истории

Досье на Трампа украл «Феликс Эдмундович» В истории с похищением документов у американских демократов обнаружен российский след

Meduza
13:57, 20 июня 2016

Штаб-квартира Национального комитета Демократической партии США

Фото: Alex Brandon / AP / Scanpix / LETA

Национальный комитет Демократической партии США подвергся хакерской атаке, в результате которой были похищены документы, в том числе досье на одного из главных политических оппонентов демократов — предпринимателя и республиканца Дональда Трампа. Компания CrowdStrike, занимавшаяся расследованием, пришла к выводу, что атаку организовали российские хакеры, предположительно, связанные со спецслужбами. Кремль отверг причастность властей ко взлому. «Медуза» рассказывает о «российском следе» в истории с атакой на американских демократов. 

О взломе демократов стало известно 15 июня 2016 года. Издание Gawker почти сразу опубликовало украденное досье на Дональда Трампа. В более чем 200-страничном документе, основанном на открытых источниках, говорилось, что Трамп — плохой бизнесмен и женоненавистник, не имеющий представлений о нуждах простых американцев. «Грязи» в докладе почти не было. 

После публикации на Gawker документы были выложены на только что созданном сайте guccifer2.wordpress.com. Взломщик утверждал, что действовал в одиночку. 

Компания CrowdStrike с разрешения Демократической партии подробно рассказала об атаке. Как выяснили специалисты по безопасности, за взломом стоят две группы: одна называется Cozy Bear, другая — Fancy Bear. Обе были неоднократно замечены в участии в промышленном, политическом и военном шпионаже; в особенности в тех областях, которыми интересуется Главное разведывательное управление. Fancy Bear приписывали атаку на немецкий бундестаг и французский телеканал TV5 Monde в 2015 году. 

Группа Cozy Bear проникла в систему Национального комитета демократов летом 2015 года, Fancy Bear — только в апреле 2016-го. Специалисты по безопасности отмечают, что они действовали параллельно и разными методами: CrowdStrike не удалось найти следов взаимодействия хакеров. В компании рассказывают, что хакеры пользовались очень продвинутым программным обеспечением; его можно гибко настраивать уже внутри атакуемой системы в зависимости от установленных мер защиты. 

Технический директор CrowdStrike Дмитрий Альперович отмечает, что параллельная работа двух групп хакеров неудивительна, поскольку одновременно над взломом могли работать «разные российские ведомства». Он ссылается на доклад Европейского совета по международным отношениям, где говорится о напряженных отношениях между ГРУ и ФСБ. 

Издание Arstechnica обратило внимание на несколько следов, которые могут указывать на то, что за взломом действительно стоят россияне. 

В метаданных одного из документов говорится, что последним его редактировал «Феликс Эдмундович». Автор указан кириллическими символами. 

В другом документе (.pdf), опубликованном на Gawker, вместо гиперссылки выводится ошибка на русском: «Ошибка! Недопустимый объект гиперссылки». В том же документе в формате .doc на guccifer2.wordpress.com (где были выложены документы, украденные у демократов) та же ошибка выдается на английском. Arstechnica предполагает, что русская ошибка выскочила при конвертации.doc в.pdf. Кроме того, в посте на guccifer2.wordpress.com используется тройная скобка в виде смайлика — такие смайлики приняты в Восточной Европе.

И еще одна деталь. Как выяснилось, для создания как минимум одного документа использовался взломанный Microsoft Word. На это указывает то, что в поле «Компания» отображается Grizli777. Эта версия взломанной программы популярна в России и Румынии

Владимир Цыбульский