Украинские хакеры ударили в спину американцам

В начале этой недели, 6 марта, агентство Bloomberg, ссылаясь на анонимных агентов ФБР, сообщило, что «русские хакеры» атаковали десятки либеральных структур США в поисках компромата.

По словам Майкла Райли, эксперта Bloomberg, американские некоммерческие общественные организации, сотрудничающие с Демпартией, столкнулись с откровенным и наглым шантажом. В частности, им угрожали публикациями в открытой прессе документов, где говорилось о грантах, потраченных не на избирательные нужды, а на анти-трамповские протесты, которые, по сути, переросли в противозаконные погромы.

Что интересно: злоумышленники требовали за «свои труды» не доллары. Их, оказывается, интересовали биткоины, чья доходность в последнее время превысила индекс золота. Да и получателей криптовалюты вычислить практически невозможно.

В то же время, Райли признался, что реальных доказательств у него нет. Более того, он даже не знает тех, кто пострадал от «русских хакеров», поскольку тайна о «выкупе конфиденциальных данных» спрятана за семью замками в ФБР, а пострадавшие, ясное дело, предпочли откупиться без огласки.

С одной стороны, в американской журналистике давно уже стало нормой опираться на непроверенные сведения, типа «одна баба сказала». В этом случае всегда ссылаются на загадочные источники в спецслужбах и в частных охранных предприятиях, причем без предоставления деталей. И хотя Райли признает, что «атрибуция компьютерной атаки крайне сложна», но все равно делает привычный вывод, ставший штампом: «кто, кроме русских, еще способен на это зло».

А вот Джон Халткуист, директор анализа кибершпионажа компании FireEye Inc., после того, как ознакомился с докладом Bloomberg, высказался иначе.

«Я бы осторожно отнесся к выводу, что к этому причастна официальная российская правительственная поддержка… Это напоминает очередной фейк», — заявил он.

То есть, взлом был, но не факт, что это сделали «русские хакеры». Да и вообще, кибер-вымогательством сейчас никого не удивить. С другой стороны, имеются косвенные признаки, что нити и впрямь ведут в Восточную Европу.

Чтобы понять, что могло стать предметом компьютерного взлома и шантажа, достаточно взглянуть на текущие дела заокеанских НКО. Американские общественные организации мало, чем отличаются от аналогичных контор в России. Точно так, как и у нас, заокеанские «охотники за электоратом» и «наемные идеалисты» обмениваются информацией со своими грантодателями, активистами и волонтерами посредством писем, социальных сетей и чатов. Но особо «пикантные» просьбы и пожелания, естественно, даются только устно и, чаше всего, непосредственно в офисах. Скорей всего, именно звукозаписи, полученные через компьютерные микрофоны, стали главным компроматом.

Между тем, совсем недавно, 15 февраля 2017 года, известная израильская компания CyberX, являющая основным подрядчиком ЦАХАЛ в области киберзащиты, опубликовала результаты своего расследования одной любопытной киберразведывательной операции в Восточной Европе, имевшей место в 2015—2016 годах. Неизвестные хакеры тоже стремились «похитить», прежде всего, аудиозаписи разговоров. Видимо, именно поэтому Майкл Райли предположил, что в настоящее время в Америке действует та же группа программистов.

«В отличие от видеозаписи, которая часто блокируется пользователями наклейкой на объективе камеры, практически невозможно блокировать микрофон компьютера без физического доступа и отключения ПК», — написал Фил Нерей, сотрудник CyberX.

Что любопытно, главными жертвами описанной CyberX восточноевропейской кибератаки стали, прежде всего, украинские журналисты и политики. На первый взгляд, логично предположить, что за виртуальным шпионажем стоит Москва. Однако в большей степени пострадали российские фирмы. По данным Фила Нерея, за этой акцией просматривалась технически обеспеченная организация с хорошим бюджетом. Но самое главное, хакеры прекрасно ориентировались в менталитете своих жертв.

«Операция требует солидной серверной инфраструктуры для хранения, расшифровки и анализа скачиваемых ежедневно нескольких гигабайт неструктурированных данных, — поясняет эксперт. — Значит, за этим стоит группа аналитиков, способная вручную отсортировывать полученные данные и обрабатывать их тоже вручную».

Здесь следует добавить, что в «незалежной» IT-отрасль находится на подъеме, экспортировав в 2016 году своих продуктов на $1,8 млрд. Причем, спрос на услуги украинских айтишников начал резко расти с 2014 года. По сути, сейчас это единственное направление, за исключением аграрного сектора, где дела идут неплохо. То есть такого рода операции, о которых сообщил CyberX, вполне по плечу громадянам.

Не вдаваясь в технические подробности, сообщим, что внедрение подслушивающих вредоносов осуществлялось путём рассылки зараженных документов Microsoft Office. Чтобы прочитать эти письма, хакеры предлагали жертве обновить приложение. При этом диалоговое окно напоминало подлинное сообщение Word, что и вводило заблуждение.

В частности, русский текст в диалоговом окне выглядел следующим образом: «Внимание! Файл создан в более новой версии программы Microsoft Office. Необходимо включить макросы для корректного отображения содержимого документа». То есть хакеры применяли тактику социальной инженерии. Украинцев «подлавливали», прежде всего, тем, что предлагалось посмотреть список российских военнослужащих, якобы воюющих в Донбассе. В письме говорилось о наличии домашнего адреса солдат офицеров. Кроме того, громадян «заражали» через веселые анекдоты о Порошенко.

Всего на Украине, в России, в Саудовской Аравии и Австрии на киберпрослушку было поставлено 70 человек. Прежде всего «кто-то» очень интересовался ДНР и ЛНР. В «незалежной» взломали, как уже говорилось, компьютеры ряда политиков и редакторов СМИ. В РФ — компанию-разработчика удалённых систем мониторинга для нефте- и газопроводов и неназванный научно-исследовательский институт. Что касается атаки на электрические сети «Прикарпатьеоблэнерго», то она особого ущерба не принесла, зато сослужила хорошую службу в информационной войне против России и, в конечном счете, оказалась выгодной Киеву.

При этом компания CyberX сообщила о еще одной аналогичной киберслежке, которая была замечена в мае 2016 года. Её целью были Донецкая и Луганская народные республики. «Нападавшие, похоже, больше заинтересованы в сепаратистах и лидерах самопровозглашенного правительства в восточных украинских военных зон», — подчеркивает Роберт Липовский, старший исследователь вредоносного программного обеспечения антивирусной компании ESET, расположений в Словакии. Эта операция, получившая название «прикормки», четко имела политически мотивированный характер. И здесь все-тот же почерк. При этом расследование, проведенное экспертом, показало, что «скорей всего, злоумышленники работают на территории Украины».

Если это так, то с большой долей вероятности не «русские хакеры», а «украинские айтишники» нанесли удар в спину американским либеральным структурам, требуя от них биткоины. Как говорится, ничего личного — только бизнес, тем более что у покровителей рыльце оказалось в пушку.