использовал свой профиль на этом ресурсе в качестве маскировки для ссылки, содержавшейся в фишинг-письме. Нажав на нее, Подеста автоматически попадал на контролируемый ГРУ веб-сайт.

Лукашев составил письмо так, чтобы оно выглядело как извещение от отдела безопасности почтового сервиса (специалисты в области IT называют подобную технику "спуфинг"). Попросту говоря, Подеста получил сообщение о том, что ему нужно изменить пароль к своему почтовому ящику и ссылку, по которой нужно было пройти.

Руководитель избирательного штаба Клинтон именно так и поступил и, как следствие, Лукашев и Ермаков получили доступ к его электронной почте, в которой содержались более 50 тысяч писем.

Затем они стали рассылать подобные фишинг-письма и другим сотрудникам штаба, в том числе и Джейку Салливану, старшему советнику по международной политике кампании Клинтон. Все подобные электронные письма посланы с почтового сервиса Yahoo пользователем hi.mymail, находящимся в России. Его ящик был замаскирован под Google.

К концу марта были взломаны ящики сотрудников штаба Клинтон, чьи имена злоумышленники нашли в соцсетях. Переписка, найденная там, была впоследствии опубликована на сайте DCLeaks.com.

Лукашев и Ермаков также создали электронный ящик от имени сотрудника кампании – имя пользователя отличалось от настоящего на одну букву. С него они разослали письма 30 сотрудникам штаба Клинтон, включив в него файл Hillary-clinton-favorable-rating.xlsx – он также вел на контролируемый ГРУ сайт.

27 июля 2016 года они впервые попытались атаковать электронный ящик, используемый в личном офисе Клинтон, а также более 50 электронных ящиков других сотрудников ее штаба.

Действие второе: кража

Одновременно со взломами почты старший лейтенант Ермаков запустил специальный интернет-протокол, который идентифицировал компьютеры, планшеты и смартфоны, подключенные к сети Национального демократического комитета, затем с помощью открытых источников выяснил имена сотрудников. Через несколько дней внутренняя сеть была взломана и разведчики, действуя по этой же схеме, взломали сеть Комитета по выборам в конгресс Демократической партии.

Дональд Трамп

 Дональд Трамп неоднократно говорил, что его штаб не контактировал с российкими спецслужбами перед выборами. Фото: AFP

Затем сотрудники ГРУ установили на 10 компьютерах вирус X-agent, с помощью которого впоследствии украли документы, а также контролировали действия сотрудников комитетов, получив доступ к их профилям. Эти действия также позволили расширить доступ ГРУ к сетям демократов.

X-agent переправлял все полученные данные на арендованный ГРУ сервер, расположенный в Аризоне. За получение информации с него отвечали Козачек и Малышев. К этому моменту у них уже была личные данные сотрудников Комитета по выборам в конгресс Демократической партии и их банковские реквизиты, а также данные о финансовом состоянии самого Комитета. У Ершова и Ермакова также был доступ к компьютеру, расположенному в неназванной стране, который они использовали как прокси-сервер для связи с сервером в Аризоне и компьютерной системой Комитета по выборам в конгресс Демократической партии.

Для того, чтобы сжать огромный массив данных, полученный в обоих комитетах, российские военные использовали публично доступный сервис, а затем применили специально написанную ГРУ программу X-tunnel, которая позволила им передать информацию на арендованный разведкой компьютер в американском штате Иллинойс.

В мае 2016 года присутствие злоумышленников было обнаружено компанией, отвечавшей за компьютерную безопасность комитетов, и разведчики начали заметать следы. Несмотря на все усилия служб безопасности, ГРУ сумело сохранить своё присутствие в компьютерной сети демократов вплоть до октября 2016 года.

Действие третье: публикация документов

Старший лейтенант Алексей Лукашов и его коллеги-разведчики зарегистрировали домен DCLeaks.com в апреле 2016 года, заплатив за него криптовалютой. В июне сайт начал работу. Впоследствии на нем были опубликованы украденные документы и демократов, и республиканцев (их разведчики получили в результате взлома еще в 2015 году).

Сайт функционировал до марта 2017 года, с его содержанием успели ознакомиться более миллиона человек. Сотрудники ГРУ, руководившие сайтом, называли себя группой американских хакеров-активистов. Они также успели открыть официальную страницу в "Фейсбуке" – она была зарегистрирована на вымышленного персонажа по имени Элис Донован. Джейсон Скотт и Ричард Джинджерли (тоже фальшивые аккаунты) стали администраторами ресурса.

Руководил операцией Алексей Потемкин. Он и его подельники, по данным следствия, также зарегистрировали пользователя @dcleaks_ в "Твиттере". Примечательно, что он, согласно документам следствия, писал посты и комментарии с компьютера, который использовался и для других хакерских атак ГРУ.

В июне 2016 года был создан вымышленный хакер-активист по имени Guccifier 2.0 – разведчики, создавшие его, для отвода глаз, настаивали на его румынском происхождении. Он стал получать отдельные заказы на информацию о конкретных конгрессменах.

В августе 2016-го Guccifier 2.0 переслал зарегистрированному лоббисту и онлайн-агентству политических новостей информацию об интересовавшем их политическом оппоненте (название компании и имя лоббиста в документах следствия не указывается). Они же получили информацию о более чем 2000 донорах Демократической партии.

В это же время сотрудники ГРУ Лукашев и Ермаков, используя Guccifier 2.0, связались с неназванным журналистом, предложив ему взглянуть на украденные документы. Он получил доступ к непубличной версии dcleaks.com.

15 августа и 9 сентября 2016 года Guccifier 2.0 связывался с человеком, регулярно контактировавшим с руководством штаба Трампа, и спрашивал, нашел ли он что-то полезное в уже обнародованных документах. Тот ответил, что находит их "крайне стандартными". Что это за человек, в расследовании не упоминается, но еще в марте прошлого года близкий советник Трампа Роджер Стоун признавался, что контактировал с Guccifier 2.0 и не нашел ничего интересного в материалах, на которые хакер дал ему ссылки.

Роджер Стоун

Роджер Стоун. Фото: GETTY IMAGES

Действие четвертое: "организация 1"

Еще один ресурс для публикации украденных ГРУ данных – так называемая "Организация 1". В расследовании Мюллера не говорится, что это за организация, но можно предположить, что речь идет о проекте WikiLeaks, неоднократно публиковавшем переписку демократов.

Представители "Организации 1" связались с Guccifier 2.0 22 июня 2016 года, написав разведчикам сообщение: "пришлите нам для ознакомления любые новые материалы (украденные в Национальном демократическом комитете), и тогда это будет иметь гораздо больший эффект, чем то, что вы сейчас делаете".

В начале июля они также писали Guccifier 2.0, интересуясь новыми документами демократов в преддверии их съезда, на котором партия традиционно выдвигает единого кандидата. Представители организации также отмечали, что "у Трампа только 25% шансов победить Хиллари, таким образом конфликт между ней и Берни (Берни Сандерс – бывший кандидат в президенты США, чья кандидатура не нашла поддержки у демократов – Русская служба Би-би-си) становится все более интересным".

14 июля после нескольких неудачных попыток передать украденные документы, разведчики отправили "Организации 1" подробные инструкции о доступе к данным Национального демократического комитета. 18 июля был передан 1 гигабайт информации и представитель "Организации 1" сообщил, что документы будут опубликованы в течении недели.

22 июля "Организация 1" обнародовала 20 тысяч электронных писем. Это произошло за считанные дни до съезда демократов. В октябре организация также опубликовала документы, украденные Алексеем Лукашевым из компьютера руководителя штаба Клинтон Джона Подесты.

Действие пятое: взлом правительственных компьютеров

В июне 2016 года Александр Осадчук и Анатолий Ковалев взломали компьютеры людей, ответственных за администрирование американских выборов. Они также получили доступ к компьютерам избирательных комитетов штатов, секретариатов штатов, американских компаний, производящих программное обеспечение для проведения выборов. В распоряжении разведчиков также оказалась информация об избирателях.

Сперва сотрудники ГРУ в поисках слабых мест проверяли в открытых источниках доменные имена различных организаций – в том числе, и тех, что были приведены на сайтах Республиканской партии.

Уже через месяц, в июле, разведчики взломали веб-сайт комитета по выборам одного из штатов, получив доступ к информации о 500 тысяч избирателей – в их распоряжении оказалась личная информация (даты рождения, номера социального страхования, номера водительских удостоверений). Через месяц Ковалев и Осадчук взломали компьютеры поставщика программного обеспечения, которое использовалось для проверки и подтверждения регистрации избирателей.

Обе атаки были осуществлены по одному и тому же сценарию. В августе об взломе компьютеров избирательного комитета стало известно ФБР и разведчики стали уничтожать следы своего присутствия. Одновременно сотрудники ГРУ заходили на веб-страницы избирательных комитетов определенных округов штатов Джорджия, Айова и Флорида в поисках брешей в системах безопасности. Ковалев и Осадчук также создали электронный ящик, похожий на тот, который использовался поставщиком программного обеспечения и, используя его логотип, стали рассылать с него письма с вредоносным кодом.

Все 12 разведчиков, согласно обвинительным документам, должны передать США все вещественные доказательства и любые другие предметы и денежные средства, полученные в результате совершенных преступлений. Спецпрокурор Роберт Мюллер в заключении также отметил, что американское правительство будет добиваться наказания каждого из названных в обвинительных документах разведчиков.

Автор: Наталка Писня; Би-би-си

You may also like...