Хакер, известный только под своим сетевым псевдонимом Профиксер держался в тени. Он один в своей квартире писал код и потихоньку продавал его в анонимной части интернета, известной как дарк веб (тёмная сеть). Прошлой зимой он неожиданно полностью ушёл во тьму.

Сообщения Профиксера, уже доступные только маленькой группе коллег-хакеров и киберпреступников, ищущих образцы кода, промелькнули в январе, всего несколько дней после того как американские разведслужбы публично идентифицировали программу, которую он написал, как одно из средств, использованное россиянами для взлома в США. Американская разведка определила, что российские хакеры стояли за электронным взломом Национального комитета Демократической партии.

Но в то время как сетевая личность Профиксера исчезла, возникла персона из плоти и крови: перепуганный человек, который, как говорит украинская полиция, сдался в начале этого года и теперь стал свидетелем ФБР.

«Я не знаю что случится, – написал он в одном из его последних сообщений на закрытом сайте прежде чем пойти в полицию. – Это будет неприятно. Но я всё ещё жив.

Это первый живой свидетель, возникший из сухой массы технических деталей которые на сегодняшний день формировали расследование взлома выборов и породили жаркие дебаты. Украинская полиция отказалась раскрывать имя человека или иные детали кроме тех, что он живёт на Украине и не арестован.

Доказательств что Профиксер работал, по крайней мере сознательно, на российскую разведку нет, но его вредоносный код явно использовался.

То, что в ходе хакерской операции, которой, как считает Вашингтон, дирижировала Москва, был получен вредоносный код от источника на Украине, возможно, самого заклятого врага Кремля, явно проливает свет на методы российской разведки, что западные разведки называют её тайной кибервойной против США и Европы. Имеется в виду не компактная группа правительственных служащих, которая пишет свой собственный код и осуществляет атаки в рабочее время Москвы и Санкт-Петербурга, а довольно обширная организация, которая привлекает таланты и хакерские инструменты отовсюду, где их только можно найти.

Явление с Украины стало чёткой картиной того, что США считают российской государственной хакерской группой известной как «Развитая устойчивая угроза 28» или «Прикольный медведь». Это та самая группа, которой, как считает американская разведка, руководит российская военная разведка, что была обвинена вместе с другой российской командой, известной как «Игривый медведь», во вторжении в Национальный комитет Демократической партии.

Вместо того, чтобы готовить, оснащать и направлять хакеров на специальные миссии как обычное войсковое подразделение, «Прикольный медведь» и «Игривый медведь» работали больше как центры организации и финансирования. Большинство сложной работы типа написания кода было передано частным и часто связанным с криминалом поставщикам.

В течение более чем десяти лет отслеживания руководимых Россией кибератак против целей на Западе и на бывших советских территориях – НАТО, электростанции, исследовательские группы, журналистов, критикующих Россию, и политические партии, что составляет неполный список – разведслужбы со всего мира идентифицировали только несколько человек, которые прямо замешаны в проведении атак или предоставляли киберооружие, которое использовалось при атаках.

Это отсутствие надёжных свидетелей давало большое поле Трампу и другим для сомнений насчёт сомнений по поводу участия России во взломе Демократического национального комитета.

«Сегодня нет и никогда не было ни единого представленного технического доказательства, которое подтвердило бы связь атак на Национальный комитет Демократической партии с ГРУ, ФСБ или любым российским правительственным агентством», – сказал Джеффри Карр, автор книги о кибервойне.

Американская разведка, тем не менее, однозначно указывает пальцем на Россию.

В поисках выхода из этого тумана исследователи в области кибербезопасности и западные офицеры из правоохранительных органов повернулись в сторону Украины, страны, которую Россия годами использовала как лабораторию для ряда политизированных операций, которые потом использовались повсюду, включая взлом выборов в США.

В некоторых случаях определённые типы компьютерных вторжений, типа использования вредоносного кода для отключения критической инфраструктуры или кражи электронных писем, которые в дальнейшем используются для изменения общественного мнения, впервые использовались на Украине. Только потом те же технологии использовались на Западе и в США. Так что неудивительно, что исследователи кибервойны на Украине теперь обнаруживают наводки для расследования взлома Национального комитета Демократической партии и им подобных, включая возникновение редких свидетелей.

Эксперты по безопасности сначала чесали свои головы, когда Управление национальной безопасности 29 декабря опубликовало техническое доказательство российского взлома, которое указывало не на Россию, а на Украину. В этом изначальном отчёте управление опубликовало только один образец вредоносного кода, который был назван индикатором взлома, спонсированного Россией, хотя сторонние эксперты говорят, что при российском взломе было использовано множество вредоносных программ. Образец был взят из подобной программы, названной веб-оболочкой «P. A. S.», хакерской утилитой, рекламируемой на русскоязычных форумах дарк веба и используемой киберпреступниками по всему бывшему Советскому Союзу. Автор, Профиксер – хорошо известный среди хакеров технический эксперт, о котором в Киеве говорят с благоговением и уважением. Он бесплатно выложил её для скачивания с сайта, где просил только о пожертвовании в размере от 3 до 250 долларов. Реальные деньги он делал с продажи специальных версий и консультаций своих клиентов-хакеров по их эффективному использованию. Остаётся неясным как интенсивно он взаимодействовал с российской хакерской командой.

После того как Управление национальной безопасности идентифицировало его творение, он быстро закрыл свой вебсайт и написал на закрытом хакерском форуме под названием «Эксплойт»: «Мне не интересно повышенное внимание ко мне лично». Вскоре появились следы паники, и он разместил сообщение о том, что спустя шесть дней он всё ещё живой.

Другой хакер по кличке «Злой Санта», предположил, что американцы обязательно его найдут и арестуют, например, при пересадке в аэропорту.

«Это может случиться, а может и нет, это зависит только от политики, – ответил Профиксер. – Если американские правоохранители захотят меня взять, они не станут ждать меня в аэропорту какой-нибудь страны. Связи между нашими странами настолько тесные, что меня арестуют на моей кухне по первому запросу».

Фактически Сергий Демедюк, шеф украинской киберполици, сказал в интервью, что Профиксер сам пришёл к властям. Кода началось сотрудничество, Профиксер ушёл с хакерских форумов. Последнее сообщение датируется 9 января. Демедюк говорит, что предоставил доступ к свидетелю сотрудникам ФБР, которое разместило в Киеве для постоянной работы эксперта по кибербезопасности в числе четырёх агентов посольства США. ФБР отказалось от комментариев.

Профиксер не был арестован, потому что его деятельность попадает в серую зону закона, так как он автор, а не пользователь вредоносного кода. Но он знал пользователей, по крайней мере их сетевые псевдонимы. «Он сказа нам, что создавал программу не для подобного использования», – сказал Демедюк.

Член украинского парламента с тесными связами с спецслужбами, Антон Геращенко, сказал, что взаимодействие проходило в сети или по телефону, и что украинский программист получал деньги за индивидуальную версию вредоносной программы, не зная для чего она будет использоваться, узнав позже, что она использовалась российскими хакерами.

Геращенко описал автора только в общих чертах, чтобы обеспечить его безопасность, как молодого человека из провинциального украинского города. Он подтвердил, что автор сам сдался полиции и сотрудничал как свидетель в расследовании по поводу Национального комитета Демократической партии. «Он был фрилансером, а теперь ценный свидетель», – сказал Геращенко.

Неясно использовалась ли эта программа для взлома серверов Национального комитета Демократической партии, но она была идентифицирована при других попытках взлома россиянами в США.

Хотя пока неизвестно что Профиксер сказал украинским следователям и ФБР о российских хакерских действиях, свидетельство, пришедшее с Украины, в очередной раз предоставило несколько яснейших картин о «Прикольном медведе» или «Развитой устойчивой угрозе 28», которой руководит ГРУ.

«Прикольный медведь» идентифицируется в большинстве случаев по своим действиям, а не по личности исполнителей. Одним из его постоянных приёмов является кража электронных писем и тесное сотрудничество с российскими государственными новостными агентствами. Найти берлогу медведя пока невозможно, и многие эксперты полагают не в последнюю очередь потому, что этого места не существует.

Даже для такой опытной технологической компании как «Майкрософт» установление лиц, участвующих в цифровом вредительстве, просто невозможно. Чтобы снизить ущерб операционным системам клиентов, компания в прошлом году подала заявление на «Прикольного медведя» в окружной суд США по восточному округу Вирджинии, но обнаружила, что борется с тенью.

Как сообщили суду юристы «Майкрософт», «из-за использования ответчиками неверной контактной информации, анонимных биткойнов и предоплаченных кредитных карточек и фальшивых документов, а также сложных технических средств для сокрытия своих личных данных при регистрации доменных имён, настоящие имена ответчиков остаются неизвестными».

Тем не менее украинские официальные лица, даже зная, что это будет неприятно администрации Трампа, тайно сотрудничали с американскими следователями пытаясь выяснить кто стоял за всем этим маскарадом.

В этот обмен информацией включены копии жёстких дисков украинской центральной избирательной комиссии, которые были атакованы во время президентских выборов в мае 2014 года. Несмотря на то, что ФБР получило эти данные ранее, о взломе тех выборов Россией до сих пор не сообщалось.

Следы того же вредоносного кода, в этот раз названного «Софейси», были замечены в атаках 2014 года на Украине и позже во вторжении в Демократический национальный комитет в США.

Интрига усиливается тем, что из-за недосмотра российского Первого канала кибератаки во время украинских выборов непреднамеренно были приписаны московским правительственным службам.

Хакеры загрузили на сервер украинской избирательной комиссии графическое изображение, имитирующее окно с результатами голосования. Эта фальшивая страница показывала шокирующие данные: выборы выиграл ярый антироссийский ультраправый кандидат Дмитро Ярош. Ярош в действительности получил менее одного процента голосов.

Фальшивые результаты использовались в российском пропагандистском заявлении, что Украина сегодня руководится жёсткими правыми и даже фашистскими фигурами.

Вывод поддельного изображения был назначен на момент завершения выборов в 8 вечера, но украинская компания «Инфосейф», занимающаяся кибербезопасностью, обнаружила это за несколько минут до срока и отключила сервер.

Государственное телевидение России, тем не менее, сообщило, что Ярош победил и показало поддельное изображение, приводя в качестве источника вебсайт избирательной комиссии, хотя изображение на нём никогда не появлялось. Хакер определённо заранее предоставил Первому каналу то же самое изображение, но журналисты не убедились в том, что взлом сработал.

«Для меня это очевидная связь между хакерами и российскими официальными лицами», – сказал Виктор Жора, директор «Инфосейф».

Украинский правительственный исследователь Николай Коваль, который исследовал взлом, опубликовал свои выводы в книге, вышедшей в 2015 году под названием «Кибервойна в перспективе», и обнаружил программу «Софейси» на сервере.

Копия образа жёсткого диска была направлена в ФБР, которое уже владело этим образом, когда компания по кибербезопасности «Краудстрайк» обнаружила ту же вредоносную программу два года спустя на серверах Демократического национального комитета.

«Это был первый удар», – сказал Жора о взломе украинских компьютеров, работавших на выборах.

Украинская киберполиция также предоставила ФБР копии жёстких дисков с серверов, демонстрирующие возможные источники некоторых фишинговых электронных писем, нацеленных на демократическую партию во время выборов.

В 2016 году, два года спустя после взлома выборов на Украине, хакеры, используя некоторые из тех же технологий взломали электронную почту Всемирного антидопингового агентства, которое обвинило российских атлетов в систематическом использовании препаратов. Налёт, похоже, тоже был чётко скоординирован с российским государственным телеканалом, который начал выпускать в эфир хорошо подготовленные репортажи о взломанных почтовых ящиках антидопингового агентства буквально спустя несколько минут после того, как письма из них были опубликованы. Письма появились на вебсайте, который сообщил, что антидопинговое агентство было взломано группой, называющей себя хакерской группой «Прикольный медведь».

Это стало первым разом, когда «Прикольный медведь» вышел из укрытия. Группа, тем не менее, остаётся экстраординарно скрытой. Чтобы сбить следователей со следа, группа предприняла многочисленные изменения, обновив арсенал своих зловредных программ и иногда скрываясь под другими названиями. Одно из его Альтер эго, считают киберэксперты, это «Киберберкут», команда, которая была создана на Украине сторонниками пророссийского президента Виктора Януковича, которого свергли в 2014 году.

После пребывания многие месяцы в спячке, «Киберберкут» снова начал действовать этим летом, как только многочисленные расследования в Вашингтоне по поводу связей кампании Трампа с Москвой набрали обороты. «Киберберкут» опубликовал похищенные электронные письма, которые, как сказал он и государственные новостные агентства, раскрыли реальную картину: Хиллари Клинтон была связана с Украиной.

0

0