В среду, 2 марта в Конгрессе США состоялись слушания. Директор ФБР Джеймс Коми всеми силами пытался доказать присутствующим, что Apple обязана взломать смартфон террориста, в декабре 2015 года расстрелявшего 14 человек в калифорнийском городе Сан-Бернардино. Но конгрессмены неожиданно встали на сторону Apple и начали задавать Коми весьма неудобные вопросы. Так, демократ Седрик Ричмонд рассказал, что во время визита на Украину советники по безопасности порекомендовали ему отключить телефон и оставить его в самолете — иначе его могли вскрыть российские хакеры.
«Русские взламывают телефоны на расстоянии, а ФБР не может получить доступ к устройству, находящемуся в непосредственном доступе у специалистов!» — возмущался конгрессмен. Коми в ответ попытался возразить, что Apple «еще никто никогда не взламывал», чем поставил себя в еще более неудобное положение — ему тут же напомнили про нашумевшую утечку фотографий звезд из iCloud.
Заявление Ричмонда о российских хакерах примечательно полным отсутствием доказательств. В мире не так много способов дистанционно взломать смартфон, и ни один из них не был изобретен в России. В октябре 2014 года подобную технологию представили специалисты Hacking Team — итальянской компании, разрабатывающей шпионский софт для западных спецслужб. Их приложение Galileo, фиксирующее все действия с гаджетом и отправляющее информацию на удаленный сервер, можно тайно установить на любое устройство. Летом 2015 года Hacking Team подверглась масштабной кибератаке, и в сеть утекли данные о ее клиентах. В списке присутствовали и российские компании, но ни одна из них не приобретала Galileo.
Еще один способ удаленно взломать смартфон в октябре 2015 года продемонстрировали исследователи антивирусной компании Trend Micro. На конференции для хакеров Black Hat они рассказали о баге Stagefright, которому подвержены 90 процентов всех Android-устройств. С его помощью можно получить доступ к микрофону, камере и жесткому диску гаджета, всего лишь отправив пользователю MMS с вредоносным видео. Google совместно с крупными производителями смартфонов почти сразу выпустила патч для устранения уязвимости, но специалисты по безопасности из компании Exodus позднее утверждали, что Stagefright все еще можно использовать.
Контролировать смартфоны на расстоянии может и Управление правительственной связи Великобритании, о чем в октябре 2015 года поведал бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден. По его словам, устройство автоматически взламывается при отправке на него зашифрованного текстового сообщения, после чего спецслужбы могут определять его местоположение, читать СМС и переписку в приложениях, а также видеть список посещаемых сайтов и контактов. Шпионский софт британцы назвали «смурфиками», в честь персонажей мультфильма.
Тем не менее за последние годы не было зафиксировано ни одного громкого случая взлома смартфонов политиков. Советники конгрессмена Ричмонда могли лишний раз перестраховаться и настоятельно попросить его оставить гаджет в самолете, но это явно не повод всерьез говорить об угрозе со стороны российских хакеров. Впрочем, «русский след» принято искать и в куда более громких кибератаках.
В конце июля 2015 года несколько высокопоставленных источников в Министерстве обороны США рассказали о том, что российские хакеры причастны к масштабной кибератаке на Пентагон. По сообщениям CNBC, злоумышленникам удалось проникнуть в компьютерную систему оборонного ведомства и получить доступ к данным Объединенного комитета начальников штабов — аналогу российского Генштаба.
Несколько дней новость активно обсуждалась в американской прессе, чему немало способствовало отсутствие каких-либо подробностей об инциденте. Однако затем стало понятно, что источники серьезно преувеличили масштаб угрозы. На самом деле хакерам удалось взломать внешний почтовый сервер оборонного ведомства, так что к ним в руки попала лишь куча рабочей почты сотрудников Пентагона. Никакой секретной информации в письмах не могло быть по определению, поскольку все конфиденциальные данные американцы пересылают во внутренней сети, получить доступ к которой можно только из самого здания. Причастность к инциденту россиян источник обосновал «масштабом и сложностью атаки».
Правда, в этот раз американские власти воздержались от прямых обвинений, в отличие от аналогичного инцидента в апреле 2015 года. Тогда мишенью хакеров вновь стали почтовые серверы и сервисы внутренней коммуникации Пентагона, а глава американского оборонного ведомства Эштон Картер заявил, что злоумышленников удалось отследить. «Мы изучили их тактику и выяснили, что они действуют с территории России», — подчеркнул он.
Но доказательства американской стороны вызывают сомнения. Дело в том, что почти все хакеры маскируют свой трафик и реальный IP-адрес. Для этого используют защищенную сеть Tor или VPN-сервисы, но большинство злоумышленников предпочитают сразу оба варианта. Поэтому обнаруженный американцами российский след может свидетельствовать и о том, что во время взлома хакеры подключились к VPN, который перенаправил их реальный трафик на российский сервер.
В том же месяце россиян обвинили во взломе серверов Белого дома. По словам источников CNN, сначала злоумышленникам удалось получить доступ к почтовому сервису Госдепартамента США, после чего они отправили одному из сотрудников Белого дома письмо с вредоносной ссылкой. В результате к хакерам попал годовой рабочий график президента США Барака Обамы.
По версии CNN, расследовавшие инцидент специалисты ФБР и Секретной службы отследили реальный трафик злоумышленников и даже предположили, что те работают на российское правительство. Хотя член Совета национальной безопасности США Марк Строх это подтвердить отказался. В свою очередь пресс-секретарь президента России Дмитрий Песков отметил, что обвинять Россию «превратилось в вид спорта», а для американцев главное «не искать российские подлодки в реке Потомак».
По мнению специалистов FireEye — одной из ведущих мировых компаний в области информационной безопасности, в России существует несколько мощных хакерских группировок, напрямую подконтрольных властям. Они проводят тщательно спланированные атаки на государственные и оборонные ресурсы США и стран НАТО и добывают секретную информацию для нужд российской разведки.
В отличие от хакеров из Китая и Ирана, россияне стараются найти персональный подход в рассылке вредоносных писем, а для общения используют допотопные веб-сервисы Pastebin и Ghostbin, где по ссылке можно размещать текстовые файлы.
Одна из первых подобных группировок — ATP28. С 2007 года ее члены атакуют научные институты и технологические компании, выполняющие исследования для Министерства обороны США. Среди пострадавших — Science Applications International и Academi LLC, чьи сотрудники располагали секретной информацией по проектам Пентагона.
Однако все доказательства FireEye базируются на том, что в частях написанного хакерами кода есть русские символы, а большинство атак проводились с 9 утра до 6 вечера по московскому времени.
Еще одну группу проправительственных хакеров в сентябре 2015 года обнаружила финская компания F-Secure. По утверждениям специалистов, The Dukes с 2008 года создали целое семейство вирусов, которыми затем были заражены компьютеры представителей зарубежной чеченской диаспоры, а также сервера армий Польши и Чехии, где США планировали разместить элементы противоракетной обороны. Атакам The Dukes также подвергались аналитические центры в США и информационный центр НАТО в Грузии.
В качестве доказательств F-Secure, как и FireEye, привела кириллические символы в коде и активность с 9 до 6 по московскому времени. К сожалению, финны никак не отреагировали на данные «Лаборатории Касперского», согласно которым в апреле 2015 года The Dukes атаковали и российские правительственные компьютеры.
В российской антивирусной компании, напротив, подробно изучили отчет F-Secure. По мнению специалистов «Касперского», финская сторона убедительно доказала лишь то, что вирусы «созданы и управляются людьми, говорящими по-русски».
Владимир Тодоров