Майкл Айзикофф - Путин и Трамп. Как Путин заставил себя слушать

Чуть раньше в том же году кибербойцы США перехватили список из примерно тридцати правительственных агентств США, научно-исследовательских центров и нескольких политических организаций, которые должны были подвергнуться кибератакам со стороны команды хакеров, известной как APT-29. АРТ на техножаргоне означало «развитая устойчивая угроза», изощренный набор внешних агентов, которые проникают в сети, внедряют вирусы, извлекают данные в течение продолжительного периода времени.

АРТ-29 была самой целеустремленной среди всех подобных групп. Подозревали, что они связаны с российскими разведслужбами, вероятнее всего – со службой внешней разведки; что они стояли за взломом сетей Белого дома и Госдепартамента в конце 2014 года. А незадолго до этого они внедрились в сеть Объединенного комитета начальников штабов США.

Службам иностранной разведки и раньше случалось атаковать компьютеры политических партий США. Кибердозорные ФБР не сомневались, что и дня не проходило без серии кибератак. Компьютерные сети крупных компаний, учреждений и правительственных агентств постоянно подвергались риску взлома. В 2008 году ФБР разоблачило хакеров, работавших на китайское правительство, которые внедрились в предвыборные кампании Барака Обамы и Джона Маккейна. Белый дом был вынужден предупредить обоих о том, что их внутренние базы данных взломаны. В июне 2015 китайцы предприняли массированную атаку на Управление кадровой службы и увели персональные данные примерно 21 миллиона человек. В ноябре предыдущего года хакеры, предположительно связанные с северокорейским правительством, совершили набег на Sony Pictures. (Конечно, и Соединенные Штаты предпринимали свои собственные кибероперации. В 2010 году Обама приказал АНБ провести кибератаку на иранскую ядерную программу, атака разрушила около тысячи центрифуг, использовавшихся для обогащения урана, – эта операция отбросила иранскую ядерную программу назад и, как это виделось официальным лицам в США, позволила избежать военного удара со стороны Израиля.)

Перечень целей АРТ-29 был свежим доказательством того, что российская киберугроза постоянна и растет. Это было еще одним ключевым признаком: Москва планирует ту самую информационную войну, о которой около года назад говорил своему американскому знакомому российский источник. Кое-кто в киберслужбе ФБР считал это событие не сулящим ничего доброго – особенно если присовокупить другие разведданные о замыслах русских. «Мы видим, что русские к чему-то готовят своих парней, – сказал один киберагент ФБР, просматривавший разведывательные сводки. – Выглядит, как если бы они проснулись утром и цепляют на себя оружие. Они активируют инфраструктуру по всему миру».

Хокинсу, как человеку усердному, имевшему привычку документировать каждый телефонный звонок и каждую встречу, было поручено предупредить некоторые мишени. Одной из них в его списке и был DNC.

Самый первый контакт Хокинса с DNC, однако, стал первым в целой серии проваленных контактов и случаев недопонимания между ФБР и партией; все это привело к раздражению, злобным обвинениям и, что было гораздо важнее, – к утрате возможности расстроить российскую атаку на выборы. Со временем возникло огромное количество вопросов. Насколько настойчиво пыталось ФБР предупредить DNC о том, что их компьютеры подверглись нападению со стороны иностранного государства? Почему Бюро не попыталось поднять этот вопрос перед руководством DNC? И почему айтишники DNC – Тамин и его коллеги – не приняли предостережения ФБР более серьезно и не сообщили об этом руководству?

В том первом телефонном разговоре Тамин, которому показалось, что Хокинс слишком шифровался и не был настроен на общение, постарался не дать агенту никакой конкретной информации о сети DNC. Хокинс велел Тамину искать вирус The Dukes (что было на самом деле названием группы хакеров). Агент попросил, чтобы Тамин не обсуждал возможную кибератаку или этот разговор, используя телефоны или сети DNC. Тамин пообещал, но по-прежнему думал, не фейковый ли это звонок. Хокинс не упоминал Россию или иное иностранное государство.

Тамина не встревожило это туманное предупреждение. Он быстренько поискал в сети информацию о The Dukes – фирма по кибербезопасности Symantec недавно обвиняла их в связи с резонансными кибератаками из России. Он также сделал беглую проверку лог-файлов системы DNC в поисках каких-нибудь следов атаки вируса на сеть своего клиента. Ничего не нашел. Рассказал о телефонном звонке Эндрю Брауну, директору по технологии, и отчитался, что не видит никаких доказательств взлома сетей.

Казалось бы, дело сделано.

В октябре Хокинс несколько раз снова звонил Тамину и оставлял голосовые сообщения. Тамин их проигнорировал. «Я не отвечал на его звонки, потому что мне нечего было сказать», – написал он о своих контактах с агентом ФБР в объяснительной.

Хокинс не сдавался. В ноябре он снова позвонил. На этот раз Тамин ответил и сообщил агенту ФБР, что он не нашел в сетях DNC ничего такого, что могло бы подкрепить утверждения Хокинса.

Тогда Хокинс сообщил новые сведения: как минимум один компьютер в сети Комитета был заражен и «звонил домой» в Россию – обращался к IP-адресу в этой стране. А это, подчеркнул Хокинс, может быть признаком кибератаки на сети DNC, причем спонсированной государством. Он попросил Тамина посмотреть, нет ли каких-нибудь признаков такого IP-адреса в журналах межсетевого экрана.

И тут Тамин задумался. Он пообещал поискать IP-адрес и рассказал о звонке Брауну. Ему стало интересно, не пропустил ли он в своих проверках какого-нибудь признака взлома. Он снова провел тесты и не обнаружил ничего, что могло бы помешать обнаружению следов кибервторжения.

В январе 2016 года, когда DNC был целиком поглощен полным раздоров соперничеством на первичных выборах, где Хиллари Клинтон натравливали на Берни Сандерса, Хокинс снова позвонил Тамину. Он попросил о личной встрече. Несколько дней спустя Тамин с двумя коллегами приехали в офис ФБР в Ашберне, штат Вирджиния – маленьком городке в тридцати милях от Вашингтона. Хокинс встретил их, показал свой значок агента ФБР, раздал всем свои визитки. Это окончательно убедило Тамина и его коллег в том, что никакого подвоха в этой истории не было.

Хокинс передал айтишникам журнал регистрации трафика с одного IP-адреса в DNC на некий скрытый адрес. Журнал доказывал, что сеть демократов взломали и один из их компьютеров действительно «звонил домой» на этот скрытый адрес. Хокинс попросил Тамина и других, в случае если они смогут обнаружить эту несанкционированную деятельность в своей сети, не пресекать ее. Они могли предпринять любые необходимые шаги для того, чтобы уменьшить риск внедрения, сказал Хокинс, но им не следовало обнаруживать себя. (Такова была стандартная практика идентификации противника в сетях.)

И еще раз Тамин и его коллеги стали просматривать информацию, ища признаки проникновения в их сеть. Но в сетевых журналах не было трафика, обозначенного в документе, с которым их познакомил Хокинс. Неужели хакеры каким-то образом обманули их систему, чтобы скрыть свои следы?

В середине февраля Хокинс прислал Тамину письмо по электронной почте (на адрес Тамина в другой сети, не в сети DNC), в котором сообщил ему конкретный IP-адрес пункта назначения, который надо было искать в журналах. То есть это был адрес «дома», к которому обращался зараженный компьютер. Впервые агент ФБР делился столь значимой информацией. Но, даже зная этот адрес, Тамин и его команда не смогли обнаружить никаких данных в подтверждение взлома. К концу месяца Хокинс прислал еще одно письмо Тамину: его коллеги из кибербезопасности по-прежнему видели активность, подтверждающую факт проникновения в сеть DNC. Тамин ответил, что его команда постоянно мониторит сеть, но ничего нового не обнаружено.

С момента первого контакта Хокинса и Тамина прошло уже пять месяцев. В случае, о котором идет речь, используемый вредоносный код был связан с Россией. Однако удивительным образом никто не рассматривал потенциальную угрозу взлома как проблему насущную, требующую немедленной реакции. В сети Комитета демократов бушевал киберпожар, а воя пожарных сирен не слышали.

В субботу, 19 марта 2016 года, в 4:34 утра Джон Подеста, председатель предвыборной кампании Хиллари Клинтон, получил электронное письмо, которое на первый взгляд казалось отправленным службой поддержки Google. Речь шла о персональном аккаунте Подесты на Gmail.

«Привет, Джон! Кто-то только что воспользовался твоим паролем для того, чтобы попытаться войти в твой Google-аккаунт», – говорилось в письме от «команды Google». Дальше отмечалось, что попытка проникновения была совершена с IP-адреса в Украине. И далее: «Google прервал попытку входа. Ты должен немедленно сменить пароль». Команда Google предусмотрительно дала ссылку, перейдя по которой, Подеста смог бы сменить пароль, как ему было рекомендовано.