Переклад статті The New York Times про українського хакера, програму якого використовували під час кібератаки на Демпартію США

Українська поліція відмовилася розголошувати ім'я цієї людини або інші подробиці, крім того, що чоловік живе в Україні і його не заарештовано. Немає жодних доказів того, що Profexer працював, принаймні свідомо, на розвідувальні служби Росії, на відміну від його шкідливого ПЗ

Переклад статті The New York Times про українського хакера, програму якого використовували під час кібератаки на Демпартію США
New York Times

The New York Times

американська газета

Українська поліція відмовилася розголошувати ім'я цієї людини або інші подробиці, крім того, що чоловік живе в Україні і його не заарештовано. Немає жодних доказів того, що Profexer працював, принаймні свідомо, на розвідувальні служби Росії, на відміну від його шкідливого ПЗ

Оригінал на сайті The New York Times

Хакер, знаний під ніком Profexer, завжди залишався в тіні. Він написав тільки комп'ютерний код у своїй квартирі і спокійно продав свою роботу в анонімній частині Інтернету, відомій як даркнет.

Але минулої зими він раптово зник. Пости Profexer, і так доступні лише невеликій групі хакерів і кіберзлочинців, які шукали підказок щодо програмного забезпечення, зникли в січні — лише за кілька днів після того, як американські спецслужби публічно назвали програму, яку він написав, одним з інструментів, використаних при зламі Національного комітету Демократичної партії.

Але хоча онлайн-персона Profexer'а зникла, з'явився цілком реальна людина, з плоті та крові: наляканий чоловік, який, за словами української поліції, прийшов з повинною на початку цього року і тепер став свідком ФБР. "Я не знаю, що станеться", — написав він в одному з своїх останніх повідомлень, на веб-сайті з обмеженим доступом, перш ніж вирушити до поліції.

"Це не буде приємно. Але я досі живий". Це перший відомий приклад появи живого свідка, на тлі маси технічних деталей, які досі формували розслідування зламу комітету демократів і викликали активні дебати. Українська поліція відмовилася розголошувати ім'я цієї людини або інші подробиці, крім того, що він живе в Україні і не заарештований. Немає жодних доказів того, що Profexer працював, принаймні свідомо, на розвідувальні служби Росії, на відміну від його шкідливого ПЗ.

Те, що операція зі зламу, яка, як переконаний Вашингтон, була організована Москвою, задіяла шкідливе ПЗ від джерела в Україні — можливо, найзапеклішого ворога Кремля — проливає світло на методи російських служб безпеки щодо того, що західні спецслужби вважають таємною кібервійною проти США і Європи.

Новини за темою

Це не маленька команда державних службовців, які пишуть свої коди і здійснюють атаки в робочий час у Москві або Санкт-Петербурзі, це, швидше, значно вільніше підприємство, що шукає таланти та інструменти для зламу, де тільки можна. Крім того, в України з'являється більш чітке уявлення про те, що, на думку Сполучених Штатів, є урядова група хакерів, відома як Advanced Persistent Threat 28 або Fancy Bear. Саме цією групою, на думку американських розвідувальних агентств, керує російська військова розвідка, яку звинувачували разом з іншим формуванням, відомим як Cozy Bear, у зламі демократів. Замість того, щоб навчати, озброювати і задіювати хакерів для виконання конкретної місії, як іще одну бойову одиницю, Fancy Bear і її близнюк Cozy Bear діють радше як центри організації та фінансування; більшість важкої роботи на кшталт написання кодів передається приватним, часто злочинним виконавцям.

Російське поле для випробувань

Протягом понад десятиліття відстеження підозрілих кібератак, організованих Росією, на безліч об'єктів на Заході і на колишніх радянських територіях — наприклад, НАТО, електричні мережі, дослідницькі групи, журналістів, які критикують Росію, і політичні партії — служби безпеки по всьому світові визначили лише жменьку людей, які були безпосередньо залучені до здійснення таких атак або надання використаної кіберзброї. Відсутність надійних свідків надала Трампу та іншим достатньо можливостей, щоб поставити під сумнів реальну причетність Росії до зламу комітету Демократичної партії.

Новини за темою

"І зараз, і ніколи раніше не було жодного технічного доказу, що пов'язував би шкідливе ПЗ, використовуване в атаці на демократів з ГРУ, ФСБ або будь-яким іншим відомством російського уряду", — сказав Джеффрі Карр, автор книги про кібервійни. ГРУ — російське агентство військової розвідки, а ФСБ — Федеральна служба безпеки РФ. Однак, розвідувальні служби Сполучених Штатів недвозначно вказали на Росію. Прагнучи знайти вихід з цієї ситуації, дослідники у галузі кібербезпеки і західні співробітники правоохоронних органів звернулися до України, країни, яку Росія протягом багатьох років використовувала як лабораторію для цілої низки політизованих операцій, які згодом здійснювали в інших країнах, включаючи хакерську атаку на виборах у Сполучених Штатах.

Передусім зазначені види комп'ютерних вторгнень відбувалися в Україні. Наприклад, використання шкідливого ПЗ для виведення з ладу критично важливої інфраструктури або крадіжка повідомлень електронної пошти, які пізніше були опубліковані для зміни громадської думки. Відтак до цих методів удалися в Західній Європі та Сполучених Штатах. Таким чином, не дивно, що ті, хто вивчає кібервійну в Україні, тепер знаходять підказки в розслідуванні зламу демократів, включаючи появу рідкісного свідка. Експерти з питань безпеки спочатку дивувалися, коли Департамент внутрішньої безпеки 29 грудня опублікував технічні докази російського зламу, які, видавалось, вказували не на Росію, а швидше на Україну.

У цьому початковому звіті відділу тільки один зразок шкідливого ПЗ, за даними, був показником зламу, фінансованого Росією, але, на думку зовнішніх експертів, у процесі зламу були використані різні шкідливі програми. Зразок вказував на шкідливу програму під назвою P. A. S. web-shell, хакерський інструмент, рекламований на російськомовних форумах Dark Web, який використовується кіберзлочинцями на території колишнього Радянського Союзу. Його автор, Profexer, є шанованим технічним експертом серед хакерів, про нього говорять з благоговінням і повагою в Києві. Він удоступнив його для безкоштовного скачування з веб-сайту, на якому просили тільки пожертвування від 3 до 250 доларів США. Реальні гроші заробляли шляхом продажу індивідуальних версій і шляхом консультування хакерських клієнтів щодо ефективного використання.

Новини за темою

Залишається неясним, наскільки активно він взаємодіяв з російською хакерською командою. Після того, як Департамент внутрішньої безпеки визначив його роботу, він швидко закрив свій сайт і написав на закритому форумі для хакерів Trojandownloader: "Я не зацікавлений в надмірній увазі до моєї персони". Незабаром з'явився натяк на паніку, і він послав записку, в якій говорилося, що за шість днів він все ще живий. Інший хакер під ніком "Злий Санта" припустив, що американці, безсумнівно, знайдуть його і заарештують, можливо, під час перельоту в аеропорті. "Це можливо, або й ні, все залежить тільки від політики", — відповів Profexer. "Якщо правоохоронні органи США захочуть мене схопити, вони не будуть чекати на мене в аеропорту якоїсь країни. Відносини між нашими країнами такі близькі, що мене заарештують на моїй кухні на першу вимогу". Щодо самої справи голова української кіберполіції Сергій Демедюк сказав в інтерв'ю, що Profexer сам прийшов до влади. Коли розпочалося співробітництво, Profexer зник з хакерських форумів.

Востаннє він публікував щось в Інтернеті 9 січня. Демедюк сказав, що надав свідка ФБР, яке відправило до Києва спеціаліста з кібербезпеки на повний робочий день в якості одного з чотирьох агентів бюро, розміщених в посольстві Сполучених Штатів. ФБР відмовилося від коментарів. Profexer не був заарештований, бо його діяльність перебуває в сірій зоні закону, він автор, але не користувач шкідливого ПЗ, заявляє українська поліція. Але він справді знав користувачів, принаймні за їхніми онлайн-іменами. "Він сказав нам, що не створював його для такого використання", — сказав Демедюк. Член парламенту України, що має тісні зв'язки зі службами безпеки, Антон Геращенко, сказав, що взаємодія відбувалася онлайн або по телефону, і що українському програмісту заплатили, щоб він написав індивідуальні шкідливі програми, не знаючи мети, тільки пізніше він дізнався про використання для зламу Демократичної партії. Геращенко дуже абстрактно описав автора, щоб захистити молоду людину із провінційного українського міста. Він підтвердив, що автор прийшов у поліцію і співпрацював як свідок у розслідуванні зламу демократів.

"Він був фрілансером, а тепер він цінний свідок", — сказав Геращенко.

Барліг ведмедя

Поки невідомо, що саме Profexer розповів українським слідчим і ФБР про хакерські спроби Росії; свідчення, що надходять з України, знову надали деякі важливі дані про Fancy Bear або Advanced Persistent Threat 28, якою управляє ГРУ. Fancy Bear вдалося ідентифікувати, головним чином, за її діяльністю. Однією з повторюваних особливостей групи стала крадіжка електронних листів і тісна співпраця з російськими державними ЗМІ. Однак відстежити ведмедя аж до його барлогу, поки неможливо, не в останню чергу тому, що, на думку багатьох експертів, це не одне місце.

Навіть для такої передової технологічної компанії, як Microsoft, знайти людей у цифровому просторі виявилося практично неможливим. Щоб обмежити шкоду для операційних систем клієнтів, компанія торік подала скаргу на Fancy Bear в окружний суд Сполучених Штатів у Східній Вірджинії. Але зрештою це виявився бій з тінню. Як повідомили в суді адвокати Microsoft, оскільки підсудні використовували підроблені контактні дані, анонімні Bitcoin, передоплачені кредитні карти і фальшиві посвідчення особи, а також складні технічні засоби для приховування їхньої особистості, при налаштуванні і використанні відповідних інтернет-доменів, справжня особистість підсудних залишається невідомою".

Новини за темою

Тим не менш, українські офіційні особи, хоча і боячись засмутити адміністрацію Трампа, все ж співпрацювали з американськими слідчими, щоб спробувати з'ясувати, хто ховається за всіма масками.

До цього обміну інформацією було залучено копії жорстких дисків серверів Центральної виборчої комісії України, яка стала об'єктом атаки під час президентських виборів у травні 2014 року. ФБР вже отримало докази цього, але про злам, пов'язаний з Росією, раніше не повідомлялося.

Сліди одного і того ж шкідливого коду, цього разу програми під назвою Sofacy, були помічені в атаці 2014 року в Україні, а потім у зламі демократів в США. Цікаво, що в кібератаці під час виборів в Україні, яка, очевидно, стала провалом на державному російському Першому каналі, ненавмисно були замішані державні органи в Москві. Хакери завантажили на сервер української виборчої комісії графік, що імітує сторінку відображення результатів.

Ця фальшива сторінка показала приголомшливий результат: перемогу на виборах відчайдушно антиросійського ультраправого кандидата, Дмитра Яроша. Ярош насправді отримав менше 1% голосів. Фальшивий результат був би на руку російській пропаганді про те, що сьогодні Україною керують ультраправі, навіть фашистські постаті. Фальшива картинка була запрограмована для відображення при закритті опитувань о 8 годині вечора, але українська компанія з кібербезпеки "Інфосейф" виявила її всього кілька за кілька хвилин до цього і відключила сервер.

Тим не менш, державне телебачення в Росії повідомило, що Ярош виграв, і показувало фальшивий графік, посилаючись на сайт виборчої комісії, хоча цей графік так і не з'явився на сайті. Хакер явно надав Першому каналу зображення заздалегідь, але журналісти не перевірили, чи спрацювала атака. "Для мене це очевидний зв'язок між хакерами і російськими чиновниками", — сказав Віктор Жора, директор "Інфосейф", компанії з кібербезпеки, яка першою виявила фальшивий графік. Український урядовий дослідник, що вивчав атаку, Микола Коваль, опублікував свої висновки в книзі 2015 року "Кібервійна в перспективі" та ідентифікував шкідливе ПО Sofacy на сервері. Дзеркало жорсткого диска відправили до ФБР, у яких був цей судовий зразок, коли компанія з кібербезпеки CrowdStrike ідентифікувала те саме шкідливе ПО два роки по тому, на серверах Демократичної партії. "Це був перший удар", — сказав Віктор Жора про злам комп'ютерів виборчої комісії України. Кіберполіція України також надала ФБР копії жорстких дисків сервери, що вказують на можливе походження деяких фішингових листів, націлених на Демократичну партію під час виборів.

Новини за темою

В 2016 році, за два роки після зламу виборів в Україні, хакери, використовуючи ті ж методи, пограбували систему електронної пошти Всесвітнього антидопінгового агентства (ВАДА), яке звинуватило російських спортсменів у систематичному вживанні допінгу. Цей рейд теж, мабуть, був тісно скоординований з російським державним телебаченням, яке почало транслювати добре підготовлені сюжети про вкрадені листи ВАДА всього за кілька хвилин після їх оприлюднення. Листи з'явилися на веб-сайті, який оголосив, що ВАДА було зламано групою, що називає себе "хакерська команда Fancy Bears".

Тоді вперше Fancy Bear дали про себе знати. Однак Fancy Bear напрочуд невловима. Щоб збити слідчих зі сліду, група провела різні перетворення, поповнивши свій арсенал шкідливого ПЗ й іноді ховаючись під різними масками. Одне з їхніх альтер его, на думку кіберекспертів, це "КіберБеркут", група, імовірно створена в Україні прихильниками проросійського президента країни Віктора Януковича, який утік у 2014 році. Після бездіяльності протягом багатьох місяців, "КіберБеркут" знову почав діяти цього літа, коли численні розслідування у Вашингтоні про можливу змову кампанії Трампа з Москвою перейшли на новий рівень. "КіберБеркут" опублікував вкрадені електронні листи, які, як повідомив він сам і російські державні ЗМІ, викрили правду: Гілларі Клінтон змовилася з Україною.

Ендрю Крамер, Ендрю Хіггінс

Переклад ИноСМИ

Редакція може не погоджуватися з думкою автора. Якщо ви хочете написати в рубрику "Думка", ознайомтесь із правилами публікацій і пишіть на blog@112.ua.

відео по темі

Новини за темою

Новини за темою

Новини партнерів

Загрузка...

Віджет партнерів

d="M296.296,512H200.36V256h-64v-88.225l64-0.029l-0.104-51.976C200.256,43.794,219.773,0,304.556,0h70.588v88.242h-44.115 c-33.016,0-34.604,12.328-34.604,35.342l-0.131,44.162h79.346l-9.354,88.225L296.36,256L296.296,512z"/>