Как страшилка про «русских хакеров» довела НАТО до разговоров об апокалиптичном интернет-вирусе

03.03.2017

Сегодня, 3 марта, стало известно про новейшую технологию НАТО, которая призвана спасти альянс от нового компьютерного вируса, которым якобы обладает Россия. Об этом пишет британское издание Daily Star.

Откуда появилась американская страшилка про российских хакеров?

По данным издания, система CIICS (The Cyber Information and Incident Coordination System) способна отслеживать кибератаки и выявлять потенциальные угрозы. Издание утверждает, что новая разработка НАТО появилась в качестве ответа на новый компьютерный вирус, который «является настолько мощным, что может привести к концу света». При этом, по мнению издания, этим вирусом якобы обладает Россия.


Напомним, что США неоднократно заявляли о причастности «российских хакеров» к взлому сервера Демократической партии во время выборов президента страны. Свое развитие американская страшилка о «русских хакерах» берет от публикации отчета американских спецслужб «О российской вредоносной киберактивности», также известный под названием «Grizzly Steppe». В отчете говорится о том, что с 2015 по 2016 год две хакерские группировки APT28 и APT29 заражали одни и те же сетевые ресурсы Демократической партии США вредоносным программным обеспечением. Для этого направленно применялась социальная инженерия.

Авторы доклада называют группировки «имеющими связь с Российской Федерацией», но это заявление противоречиво, так как уже сообщалось о том, что Москва проводит «скоординированную вредоносную кампанию» силами объединенных гражданских и государственных структур. То есть, авторы доклада, очевидно, сами даже не в состоянии определить каким образом Москва может иметь отношение к кибератакам.


Российские власти неоднократно отрицали данные голословные обвинения. В частности позиция Кремля была выражена словами пресс-секретаря президента России Дмитрия Пескова. Официальный представитель Кремля четко заявил, что доклад о российских кибератаках на США подготовлен непрофессионально и не содержит доказательств вмешательства Кремля в выборы американского президента.

После отчета «Grizzly Steppe» о проведенном по указу президента Барака Обамы расследовании появился сводный доклад разведслужб – «Оценка российских действий и намерений в ходе недавних выборов в США», над формулировками которого даже посмеялись в WikiLeaks.

«Доклад правительства США о «российских хакерских взломах» содержит интересную оговорку о том, что он базируется на просмотре телевидения и чтении Twitter», — отмечает организация WikiLeaks на своей странице в соцсети.


В докладе четко и открыто сообщается о том, что именно Владимир Путин стал якобы вдохновителем кампании. Отметим, что в качестве доказательства данного тезиса американские специалисты называют факт прекращения критики со стороны российских официальных лиц системы выборов в США после избрания Трампа. Это смешно.

Смех не смогли сдержать представители российских и западных экспертных сообществ. РИА «Регионам Online» удалось получить информацию от специалистов, которые считают, что автором отчета американских спецслужб «Grizzly Steppe», является скорее всего частная компания «Crowdstrike». Эксперты полагают, что отчет «Grizzly Steppe» основан на расследовании инцидента, проведенном связанной с ФБР США частной компанией «Crowdstrike», и ранее публиковавшей обвинения в адрес России. Примечательно также и то, что гендиректор компании Альперович является ведущим сотрудником «Атлантического совета», известного антироссийскими настроениями. Данную организацию финансирует Госдеп США, структуры НАТО, правительство Латвии, «Украинский всемирный конгресс» и другие.


В интервью Си-Эн-Эн Вольф Блитцер и Дмитрий Альперович, чья фирма «Crowdstrike», по мнению экспертов и запустила миф о влиянии “российских хакеров” на выборы в США, как раз и рассказывали, как их фирма якобы успешно ловит участников кибергрупп, связанных с российскими спецслужбами

Примечательно, что 10 января 2017 года на заседании Специального комитета Сената США по разведке директор ФБР Джеймс Коми заявил, что его ведомство не обладало доступом к серверам и другим устройствам Демпартии в ходе расследования инцидента, связанного с кибератаками во время президентских выборов в США. Следовательно, опираться оно могло только на данные предыдущих отчетов.

Концы в воду или явные несостыковки в легенде

Специалисты объяснили РИА «Регионы Online» о явных несостыковках в содержании отчета «Grizzly Steppe». В докладе сообщается о применении веб-шелла «PAS» для доступа к ресурсам демпартии. Его называют «российским», но известен он с 2011 года, и, более того, он присутствует в открытом доступе. Например, на ресурсе github.com. Об уникальности использования и речи быть не может, так же, как и о какой-либо конкретной группировке, применившей именно этот скрипт.

Стоит отметить, что авторство скрипта приписывают Ярославу Панченко, 25-летнему студенту Полтавского национального технического университета Украины имени Юрия Кондратюка. К такому заключению пришел бывший сотрудник компании Nokia Петри Крохн. В настоящее время профиль Панченко удален со страницы сайта университета.

Установлена географическая принадлежность управляющих центров распространения вредоносного ПО – всего 213. Из них 54 находились в Северной Америке, 72 в Европе, 70 в Азии, 2 в Африке, 2 в Южной Америке, а местоположение 13 идентифицировать не удалось.

Анализ контрольных сумм вредоносных файлов показал, что они относятся к различным семействам вредоносного ПО, широко используемого злоумышленниками.


Backdoor.Win32.Miniduke

Программа для кибершпионажа в госструктурах по всему миру. О ней стало известно в 2013 году. Применялась при атаках на государственные учреждения Бельгии, Венгрии, Ирландии, Португалии, Румынии, США, Украины и Чехии. Зафиксировано «Лабораторией Касперского», «Symantec», «F-Secure» и другими компаниями, работающими на рынке информационной безопасности.

Trojan-PSW.Win32.Fareit

Вредоносную программу впервые выявили в 2014 году. Использовалась злоумышленниками для краж персональных данных и загрузки дополнительных вредоносных программ. Основные страны, пострадавшие от атак с применением Trojan-PSW.Win32.Fareit, – Россия, Германия, Индия, ОАЭ и США. В числе прочих, программа была выявлена и компанией «Microsoft».

Backdoor.PHP.Agent.aax

Применение вредоносной программы выявили в 2012 году. Используется злоумышленниками для заражения систем управления контентом (CMS) «Joomla!» для перенаправления на сторонние ресурсы.

В отчете приведен перечень из 876 IP-адресов. Однако при проверке удалось выяснить, что только 77 из них зарегистрированы на территории РФ. Кроме того, 31 адрес включен в черные списки, опубликованные в открытом доступе. Причем, местоположение указано только в 25% случаев, в 44% речь идет об узлах-входах в анонимную сеть «Tor».

Кстати, в перечне «альтернативных названий российских государственных и гражданских структур» присутствуют наименования вредоносного ПО (например, «Havex» и «BlackEnergy v3»), а также некоторые функции «PowerShell Backdoor» и исполняемого файла «VmUpgradeHelper.exe». Многие другие названия указанных хакерских группировок являются синонимами: например, «APT28», «Sofacy» и «SEDNIT» – одна и та же группа.

Невозможно определить авторство кибератак на ресурсы Демпартии США

Эксперты считают, что опубликованная техническая часть американского доклада говорит о невозможности определить авторство кибератак на ресурсы Демократической партии США. В документе отсутствуют сведения о новых методах взлома, а также об использовании «уязвимостей нулевого дня» (0day).


На заседании Специального комитета Сената США по разведке директор ФБР Джеймс Коми заявил, что его ведомство не обладало доступом к серверам и другим устройствам Демпартии

Термин «уязвимость нулевого дня» произошел от обстоятельства, когда уязвимость или атака становится публично известной до момента выпуска производителем программного обеспечения исправлений ошибки. Такие уязвимости влекут за собой появление новых способов распространения вредоносного ПО, что и используют злоумышленники. На данный момент самой известной вредоносной программой, использовавшей в сумме 4 уникальных уязвимости, считают червь «Stuxnet».

В итоге можно сказать, что все заявления Вашингтона о «русских хакерах» не имеют доказательств, не обоснованы и логически противоречивы. Эксперты считают, что опубликованные технические детали свидетельствуют о низком уровне защиты ресурсов Демократической партии, взломать которую труда большого не составит. В день выборов взломы сервера Демократической партии были осуществлены несвязанными друг с другом хакерскими группировками, использующими свободно гуляющими по сети вредоносными программами. Поэтому всякие заявления о том, что якобы Владимир Путин распорядился взломать сервер Демократической партии – политическое очернительство, американская пропаганда, черные пиар технологии, страшилки для американцев и мирового сообщества… можно как угодно назвать, но смысл один – это вымысел, так как до сих пор не предоставлено никаких конкретных доказательств.

Ксения Ширяева