Злам комп’ютерів Демократичної партії США став темою номер один багатьох газетних передовиць цього літа. Менше уваги дісталося тому факту, що атакували дві окремі команди хакерів з РФ, які, вочевидь, не знали про роботу одна одної. Вважається, що одна з них (компанія Crowdstrike, котра займається кібербезпекою, назвала її Fancy Bear) пов’язана з російською службою військової розвідки ГРУ. Завдання тих «ведмедів» полягало у викраденні й зливанні інформації. Дмітрій Альперовіч із Crowdstrike, яку жертви хакерської атаки найняли для розслідування, називає роботу Fancy Bear «активними заходами» (вираз «активные мероприятия» в радянському шпигунському сленгу означав безпосереднє втручання у справи іншої країни).
Читайте також: У WADA звинуватили російських хакерів у зломі антидопінгової бази даних
Друга група (назвемо її Cozy Bear) теж побувала в комп’ютерних системах демократів. Вона займалася традиційним шпигунством: тихцем збирала інформацію про внутрішню кухню партії (такі цілі є пріоритетними для будь-якого іноземного уряду, але особливо для Кремля). З огляду на дані, що цікавили цю групу, а також більш витончені технологічні інструменти, якими послуговувалися її представники, можна зробити висновок, що вона працювала на іншу частину російського апарату розвідки. Дон Сміт із Dell SecureWorks, іще однієї фірми, котра займається кібербезпекою, вважає, що обережнішого з двох «ведмедів» неабияк роздратувала неакуратна робота іншого. Якби переписку демократів не злили, то жертва, швидше за все, так і не знала б, що за нею стежать.
Крім того, неповороткий Fancy Bear, крадучи в демократів їхню кашу, залишив цікаві сліди — їх можна побачити в аналітиці від SecureWorks, яка ніде не публікувалася. Наприклад, обидві групи 15 квітня взяли вихідний. За дивним збігом обставин у Росії це «день спеціаліста радіоелектронної боротьби». Основний інструмент атаки цієї групи — схожі на автентичні електронні листи з фейковим лінком на сторінку «змíни пароля». Клікнувши на посилання, ви переходите на (теж фейкову) сторінку авторизації в пошті Gmail. Кожен, хто введе на ній логін та пароль, дає хакерам доступ до своєї пошти (у кампанії «Гілларі для Америки» користувалися однією з версій Gmail).
Читайте також: Компанія Yahoo! підозрює російських хакерів у зломі акаунтів – WSJ
Аби листи з такими фейковими лінками обходили фільтри спаму, хакери працювали з вільнодоступним сервісом скорочення посилань bit.ly і виявилися на диво необережними. Розібравши посилання на частини, можна простежити, кого ще атакували відповідні листи. У SecureWorks підозрюють, що хакерська група створила 213 коротких лінків, які вислали на 108 адрес на домені hillaryclinton.com. Серед одержувачів були всі: від старших радників до молодших помічників, відповідальних за організацію розкладу та поїздок. На фейкові лінки зі зміною пароля зайшло близько п’ятої частини одержувачів. Хоча це не означає, що всі вони ще й ввели власні дані у фейковому авторизаційному вікні Gmail. Francy Bear працював за такою самою схемою під час попередніх атак. Більшість їх було спрямовано на країни колишнього Радянського Союзу (особливо Україну): на політиків, державних посадовців, медійників, активістів.
Читайте також: Що вбиває нашу демократію
Зараз серйозним фактором, що непокоїть Америку, є практика, яка скидається на пряме російське втручання в електоральний процес. І це стосується не тільки хакерських атак чи зливів інформації. У США побоюються, що хакери можуть працювати з машинами для голосування, аби підірвати довіру до результатів виборів. Інцидент із Демократичною партією може бути тільки верхівкою айсберга. Обом групам «ведмедів» доволі легко вдалося зламати системи, що теоретично мали бути максимально захищені. Це показує, наскільки більшість успішних кібератак — у політиці, бізнесі чи деінде — уможливлені довірливістю й недбалістю жертв.
© 2011 The Economist Newspaper Limited. All rights reserved
Переклад з оригіналу здійснено «Українським тижнем», оригінал статті опубліковано на www.economist.com