Хакеры ЦРУ маскируются под русских

Новые публикации сайта Wikileaks раскрывают тайну групп Fancy Bear и Cozy Bear *


7 марта сайт Wikileaks еще раз попал в заголовки большинства мировых СМИ, когда опубликовал самый крупный за всю свою историю набор документов ЦРУ. Эта масса документов - его первая партия получила кодовое наименование "Сейф № 7" (Vault 7) - в деталях описывает тайную глобальную программу хакерства ЦРУ и его арсенал боевых команд, использующих уязвимости в программном обеспечении и применяемых для проведения атаки на вычислительные системы. Как следует из сообщения Wikileaks, 8 761 новых документов "поступили" из Центра киберразведки (Center for Cyber Intelligence, CCI), находящегося в штаб-квартире ЦРУ, что в г. Лэнгли, штат Вирджиния.

Наибольшее внимание сразу же привлекла способность ЦРУ по инфильтрации и взлому смартфонов, "умных" телевизоров, а также возможность применения ряда кодированных приложений и сообщений. Но в тени остался другой критический аспект, который имеет далеко идущие геополитические последствия.

Как сообщается, группа под кодовым наименованием UMBRAGE, входящая в состав Отдела удаленных разработок (Remote Development Branch, RDB) Центра киберразведки собрала и использовала "обширную библиотеку наступательных приемов „украденных" из вредоносных программ, созданных в других государствах, включая Российскую Федерацию".

Как отмечают в Wikileaks, деятельность группы UMBRAGE и смежных подразделений дает ЦРУ возможность приписать выявленные кибератаки другим, "оставив после себя „отпечатки пальцев" тех самых хакерских групп, у которых эти наступательные программы были украдены".

Иными словами, все изощренные хакерские инструменты ЦРУ имеют "подписи", указывающие на их происхождение в этом агентстве. Но для того, чтобы отвести подозрение от себя и скрыть истинный масштаб тайных киберопераций, ЦРУ привлекает методы работы UMBRAGE, создавая такие "подписи", которые позволяют приписать многочисленные атаки другим группам.

Сайт Wikileaks специально обращает внимание на то, что ЦРУ особо предписывает при проведении кибератак и заражении вредоносными программами принимать меры к тому, чтобы те организации, которые будут вести расследование, не смогли увязать эти атаки с ЦРУ. В документе, озаглавленном "Руководство по методам разведки: что можно и что нельзя делать", хакеров и разработчиков кодов предупреждают "не оставлять в бинарных файлах данных, указывающих на то, что этот бинарный файл/инструмент был использован или создан ЦРУ, властями США или сотрудничающими с ними компаниями". Кроме того, указывается, что "отнесение бинарного файла/инструмента к противнику может оказать необратимое воздействие на прежние, текущие и будущие операции властей США и их организаций".



Вероятнее всего, основным движущим мотивом в использовании Центральным разведывательным управлением группы UMBRAGE является сокрытие следов. Однако события последнего времени указывают на то, что группу UMBRAGE использовали для других, более гнусных и низких целей. После того, как исход президентских выборов в США в 2016 году шокировал многих в американском политическом истэблишменте и в корпоративных СМИ, ЦРУ принялось обвинять Россию в том, что она проводила "тайную разведывательную операцию" с целью оказать содействие Дональду Трампу и предоставить ему преимущества в борьбе с его противником Хиллари Клинтон.

Но и до выборов штаб-квартира Клинтон также обвиняла Россию во взломе электронного почтового ящика шефа избирательной кампании Джона Подесты, а также сотрудников Национального комитета Демократической партии.

В декабре прошлого года директор Национальной разведки Джеймс Клэппер - человек, известный тем, что лгал под присягой о слежке со стороны Агентства национальной безопасности - провел для сенаторов брифинг "за закрытыми дверями", в ходе которого он описывал якобы вскрывшиеся обстоятельства того, как российские власти "осуществляли взломы и иные вторжения" в американские выборы.

По результатам брифинга влиятельный член Комитета по разведке палаты представителей Адам Шифф (демократ от штата Калифорния), заявил: "После многочисленных брифингов со стороны нашего разведывательного сообщества мне стало ясно, что русские взломали наши демократические институты и стремились вмешаться в наши выборы и посеять раздор".

По странному совпадению утверждения разведывательного сообщества США о применении Россией кибератак для вмешательства в выборы увели внимание общественности в сторону от сообщений о том, что на самом деле власти США предпринимали попытки по взлому в избирательные системы целого ряда штатов. Например, штат Джорджия сообщал о многочисленных попытках взлома избирательной системы, большая часть которых, как это было отслежено, исходила от Департамента внутренней безопасности США.

Сейчас же, когда было доказано, что ЦРУ не только имело возможность, но и ясно выражало намерение заменять "отпечатки пальцев" в проводимых им кибератаках на "отпечатки пальцев" другой страны, достоверность утверждений ЦРУ о том, что Россия, якобы, "взламывала" выборы в США - или, вообще, делала что-либо еще - вызывает серьезные подозрения. В настоящий момент нет никакого способа, чтобы определить обоснованность "свидетельств" ЦРУ о взломе Россией американской инфраструктуры, поскольку на самом деле эти атаки вполне могли быть "операцией под чужим флагом".

А поскольку обвинения о кибератаках в адрес российских властей совпали с периодом наихудших отношений между Россией и США, то, кажется, по-прежнему продолжается длительная история использования Центральным разведывательным управлением тайных операций для обоснования враждебных действий против иностранных государств.

Уитни Уэбб - журналистка независимого агентства MintPress News.

Публикуется с разрешения издателя

Перевод Сергея Духанова.

* Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear. Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа "Advanced Persistent Threat 28" (APT28), члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash. Документ со ссылкой на оперативные данные называет основой группы "государственного спонсора в Москве".

В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса. Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как "государственный шпионаж"