"Восстановление было небыстрым": как военным США удалось взломать "фабрику троллей"

  • 27 февраля 2019
а
Image caption Накануне промежуточных выборов в США в интернете появилось заявление от лица "фабрики троллей". Президент США Дональд Трамп (на фото) мог лично согласовать операцию против американского отдела этой организации

Для атаки на американский отдел прокремлевской "фабрики троллей" военные США могли воспользоваться "бэкдором" ("черным ходом") в операционной системе Windows. Такую версию высказал Би-би-си источник, близкий к американскому отделу "фабрики", также известной как "Агентство интернет-исследований" (АИИ).

О спецоперации кибернетического командования США против "фабрики троллей" стало известно 26 февраля из публикации американского издания Washington Post. В США "фабрику" обвиняют в попытках вмешательства в ход президентских выборов 2016 года через сеть фальшивых аккаунтов - преимущественно в "Фейсбуке" и "Твиттере".

Бизнесмен и "повар Путина" Евгений Пригожин, против которого в США введены персональные санкции из-за возможного финансирования "фабрики", отказался комментировать этот вопрос The Washington Post. Ранее он заявлял, что не имеет к этой организации никакого отношения.

Пресс-секретарь президента России Дмитрий Песков сказал журналистам, что не исключает возможность такой кибератаки. "Это данность, в которой мы живем. Я не говорю, кто может стоять за этим, но огромное количество атак организуется на постоянной основе. Это мы подтверждаем", - заявил Песков.

Кибератака произошла 5 ноября 2018 года, накануне промежуточных выборов в США, подтвердил Би-би-си источник, близкий к американскому отделу "фабрики". Он назвал и приблизительное время инцидента - 22-23 часа. В штате Мэриленд, где расположено киберкомандование США, в этот момент было 14-15 часов.

По словам источника, американцы использовали "бэкдоры", которые оставлены в их операционных системах для получения полного доступа ко всему".

Восстановление было "не быстрым, но это был всего лишь один из офисов, так что это было не так критично", - отметил источник. По его словам, после кибератаки сервера американского отдела перевели под управление Linux. В отличие от Windows, это операционная система с открытым кодом, что уменьшает вероятность подобных вторжений.

Тактика "прямых обращений"

Помимо удаления данных с серверов, военным США удалось отключить американский отдел "фабрики" от интернета на срок от нескольких часов до нескольких дней, сообщил американский канал NBC, но этим наступательная операция не ограничилась.

Источники газеты New York Times в киберкомандовании США ранее рассказали о тактике "прямых обращений" к сотрудникам "фабрики", а также к хакерам из Главного разведывательного управления минобороны России (ГРУ). По данным издания, с помощью электронных писем, текстовых сообщений и всплывающих окон в браузерах американцы с октября 2018 года могли предупреждать россиян, что их настоящие имена и другие персональные данные известны.

Image caption Не позднее осени 2017 года часть медиаресуров "фабрики троллей" перебралась в бизнес-центр "Лахта-2" в петербургском районе Старая Деревня. Местоположение американского отдела доподлинно не известно

О похожей акции устрашения рассказывал близкий к структурам Евгения Пригожина сайт РИА ФАН. Сотрудники издания якобы получали имейлы с электронных адресов на "Яндексе" и Rambler c призывом "позаботиться о внутренних проблемах, прежде чем пытаться исправить мир". Также издание рассказало о похожих SMS-рассылках.

В новой публикации РИА ФАН также заявило, что целью последней кибератаки было именно оно.

"Власти США и персонал US Cyber Command показали свою некомпетентность - используя все возможности Агентства национальной безопасности США, о которых рассказывал еще Сноуден, они атакуют законопослушные легальные российские СМИ, ФАН и USAReally", - заявил руководитель проекта ФАН Евгений Зубарев.

Похожие кибератаки

В октябре 2018 года власти Нидерландов сообщили, что предотвратили кибератаку на Организацию по запрещению химического оружия (ОЗХО), при этом злоумышленники - как предполагают спецслужбы Нидерландов, сотрудники ГРУ - пытались подключиться к серверам непосредственно из-под стен штаб-квартиры ОЗХО.

Однако для кибератаки на "фабрику троллей" в формате, который описал источник Би-би-си, присутствие хакера рядом с объектом необязательно - ее можно осуществить из любой точки мира, полагает технический директор ООО "ТСС" Илья Шарапов.

"Учитывая, что сетевое оборудование почти на 100% производится за рубежом и мы не знаем все возможные уязвимости и "бэкдоры", оставленные в устройствах случайно или намеренно, любая группа лиц, обладающая этими знаниями, способна осуществить взлом. Узлы, через которые осуществляется доступ в глобальную сеть, имеют публичные адреса. Доступ к этим адресам можно осуществить из любой точки мира, поэтому взломать АИИ можно было откуда угодно - от Аляски до Патагонии", - отметил эксперт.

Правообладатель иллюстрации SAUL LOEB/Getty Images
Image caption В кибернетическом командовании США заявляли, что их главная цель - запрещенная в России и других странах организация "Исламское государство", однако эта мишень не единственная

В пользу того, что за кибератакой стоят именно военные, говорит то, что частным структурам нечем поживиться на серверах "фабрики троллей", считает гендиректор "Лаборатории цифровой форензики" Александр Мамаев.

"Подобную операцию могла организовать любая технически подготовленная группа специалистов. Традиционный портрет хакеров давно изменился, и впору говорить о существовании мощной теневой экономики, в которой заняты очень квалифицированные специалисты, не уступающие по уровню сотрудникам крупнейших ИБ-компаний. Но вряд ли за атакой на "Агентство интернет-исследований" стоят частные группировки: неясен мотив, а главный мотив любой хакерской группы - это прибыль", - утверждает эксперт.

Одной из самых громких наступательных киберопераций США считается Stuxnet. По данным New York Times, так назывался компьютерный червь, с помощью которого американским и израильским спецслужбам в конце 2000-х годов удалось на время остановить иранскую ядерную программу.

Впрочем, масштабы этих кибератак несравнимы, считает основатель и гендиректор международной компании Group-IB Илья Сачков. По его словам, кибератака на АИИ - это "несложная операция, ни в какое сравнение не идущая с кибератакой уровня Stuxnet, когда доступ был получен в изолированные от интернета сегменты сети и нарушен производственный процесс, что было крайне сложно".

Похожие темы

Новости по теме