' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
Теория псевдозаговора. Как хакеры сфабриковали «слив», дискредитирующий Навального и СМИ
Исследователи некоммерческой организации Citizen Lab, которую поддерживает газета Financial Times, опубликовала отчет, согласно которому в прошлом году хакеры сфальсифицировали электронные письма бывшего консультанта «Радио Свобода» Дэвида Сэттера и опубликовали их, создав представление, будто Алексей Навальный, а также ряд СМИ, включая Дождь, получали американские деньги за дискредитацию ближайшего окружения Владимира Путина. Дождь выбрал главное из отчета Citizen Lab.
Кто такой Дэвид Сэттер и что было у него в почте
Американец Дэвид Сэттер работал в московском бюро «Радио Свобода» с сентября по декабрь 2013 года, пока его не выслали из России. По словам Сэттера, в МИД ему зачитали постановление, согласно которому «компетентные органы» признали его присутствие в стране нежелательным. Он связал это с решением российских спецслужб, а МИД РФ — с нарушением миграционного законодательства; западные СМИ связали отказ на въезд с тем, что Сэттер в своей книге «Тьма на рассвете» обвинил российские спецслужбы в подрыве жилых домов в Москве, Буйнакске и Волгодонске в 1999 году, объяснив это стремлением «сплотить» россиян вокруг нового президента Владимира Путина.
В 2016 году Сэттер стал жертвой фишинговой атаки. Все электронные письма с его почты были украдены, и среди них был отчет, который Сэттер направил в Национальный фонд поддержки демократии (NED) и в котором рассказывалось о расследованиях «Радио Свобода». Отчет был опубликован в блоге хакерской группы «КиберБеркут» (CyberBerkut), причем перед публикацией хакеры добавили в него вставки из расследований Алексея Навального, публикаций российских СМИ, а также собственную — и недостоверную — информацию.
Правда и вымысел в слитой «переписке» Сэттера
О том, что перед публикацией доклада хакеры добавили в него информацию «от себя», исследователи выяснили, получив и изучив оригинальные письма Сэттера. Эти выставки создавали представление, будто Навальный и некоторые российские СМИ получали деньги из США за дискредитацию близких соратников президента России Владимира Путина. Для этого они изменили текст письма Сэттера, чтобы он выглядел как отчет о большом проекте информационной войны против российских властей. В доклад Сэттера, в частности, добавили публикацию Дождя («У тезки бывшего охранника Путина нашли квартиру стоимостью более полумиллиарда рублей») и интернет-издания Slon (в настоящее время Republic, «Журналисты обнаружили аналоги кооператива „Озеро“ во всей центральной России»).
При этом один из материалов, который добавили в доклад Сэттера, был опубликован уже после слива, — статья журналистки Елены Виноградовой о бизнесе в Подмосковье, с которым связаны российские чиновники и предприниматели, близкие к Путину. Она была опубликована в «Ведомостях» 24−25 октября 2016 года, а публикация в блоге CyberBerkut появилась 22 октября, то есть до публикации в газете. Citizen Lab делает вывод, что эта информация могла стать известна хакерам, если они имели доступ к данным разведки.
Кого еще пытались атаковать хакеры
Фишинговые атаки проводились с помощью сервиса Tiny. cc, сокращающего ссылки. Исследователи вычислили другие ссылки, сгенерированные сервером и, вероятно, созданные теми же хакерами, которые взломали почту Сэттера. Они собрали примеры более 200 атак на жителей 39 стран. Оказалось, что те, кого хакеры пытались атаковать, могут быть связаны с интересами российских властей.
Исследователи выяснили IP-адрес хакеров, которые взломали почту Сэттера, и обнаружили, что он идентичен тому, который пытался организовать атаку на исследовательскую группу Bellingcat, занимающуюся расследованием падения Boeing «Малайзийских авиалиний» над Донецком. Они также пришли к выводу, что хакеры пытались взломать бывшего премьер-министра России; имя его Citizen Lab не называет.
Цели для атаки хакеры выбирали также в странах и районах, где российское правительство имеет экономические и стратегические интересы, например в СНГ. Одной из крупнейших целей хакеров являются высокопоставленные военные и чиновники на Украине. Атаки также коснулись чиновников ООН, политиков из Афганистана, Армении, Австрии, Словении, Судана, Таиланда, Турции, Узбекистана, Вьетнама и военных из Пакистана, Грузии, Саудовской Аравии.
Как удалось отследить хакеров по ссылкам
Алгоритм, по которому Tiny. cc сокращает ссылки, генерирует для нового URL короткие коды, которые строятся путем повторения набора из 36 символов. Если создавать ссылки последовательно, меняется всего один символ за раз. Благодаря тому, что символов всего 36 и они повторяются через какое-то время, можно установить последовательность создания ссылок. Отклонения от алгоритма позволили вычислить ссылки, созданные вручную. По параметрам, полученным от фишингового URL, исследователи восстановили учетную запись Gmail, с которой производилась атака. Это электронный адрес myprimaryreger [@] gmail.com с коалой на аватарке, который уже использовался при регистрации доменов хакерами из Fancy Bear, предположительно связанных с Россией.
Кому все это было нужно
Citizen Lab называют сливы, при которых полученные хакерами первоначальные данные подвергаются правке, новой стратегией информационной войны. Однако исследователи не могут заявить, совершил ли атаку «КиберБеркут» (CyberBerkut), на сайте которого была публикация, или Fancy Bear, след которых обнаружили в фишинговых атаках.
Ранее организация ThreatConnect пришла к выводу, что активистов Bellingcat пытались взломать хакеры Fancy Bear. Таким образом можно сделать вывод, что атаку на Сэттера, вероятно, совершили они же. Исследователи из ThreatConnect также допускают, что «Киберберкут» является частью Fancy Bear или что эти две организации управляются из одного места.
Компания CrowdStrike доказала, что хакеры Fancy Bear связаны с российскими властями. Аналитики установили это, когда выясняли обстоятельства взлома приложения для работы украинских артиллеристов. Исследователи обнаружили в приложении закладку для удаленного доступа X-Agent. Ранее ее использовали Fancy Bear.
Именно этой группировке хакеров приписывали атаки на сервера Демократической партии США, ОБСЕ и на базу данных Всемирного антидопингового агентства. По данным The Washington Post, Fancy Bear работает на ГРУ. Американские политики не раз заявляли, что за взломами стоят российские хакеры, однако конкретных группировок не называли.
Citizen Lab считает, что их методы расследования по открытым источникам не позволят установить, кто точно стоял за атакой. «Такая большая и амбициозная кампания требует правительственных ресурсов, учитывая количество языков, на которых говорят жертвы взломов, и охват областей, в которых они заняты», — утверждают исследователи. Они также делают вывод, что стремление дискредитировать гражданское общество посредством таких «сливов» — это ответ на попытки последнего обратить внимание на коррупцию и злоупотребления властей.
«Утечка» была широко использована государственными СМИ в России — они опубликовали материалы, в котором рассказывалось о заговоре ЦРУ, которое якобы планировало начать «цветную революцию» в России. К примеру, на сайте РИА Новости документ из почты Сэттера упоминался как свидетельство существования более 20 отчетов, целью которых была дискредитация российского президента и его окружения.
«Некоторые российские лидеры, особенно те, которые связаны со старой советской системой, возмущаются триумфализмом США и видят местное гражданское общество (кроме того, что находится под их непосредственным контролем) как инструмент вмешательства США и Запада во внутреннюю политику России», — пишет Citizen Lab. Исследователи считают, что идея «России как осажденной крепости» используется в качестве оправдания репрессий и выражается в целенаправленных операциях цифровой слежки как внутри страны, так и за рубежом.
