The New York Times | 17 августа 2017 г.
На Украине есть специалист по вредоносному ПО, который может разоблачить действия российских хакеров
Эндрю Э. Крамер и Эндрю Хиггинс
В январе хакер, известный только под своей онлайн-кличкой Profexer, внезапно прекратил общение даже на сайтах, где его записи были доступны только узкому кругу хакеров и киберпреступников, пишут журналисты The New York Times Эндрю Э. Крамер и Эндрю Хиггинс.
Несколькими днями ранее американские разведслужбы публично заявили, что написанная этим хакером программа была одним из инструментов российских хакеров при атаках, связанных с президентскими выборами в США.
По утверждениям украинской полиции, Profexer "в начале года пришел с повинной, а теперь стал свидетелем для ФБР", продолжают авторы.
"Украинская полиция отказалась предать огласке имя этого мужчины и другие подробности, сообщив лишь, что он живет на Украине и что его не брали под арест. Нет доказательств того, что Profexer работал - по крайней мере, намеренно - на российские спецслужбы, но его вредоносное ПО, по-видимому, на них поработало", - сообщают авторы.
По мнению издания, эти сведения проливают свет на образ действий российских спецслужб: "наводят на мысль, что действует не ограниченная группа госслужащих, которые сами пишут для себя код и наносят атаки в часы, когда в Москве или Петербурге рабочее время, а гораздо более рыхлая структура, привлекающая таланты и хакерские инструменты отовсюду, где их только можно найти".
По словам авторов, доказательства, поступившие с Украины, рисуют более четкий портрет Advanced Persistent Threat 28 (она же Fancy Bear), которую США считают хакерской группировкой российского правительства. "Вместо того чтобы обучать, вооружать и развертывать хакеров для выполнения конкретных заданий - так, как делают другие военные части, - Fancy Bear и ее близнец Cozy Bear функционировали скорее как центры организационной работы и финансирования; трудная работа вроде написания кода во многом отдается на аутсорсинг частным поставщикам, часто замешанным в преступлениях", - полагает издание.
По словам авторов, более чем за 10 лет отслеживания кибератак, которыми предположительно руководила Россия, спецслужбы разных стран мира идентифицировали лишь горстку лиц, прямо причастных к этим атакам или предоставивших кибервооружения для них.
"Это отсутствие надежных свидетелей дает большой простор для того, чтобы президент Трамп и другие выражали сомнения в причастности Россия к взлому Национального комитета Демократической партии (DNC)", - пишут авторы.
В поисках очевидцев специалисты по кибербезопасности и западные правоохранительные органы обратили свой взгляд на Украину. "Эту страну Россия много лет использовала в качестве лаборатории для широкого спектра политизированных операций, которые позднее всплывали в других странах; в их числе - и хакерские атаки, связанные с выборами в США", - утверждает издание.
"Специалисты по безопасности вначале были озадачены, когда 29 декабря министерство внутренней безопасности США опубликовало технические доказательства российских хакерских атак, которые указывали, казалось, не на Россию, а скорее на Украину", - пишут авторы. В том докладе был обнародован только один пример вредоносного ПО.
"Образчик указывал на вредоносное ПО - веб-шелл P.A.S., хакерский инструмент, рекламируемый на русскоязычных форумах в "темной сети" и применяемый киберпреступниками на всей территории бывшего СССР. Его автор, Profexer, - авторитетный в хакерской среде технический эксперт, в Киеве о нем говорят с благоговением и уважением", - говорится в статье.
"Остается неясным, насколько широко он взаимодействовал с командой российских хакеров", - пишет издание.
"Руководитель киберполиции Украины Сергей Демедюк сказал в интервью, что Profexer сам обратился в органы власти. Когда началось сотрудничество, Profexer перестал подавать о себе вести на хакерских форумах. В последний раз он сделал запись в интернете 9 января. Демедюк сказал, что предоставил ФБР доступ к этому свидетелю. ФБР разместило в Киеве специалиста по кибербезопасности, работающего на полную ставку, это один из четырех агентов ФБР, работающих в посольстве США в этом городе", - пишет издание.
"Как говорят украинские полицейские, Profexer не арестован, так как его деятельность относится к "серой зоне", не охваченной законом: он автор, но не пользователь вредоносного ПО. Но он знал пользователей - по крайней мере, по их интернет-кличкам", - пишет издание.
"Неясно, использовалось ли конкретное ПО, созданное этим программистом, для взлома серверов DNC, но оно было выявлено при других попытках российских хакерских атак в США", - пишут авторы.
Издание утверждает, что выявить "берлогу" Fancy Bear не удалось даже компании "Майкрософт". "Однако украинские официальные лица, несмотря на опасения раздосадовать администрацию Трампа, тихо сотрудничают с американскими следователями, пытаясь докопаться, кто стоит за всеми масками", - пишут авторы.
По данным издания, американской стороне были предоставлены "копии жестких дисков серверов ЦИК Украины, которые подверглись атаке во время президентских выборов в мае 2014 года". По данным издания, при этой атаке и при взломе DNC в США зафиксированы следы вредоносной программы Sofacy.
"Украинская киберполиция также предоставила ФБР копии жестких дисков серверов, указывающих на возможное происхождение некоторых фишинговых электронных писем, с помощью которых Демократическая партия была атакована во время выборов", - говорится в статье. По словам авторов, в 2016 году хакеры, применившие ряд тех же методов, похитили электронную переписку Всемирного антидопингового агентства (WADA). Переписка была выложена на сайте, где объявлялось, что компьютеры WADA взломала некая "Fancy Bears' Hack Team".
Обратная связь: редакция / отдел рекламы
Подписка на новости (RSS)
Информация об ограничениях