Текст: Хьюиб Моддерколк, de Volkskrant. Перевод: Александр Заворотний, «Спутник и Погром»
Хакеры из голландской спецслужбы AIVD предоставили ФБР важную информацию о вмешательстве Москвы в президентские выборы в США. В течение нескольких лет у AIVD был доступ к нашумевшей российской хакерской группировке Cozy Bear. Вот что голландским газетам De Volkskrant и Nieuwsuur удалось выяснить в ходе специального расследования.
На дворе — лето 2014 года. Хакер из голландской спецслужбы AIVD внедряется в компьютерную сеть здания университета неподалёку от Красной площади в Москве, прекрасно понимая последствия своих действий. Год спустя в штаб-квартире AIVD в Зутермере этот хакер со своими коллегами наблюдают за тем, как русские начинают атаку на Демократическую партию США. Специалистам AIVD удалось проникнуть не в какое-то отдельное здание, а в компьютерную сеть известнейшей российской хакерской группировки Cozy Bear. Будучи незамеченными русскими, они могли наблюдать за всем беспрепятственно.
Это сделало AIVD свидетелем того, как русские хакеры терроризируют лидеров Демократической партии и получают в своё распоряжение тысячи электронных писем и документов. Разумеется, голландцы поставят в известность своих американских коллег. Тем не менее пройдут месяцы, прежде чем Соединённые Штаты поймут значение этого предупреждения: с помощью кибератак русские вмешались в американские выборы. И хакеры AIVD видели весь этот процесс собственными глазами.
По мнению шести американских и голландских источников, знакомых с ситуацией, но пожелавших остаться анонимными, доступ спецслужбы Нидерландов к российской хакерской сети является важнейшим доказательством участия русских в кибератаках на Демократическую партию США. Кроме того, теперь у ФБР достаточно оснований для расследования влияния русских на выборную гонку между кандидатом от демократов Хиллари Клинтон и кандидатом от республиканцев Дональдом Трампом.
«Высокая степень уверенности»
После избрания Трампа американским президентом в мае 2017 года этим расследованием занялся специальный прокурор Роберт Мюллер. Хотя расследование направлено в том числе на выяснение связи между президентской кампанией Трампа и российским правительством, его основной задачей является изучение российского вмешательства в ход выборов. Этот инцидент не только поставил под удар ход демократических выборов, но и ещё больше обострил отношения между двумя сверхдержавами, что привело к целой серии актов возмездия в дипломатической сфере.
Три американских спецслужбы с «высокой степенью уверенности» утверждают, что именно Кремль руководил кибератаками на Демократическую партию. По словам источников, эта уверенность основана на информации от специалистов из AIVD, которые в течение нескольких лет имели доступ к помещению в центре Москвы, где размещались российские хакеры. Это настолько необычный поворот событий, что главы всех крупных американских спецслужб весьма рады получить информацию от голландской стороны. Голландцы предоставили технические свидетельства совершения кибератак на Демократическую партию, и можно со всей уверенностью утверждать, что знают они ещё больше.
Cozy Bear
То, что в руки AIVD в 2014 году попала столь важная информация, можно считать счастливой случайностью. Эта спецслужба может проводить CNA — атаки на компьютерные сети. Её хакерам разрешено вести «наступательные действия»: проникать и нападать на враждебные вычислительные сети. Это сравнительно небольшая группа людей, являющаяся частью цифрового операционного отдела численностью 80-100 человек. Сюда сходятся нити всех киберопераций. Часть специалистов работает над перехватом и управлением источников, а другие занимаются защитой компьютерных сетей. В свою очередь, этот отдел является частью Объединённого разведывательного киберуправления — совместного детища голландской военной разведки и спецслужбы MIVD с числом сотрудников примерно в 300 человек.
Неизвестно, какую именно информацию голландцы получили о русских, но ясно, что она содержит указания на местонахождение одной из известнейших хакерских группировок планеты: Cozy Bear, также известной как APT29. С 2010 года эта группировка совершала кибератаки на правительства других стран, энергетические корпорации и телекоммуникационные компании по всему миру — в этом списке оказались также компании и министерства Нидерландов. Специалисты лучших разведслужб — британской, израильской, американской — а также аналитики крупнейших компаний, занимающихся кибербезопасностью, годами охотились за этой группировкой.
Важнейшая информация
Голландские специалисты неделями готовятся к действиям. Затем, летом 2014 года, русские наносят кибер удар — вероятнее всего, незадолго до катастрофы Боинга 777 в Донецкой области. Вооружившись терпением и совершив определённые усилия, голландцы сумели проникнуть в компьютерную сеть. После этого специалисты AIVD могли следить за каждым шагом российских хакеров. Но это ещё не всё.
Хакеры Cozy Bear базировались в университетском здании неподалёку от Красной площади. Состав группировки меняется, но обычно активную деятельность ведёт около десяти человек. Путь к их помещению лежит через извилистый коридор. Камера слежения отмечает входящих и выходящих. И специалисты AIVD сумели получить доступ к этой камере. Таким образом, голландцы могли не только видеть, что делают русские, но и кто именно это делает. Были сделаны фотографии каждого посетителя. В Зутермере эти фотографии анализировались и сопоставлялись с известными российскими шпионами. Таким образом, была получена новая порция бесценных данных.
Редкостная битва
Голландский доступ к сети российской хакерской группировки вскоре начал приносить плоды. В ноябре русские готовили кибератаку на одну из своих основных целей: Госдепартамент США. К тому времени они уже получили электронные адреса и пароли нескольких госслужащих. Им удалось проникнуть в ту часть компьютерной сети, которая содержала незасекреченную информацию.
AIVD и её военный аналог MIVD проинформировали о ситуации координатора Агентства национальной безопасности в американском посольстве в Гааге. Он немедленно известил об этом несколько спецслужб США.
После этого разворачивается редкостная битва между атакующими, которые пытаются проникнуть глубже в сеть Госдепартамента, и обороняющимися — ФБР и АНБ, которым помогает информация, переданная голландцами. По данным американских СМИ, эта схватка продолжалась сутки.
Русские ведут себя сверхагрессивно, но не знают, что уже обнаружены. Благодаря голландской стороне АНБ и ФБР удаётся в кратчайшие сроки создать защиту от противника. Информация из Нидерландов настолько важна, что АНБ устанавливает прямую линию с Зутермером, чтобы получать данные как можно скорее.
Шаг вперёд, шаг назад
Используя так называемые контрольные серверы, цифровой аналог командных центров, русские пытаются установить связь с вредоносной программой в сети Госдепартамента, чтобы получить возможность запрашивать и копировать информацию. Американцы, которым голландцы сообщили об этих серверах, непрерывно блокируют к ним доступ, на что русские отвечают всё новыми попытками проникновения. Весы раскачиваются туда и сюда в течение 24 часов. Впоследствии источники CNN заявят, что это была «самая страшная кибератака» на американское правительство. Госдепартаменту на все выходные приходится блокировать доступ к электронной почте, чтобы залатать уязвимости.
К счастью, АНБ сумело выяснить средства и тактику нападающих, как признался заместитель директора агентства Ричард Леджетт на форуме в Аспене в марте 2017 года: «Таким образом, мы видели, как они меняют методы. Это крайне важная информация». С подачи спецслужб американские СМИ напишут, что победа стала возможной благодаря «западному союзнику». В конечном итоге американцам удалось отбросить русских от цифровых стен Госдепартамента, но московские хакеры успели использовать доступ, чтобы послать электронное письмо одному из сотрудников Белого дома.
Поддельное письмо
Сотрудник решает, что получил сообщение от Госдепартамента — электронные адреса совпадают — и открывает его. Ссылка перенаправляет его на вебсайт, где он вводит свои учётные данные, которые немедленно попадают в руки русских. Так им удаётся проникнуть в Белый дом.
Агрессор даже получает доступ к серверам, содержащим электронные письма, полученные и отправленные американским президентом Бараком Обамой — но не к тем, которые управляют сообщениями с его личного BlackBerry, где, по словам источников The New York Times, хранятся государственные тайны. Зато русские получают в своё распоряжение систему обмена электронными сообщениями с посольствами и дипломатами, документы о политике и законодательстве. И вновь голландские спецслужбы сообщают об этом американцам.
Золотая жила
Доступ к Cozy Bear становится настоящей золотой жилой для голландских хакеров. Благодаря этому в течение нескольких лет к ним стекается важнейшая информация о целях, методах и сфере интересов высокопоставленных сотрудников российской спецслужбы. Используя фотоснимки посетителей, AIVD приходит к выводу, что эту хакерскую группировку курирует Служба внешней разведки РФ.
В ежегодном отчёте AIVD за 2014 год отмечается, что есть основания считать — многие члены российского правительства, включая президента Путина, используют спецслужбы для получения информации. Недавно глава AIVD Роб Бертоли в голландской телепрограмме CollegeTour заявил: «нет сомнений» в том, что Кремль стоит за деятельностью российских хакеров.
Крис Пэйнтер отмечает, что российские кибератаки застали американцев врасплох. Долгие годы Пэйнтер работал координатором по вопросам киберпространства США. В августе прошлого года он ушёл в отставку. «Мы совершенно не ожидали, что русские решатся на подобное — нападение на нашу цифровую инфраструктуру и подрыв нашей демократической системы. Американские спецслужбы к этому готовы не были», — признался он. Именно поэтому информации из Нидерландов придаётся такое значение. По сообщениям некоторых источников, американцы даже послали «торт и цветы» в Зутермер. И не только их. Разведданные — тоже товар, и ими можно торговать. В 2016 году главы AIVD и MIVD, Роб Бертоли и Питер Биндт, лично обсудили имеющийся доступ к действиям российской хакерской группировки с Джеймсом Клэппером, который тогда был наиболее высокопоставленным представителем американских спецслужб, и Майклом Роджерсом, директором АНБ.
В ответ голландской стороне были переданы определённые ноу-хау, технологии и разведданные. По информации одного американского источника, в конце 2015 года хакеры АНБ сумели проникнуть в мобильные устройства нескольких высокопоставленных сотрудников российской разведки. Оказалось, что перед началом кибератак русские просеивали интернет в поисках новостей о готовящемся нападении. По мнению американцев, это служит косвенным доказательством причастности российского правительства к этим кибератакам. Другой источник считает «весьма вероятным», что в обмен на информацию, предоставленную голландцами, американцы поделились с ними этими сведениями. Был ли какой-либо обмен информацией касательно рейса MH17 — неизвестно.
Итоги
У российских кибератак, в особенности у нападения на Демократическую партию, оказались долговременные последствия. Более того, расследование ФБР относительно вмешательства России обретает политическое измерение. После поражения на выборах в ноябре 2016 года Хиллари Клинтон заявила, что именно информация об утечке её электронных сообщений стоила ей президентского кресла. Избранный президентом Дональд Трамп категорически отвергает возможность вмешательства Москвы. Это омрачит его победу. Кроме того, Трамп часто хвалит Россию вообще и президента Путина в частности. Именно из-за этого американские спецслужбы идут на обнародование подобной информации: в их интересах доказать, что русские на самом деле вмешивались в выборы. И поэтому эти спецслужбы сообщили американским СМИ о неоценимой помощи «западного союзника».
В Зутермере и Гааге подобная прямолинейность вызвала неприкрытую ярость. Многие голландцы сочли себя преданными. Раскрывать методы дружественной спецслужбы, в особенности оказывающей очевидные услуги, представляется абсурдным. Но несмотря на негодование AIVD и MIVD, американцы не проявили понимания. Теперь голландцы, несомненно, дважды подумают, прежде чем вновь делиться какой-либо информацией. Они и без того относятся к США со всё большей подозрительностью после избрания Трампа президентом.
Специалисты AIVD больше не располагают доступом к сети Cozy Bear. В общей сложности эта операция продлилась от года до двух с половиной лет. Хакерские группировки часто меняют методы работы, и даже новый межсетевой экран может отрезать имеющийся доступ. В AIVD отказались комментировать информацию, полученную De Volkskrant.
Оригинал материала на сайте de Volkskrant
Поддержите «Спутник и Погром» покупкой подписки (клик по счетчику просмотров справа внизу) или подарите ее друзьям и близким! У нас нет и никогда не было никаких других спонсоров кроме вас — наших читателей.