Цензор.НЕТ

17.08.17 08:37

Российские хакеры для атак на серверы Демократической партии США использовали ПО украинского программиста, - The New York Times

Украинский хакер, известный под псевдонимом Profexer, стал свидетелем ФБР по делу о взломе серверов Национального комитета Демократической партии США.

интернет хакер хакеры компьютер ит киберпреступность кибератака кибепреступление

Об этом пишут Эндрю Крамер и Эндрю Хиггинс в статье "Украинский эксперт по вредоносным программам, который мог бы изобличить российское хакерство", опубликованной на сайте газеты The New York Times, передает Цензор.НЕТ со ссылкой на УНИАН.

"Хакер, известный только под ником "Profexer", всегда оставался в тени. Он написал только компьютерный код в своей квартире и спокойно продал свою работу в анонимной части Интернета, известной как даркнет. Но прошлой зимой он внезапно исчез. Посты Profexer, и без того доступные только небольшой группе хакеров и киберпреступников, которые искали подсказки в вопросах программного обеспечения, исчезли в январе - всего через несколько дней после того, как американские спецслужбы публично назвали программу, которую он написал, одним из инструментов, использованных при взломе Национального комитета Демократической партии. Но хотя онлайн-персона Profexer'а исчезла, появился вполне реальный человек, из плоти и крови: напуганный человек, который, по словам украинской полиции, пришел с повинной в начале этого года и теперь стал свидетелем ФБР", - пишет издание.

"Я не знаю, что произойдет. Это не будет приятно. Но я все еще жив", - написал он в одном из своих последних сообщений, на веб-сайте с ограниченным доступом, прежде чем отправиться в полицию.

Читайте также на "Цензор.НЕТ": Ни один компьютер в ВСУ не был заражен вирусом "Petya.А", - Генштаб

"Это первый известный пример появления живого свидетеля, на фоне массы технических деталей, которые до сих пор формировали расследование взлома комитета демократов и вызывали активные дебаты. Украинская полиция отказалась разглашать имя этого человека или другие подробности, кроме того, что он живет в Украине и не был арестован. Нет никаких доказательств того, что Profexer работал, по крайней мере, сознательно, на разведывательные службы России, в отличие от его вредоносного ПО. То, что операция по взлому, которая, как убежден Вашингтон, была организована Москвой, задействовала вредоносное ПО от источника в Украине - возможно, самого ожесточенного врага Кремля - ​​проливает свет на методы российских служб безопасности, в процессе того, что западные спецслужбы считают тайной кибервойной против США и Европы. Это не маленькая команда государственных служащих, которые пишут свои коды и осуществляют атаки в рабочие часы в Москве или Санкт-Петербурге, это скорее гораздо более свободное предприятие, которое ищет таланты и инструменты для взлома, где только возможно. Кроме того, из Украины появляется более четкое представление о том, что, по мнению Соединенных Штатов, является правительственной группой хакеров, известной как Advanced Persistent Threat 28 или Fancy Bear. Именно этой группой, по мнению американских разведывательных агентств, управляет российская военная разведка, которую обвиняли вместе со вторым формированием, известным как Cozy Bear, во взломе демократов. Вместо того, чтобы обучать, вооружать и задействовать хакеров для выполнения конкретной миссии, как еще одну единицу, Fancy Bear и ее близнец Cozy Bear действуют скорее как центры организации и финансирования; большая часть тяжелой работы, такой как написание кодов, передается частным, часто преступным исполнителям", - отмечают авторы материала.

Читайте также на "Цензор.НЕТ": Серверы M.E.Doc были взломаны заранее до начала атаки вируса "Petya.A", - глава киберполиции Демедюк

"И сейчас, и никогда ранее не было ни одного технического доказательства, которое связывало бы вредоносное ПО, используемое в атаке на демократов с ГРУ, ФСБ или любым другим ведомством российского правительства", - сказал Джеффри Карр, автор книги о кибервойне.

"Однако, разведывательные службы Соединенных Штатов недвусмысленно указали на Россию. Стремясь найти выход из этой ситуации, исследователи в сфере кибербезопасности и западные сотрудники правоохранительных органов обратились к Украине, стране, которую Россия в течение многих лет использовала в качестве лаборатории для целого ряда политизированных операций, которые позднее осуществлялись в других странах, включая хакерскую атаку на выборах в Соединенных Штатах. В первую очередь определенные виды компьютерных вторжений происходили в Украине. Например, использование вредоносного ПО для выведения из строя критически важной инфраструктуры или кража сообщений электронной почты, которые позднее были опубликованы для изменения общественного мнения. Позже те же методы были использованы в Западной Европе и Соединенных Штатах. Таким образом, неудивительно, что те, кто изучает кибервойну в Украине, теперь находят подсказки в расследовании взлома демократов, включая появление редкого свидетеля. Эксперты по вопросам безопасности изначально недоумевали, когда Департамент внутренней безопасности 29 декабря опубликовал технические доказательства российского взлома, которые, как представлялось, указывали не на Россию, а скорее на Украину. В этом первоначальном отчете отдела только один образец вредоносного ПО, по данным, был показателем взлома, финансируемого Россией, но, по мнению внешних экспертов, в процессе взлома были использованы различные вредоносные программы. Образец указывал на вредоносную программу, под названием P.A.S. web-shell, хакерский инструмент, рекламируемый на русскоязычных форумах Dark Web и используемый киберпреступниками на территории бывшего Советского Союза. Его автор, Profexer, является уважаемым техническим экспертом среди хакеров, о котором говорят с благоговением и уважением в Киеве. Он сделал его доступным для бесплатного скачивания с веб-сайта, на котором запрашивались только пожертвования, от 3 до 250 долларов США. Реальные деньги зарабатывались путем продажи индивидуальных версий и путем консультирования хакерских клиентов в вопросе их эффективного использования. Остается неясным, насколько активно он взаимодействовал с российской хакерской командой", - поясняет издание.

Читайте также на "Цензор.НЕТ": Очередная хакерская атака ожидается 24 августа, на День независимости Украины, - глава киберполиции Демедюк

После того, как Департамент внутренней безопасности определил его работу, он закрыл свой сайт и написал на закрытом форуме для хакеров Exploit: "Я не заинтересован в чрезмерном внимании к моей персоне".

Другой хакер под ником Злой Санта предположил, что американцы, несомненно, найдут его и арестуют, возможно, во время перелета в аэропорту.

"Это возможно, или нет, все зависит только от политики", - ответил Profexer. - Если правоохранительные органы США захотят меня схватить, они не будут ждать меня в аэропорту какой-то страны. Отношения между нашими странами настолько близкие, что меня арестуют на моей кухне, по первому требованию".

На самом деле, глава украинской киберполиции Сергей Демедюк сказал в интервью, что Profexer сам пришел к властям. Когда началось сотрудничество, Profexer исчез из хакерских форумов. Он последний раз публиковал что-либо в Интернете 9 января.

Демедюк сказал, что предоставил свидетеля ФБР, которое отправило в Киев специалиста по кибербезопасности на полный рабочий день в качестве одного из четырех агентов бюро, размещенных в посольстве Соединенных Штатов.

ФБР отказалось от комментариев.

Profexer не был арестован, потому что его деятельность оказывается в серой зоне закона, он автор, но не пользователь вредоносного ПО, заявляет украинская полиция. Но он действительно знал пользователей, по крайней мере, по их онлайн-именам.

"Он сказал нам, что не создавал его для такого использования", - сказал Демедюк.

Читайте также на "Цензор.НЕТ": Только 10% украинских компаний обезопасили свою технику, - киберполиция

Член парламента Украины, имеющий тесные связи со службами безопасности, Антон Геращенко, сказал, что взаимодействие проходило онлайн или по телефону, и что украинскому программисту заплатили, чтобы он написал индивидуальные вредоносные программы, не зная их цели, только позже он узнал об использовании для взлома Демократической партии.

Геращенко очень абстрактно описал автора, чтобы защитить молодого человека из провинциального украинского города. Он подтвердил, что автор пришел в полицию и сотрудничал в качестве свидетеля в расследовании взлома демократов.

"Он был фрилансером, а теперь он ценный свидетель", - сказал Геращенко.

"Пока неизвестно, что Profexer рассказал украинским следователям и ФБР о хакерских попытках России; показания, исходящие из Украины, снова предоставили некоторые важные данные о Fancy Bear или Advanced Persistent Threat 28, которой управляет ГРУ. Fancy Bear удалось идентифицировать, главным образом, по ее деятельности. Одной из повторяющихся особенностей группы стала кража электронных писем и тесное сотрудничество с российскими государственными СМИ. Однако, отследить медведя до его берлоги, пока оказалось невозможным, не в последнюю очередь потому, по мнению многих экспертов, единого такого места нет. Тем не менее, украинские официальные лица, хотя и опасаясь расстроить администрацию Трампа, все же сотрудничали с американскими следователями, чтобы попытаться выяснить, кто скрывается за всеми масками", - добавляют авторы материала.

Читайте также на "Цензор.НЕТ": Хакеры взломали серверы отелей Трампа

В этот обмен информацией были включены копии жестких дисков серверов Центральной избирательной комиссии Украины, которая стала объектом атаки во время президентских выборов в мае 2014 года. ФБР уже получило доказательства этого, но о взломе, связанном с Россией, ранее не сообщалось. Следы одного и того же вредоносного кода, на этот раз программы под названием Sofacy, были замечены в атаке 2014 года в Украине, а затем во взломе демократов в США. Примечательно, что результаты этой кибератаки были использованы российским "первым" каналом. Тогда хаккеры загрузили на сервер ЦИК страницу с данными подсчета голосов, согласно которым наибольшее количество голосов получил лидер "Правого сектора" Дмитрий Ярош. Этот фейк был использован российской пропагандой для утверждения, что в Украине к власти пришли ультраправые и даже фашисты. Фальшивая картинка была запрограммирована для отображения при закрытии опросов в 8 часов вечера, но украинская компания по кибербезопасности "Инфосейф" обнаружила ее всего несколько за несколько минут до этого и отключила сервер. Тем не менее, государственное телевидение в России сообщило, что Ярош выиграл и показывал фальшивый график, ссылаясь на сайт избирательной комиссии, хотя этот график так и не появился на сайте. Хакер явно предоставил Первому каналу то же изображение заранее, но журналисты не проверили, сработала ли атака.

"Для меня это очевидная связь между хакерами и российскими чиновниками", - сказал Виктор Жора, директор "Инфосейф", компании по кибербезопасности, которая первой обнаружила фальшивый график.

Украинский правительственный исследователь, изучавший атаку, Николай Коваль, опубликовал свои выводы в книге 2015 года "Кибервойна в перспективе" и идентифицировал вредоносное ПО Sofacy на сервере. Зеркало жесткого диска отправили ФБР, у которых был этот судебный образец, когда компания по кибербезопасности CrowdStrike идентифицировала то же самое вредоносное ПО два года спустя, на серверах Демократической партии.

Кроме того, похожая технология была задействована для взлома электронной почты Всемирного антидопингового агентства WADA, которое обвиняла российских спортсменов в систематическом употреблении допингов.

"Это был первый удар", - сказал Виктор Жора о взломе компьютеров избирательной комиссии Украины.

Киберполиция Украины также предоставила ФБР копии жестких дисков сервера, указывающих на возможное происхождение некоторых фишинговых писем, нацеленных на Демократическую партию во время выборов.

В 2016 году, спустя два года после взлома выборов в Украине, хакеры, используя те же методы, разграбили систему электронной почты Всемирного антидопингового агентства (ВАДА), которое обвинило российских спортсменов в систематическом употреблении допинга.

"Этот рейд тоже, по-видимому, был тесно скоординирован с российским государственным телевидением, которое начало транслировать хорошо подготовленные сюжеты об украденных письмах ВАДА спустя всего несколько минут после их обнародования. Письма появились на веб-сайте, который объявил, что ВАДА было взломано группой, называющей себя "хакерская команда Fancy Bears". Тогда впервые Fancy Bear дали о себе знать", - говорится в статье.

Читайте также на "Цензор.НЕТ": Российских хакеров подозревают в атаке на энергетику Ирландии, - The Times

"Однако, Fancy Bear остается необычайно неуловимой. Чтобы сбить следователей со следа, группа провела различные преобразования, пополнив свой арсенал вредоносного ПО и иногда скрываясь под разными масками. Одно из их альтер эго, по мнению киберэкспертов, это КиберБеркут, группа, предположительно созданная в Украине сторонниками пророссийского президента страны Виктора Януковича, который был изгнан в 2014 году. После бездействия в течение многих месяцев, КиберБеркут снова приступил к действиям этим летом, когда многочисленные расследования в Вашингтоне о возможном сговоре кампании Трампа с Москвой перешли на новый уровень. КиберБеркут опубликовал украденные электронные письма, которые, как сообщил он сам и российские государственные СМИ, разоблачили правду: Хиллари Клинтон вступила в сговор с Украиной", - резюмируют авторы материала.
← Назад в рубрику