Нідэрландская разведка ўзламала хакераў СВР Расіі. Офіс Cozy Bear знаходзіцца проста насупраць Крамля

27.01.2018 / 14:21

Будынак нідэрландскай разведслужбы AIVD. Фота aivd.nl.

Хакеры, якія працуюць на галандскую разведвальную службу AIVD, сачылі за расійскай хакерскай групоўкай Cozy Bear і далі ФБР інфармацыю пра ўмяшанне Расіі ў амерыканскія выбары. The Insider прыводзіць поўны пераклад расследавання журналістаў нідэрландскіх выданняў de Volkskrant і Nieuwsuur.

Лета 2014 года. Хакер з галандскага разведвальнага агенцтва AIVD прабраўся ў камп'ютарную сетку ўніверсітэта, размешчанага побач з Краснай плошчай у Маскве, не думаючы пра наступствы. Праз год ён і яго калегі ў штаб-кватэры AIVD у Зутэрмеры назіралі, як рускія хакеры пачалі атаку на Дэмакратычную партыю ЗША. Хакеры AIVD праніклі не ў нейкі там будынак. Яны апынуліся ў камп'ютарнай сетцы скандальна вядомай расійскай хакерскай групоўкі Cozy Bear. І яны маглі бачыць усе, застаючыся незаўважанымі.

Так AIVD стала сведкай таго, як расійскія хакеры сачылі за лідарамі Дэмакратычнай партыі і перасылалі тысячы лістоў і дакументаў. Гэта быў не апошні раз, калі яны папярэдзілі сваіх амерыканскіх калегаў. І ўсё ж прайшлі месяцы, перш чым ЗША зразумелі значэнне папярэджанняў: дзякуючы гэтым хакерскім нападам Расія ўмешвалася ў амерыканскія выбары. І гэта адбывалася на вачах хакераў AIVD.

Сведчанні нідэрландцаў даказваюць датычнасць Расіі да ўзлому Дэмакратычнай партыі. Пра гэта сцвярджаюць шэсць амерыканскіх і галандскіх крыніц, знаёмых з сітуацыяй. Гэта таксама з'яўляецца для ФБР падставай пачаць расследаванне ўплыву расійскага ўмяшання на перадвыбарчую гонку паміж Хілары Клінтан і Дональдам Трампам.

Пасля абрання Трампа ў маі 2017 года гэта расследаванне ўзяў на сябе спецыяльны пракурор Роберт Мюлер. Хоць яно таксама накіравана на раскрыццё кантактаў кампаніі Трампа з расійскім урадам, асноўная мэта ў тым, каб выявіць умяшанне Расіі ў выбары. Спробу падарваць дэмакратычны працэс і дзеянні, узмацніць напружанасць паміж дзвюма звышдзяржавамі і прывялі да шэрагу варожых дыпламатычных актаў.

Тры амерыканскія спецслужбы заяўляюць з «высокай упэўненасцю», што Крэмль стаяў за атакай на Дэмакратычную партыю. Крыніца гэтай упэўненасці — хакеры AIVD, якія гадамі мелі доступ да штаба ў цэнтры Масквы. Выпадак такі незвычайны, што кіраўнікі перадавых амерыканскіх спецслужбаў шчаслівыя прыняць галандцаў. У іх ёсць тэхнічныя доказы нападу на Дэмакратычную партыю, і відавочна, што яны ведаюць значна больш.

Тое, што хакеры змаглі атрымаць доступ да такой каштоўнай інфармацыі ў 2014 годзе, гэта свайго роду выпадковасць. Каманда выкарыстоўвае CNA — камп'ютарныя сеткавыя атакі. Гэтым хакерам дазволеныя наступальныя аперацыі: пранікаць ва варожыя сеткі і атакаваць іх. Гэта адносна невялікая каманда больш буйнога лічбавага падраздзялення з 80—100 чалавек. Усе кібераперацыі сцякаюцца сюды. Частка падраздзялення сканцэнтравана на перахопе або кіраванні крыніцамі, а іншая група займаецца абаронай камп'ютарных сетак. У сваю чаргу, гэтая каманда з'яўляецца часткай JSCU, супольнага аддзялення AIVD і галандскай вайсковай разведкі і службы бяспекі MIVD, які налічвае каля 300 чалавек.

Невядома, да якой менавіта інфармацыі пра рускіх ёсць доступ у хакераў, але зразумела, што ў ёй змяшчаецца падказка пра месцазнаходжанне адной з самых вядомых хакерскіх груповак у свеце — Cozy Bear, таксама названай APT29. З 2010 года гэтая групоўка нападае на ўрады, энергетычныя карпарацыі і тэлекамунікацыйныя кампаніі па ўсім свеце, уключаючы нідэрландскія кампаніі і міністэрствы. Спецыялісты з найлепшых спецслужбаў, сярод якіх англічане, ізраільцяне і амерыканцы, ужо шмат гадоў палююць на Cozy Bear, як і аналітыкі найбуйнейшых агенцтваў кібербяспекі.

Каманда галандскіх хакераў тыднямі рыхтуецца. Затым летам 2014 года адбываецца атака, хутчэй за ўсё, перад крушэннем MH17. З некаторымі намаганнямі камандзе ўдаецца прабрацца ва ўнутраную камп'ютарную сетку. Цяпер AIVD можа сачыць за кожным крокам рускіх хакераў. Але гэта яшчэ не ўсё.

Хакеры Cozy Bear знаходзяцца на тэрыторыі універсітэцкага будынка побач з Краснай плошчай. Склад групы змяняецца, звычайна актыўныя каля 10 чалавек

Патрапіць унутр можна праз выгнуты калідор. Камера запісвае, хто ўваходзіць і хто выходзіць з пакоя. Хакерам AIVD удаецца атрымаць доступ да гэтай камеры. Цяпер разведка можа ўбачыць не толькі, што робяць расейцы, але і хто гэта робіць. Кожны наведнік сфатаграфаваны. У Зутэрмере гэтыя фатаграфіі аналізуюцца і параўноўваюцца з вядомымі расійскімі шпіёнамі. Яны зноў атрымалі інфармацыю, якая пасля апынецца вельмі важнай.

Доступ галандцаў да расійскай хакерскай сеткі неўзабаве акупляецца. У лістападзе расіяне рыхтуюцца да атакі на адну з сваіх галоўных мэтаў — амерыканскі Дзярждэп. Яны ўжо атрымалі адрасы электроннай пошты і ўліковыя дадзеныя некалькіх дзяржаўных служачых. Яны здолелі трапіць праз неабароненую частку камп'ютарнай сеткі.

AIVD і іх вайсковыя калегі з MIVD інфармуюць сувязнога Агенцтва нацыянальнай бяспекі ў пасольстве ЗША ў Гаазе. Ён неадкладна апавяшчае амерыканскія спецслужбы.

Далей адбываецца бітва паміж тымі, хто спрабуе яшчэ глыбей пракрасціся ў Дзярждэп, і яго абаронцамі — камандамі ФБР і АНБ, з падказкамі і разведзвесткамі галандцаў. Згодна з амэрыканскімі СМІ, гэтая бітва доўжыцца 24 гадзіны.

Расейцы вельмі агрэсіўныя, але яны не ведаюць, што за імі сочаць. Дзякуючы галандскім шпіёнам ФБР і АНБ аказваюць адпор. Нідэрландскі ўдзел настолькі важны, што АНБ адкрывае наўспроставую лінію з Зутэрмерам, каб як мага хутчэй атрымліваць інфармацыю.

Выкарыстоўваючы так званыя серверы камандавання і кіравання, лічбавыя камандныя цэнтры, расейцы спрабуюць усталяваць злучэнне з шкоднаснымі праграмамі ў Дзярждэпе, каб запытаць і перадаваць інфармацыю. Амерыканцы, якія даведаліся ад галандцаў, дзе знаходзяцца серверы, хутка адразаюць да іх доступ, але расейцы атакуюць ізноў і зноў. Так адны нападаюць, а іншыя адбіваюцца на працягу 24 гадзін. Крыніцы CNN назвалі гэта «самай небяспечнай хакерскай атакай» на амерыканскі ўрад. Для павышэння ўзроўню бяспекі Дэпартаменту даводзіцца на ўвесь ўікэнд закрыць доступ да электроннай пошты.

У сакавіку 2017 года намеснік дырэктара АНБ Рычард Леджэт заяўляе на форуме у Аспене, што АНБ па шчаслівай выпадковасці ўдалося высветліць тактыку і сродкі нападнікаў: «Мы маглі бачыць, як яны мяняюць свае метады. Гэтая інфармацыя была вельмі карыснай». Амерыканскія СМІ, спасылаючыся на высокапастаўленага супрацоўніка спецслужбаў, напішуць, што гэта ўдалося дзякуючы «заходняму саюзніку».

Урэшце, амерыканцам удаецца «выгнаць» расейцаў з Дзярждэпа, але перад гэтым хакеры паспяваюць выкарыстаць доступ, каб адправіць ліст чалавеку ў Белым доме. Ён мяркуе, што атрымаў ліст з Дзярждэпартамента — адрас электроннай пошты падобны — і націскае на спасылку ў паведамленні. Па спасылцы адкрываецца вэб-сайт, для ўваходу супрацоўнік Белага дома уводзіць свае ўліковыя дадзеныя, якія цяпер у хакераў. Так расейцы пранікаюць у Белы дом.

Яны падключаюцца да паштовых сервераў, якія змяшчаюць адпраўленыя і атрыманыя электронныя лісты прэзідэнта Барака Абамы, але не пранікаюць на серверы, якія кантралююць трафік паведамленняў яго асабістага BlackBerry, які захоўвае дзяржаўныя сакрэты, паведамляюць крыніцы New York Times. Хакерам удаецца атрымаць доступ да электроннай перапіскі з пасольствамі і дыпламатамі, раскладаў, паправак да законаў. І пра гэта амерыканцаў зноў апавяшчаюць галандскія спецслужбы.

Доступ да Cozy Bear аказваецца залатой жылай для галандскіх хакераў. На працягу некалькіх гадоў ён забяспечвае іх каштоўнымі разведдадзенымі аб мэтах, метадах і інтарэсах вышэйшых службовых асоб ФСБ. Па фатаграфіях наведвальнікаў AIVD прыходзіць да высновы, што групу хакераў курыруе Служба замежнай разведкі Расіі.

У сваёй справаздачы за 2014 год AIVD піша, што многія расійскія чыноўнікі, уключаючы прэзідэнта Пуціна, выкарыстоўваюць сакрэтныя службы для атрымання інфармацыі. Нядаўна кіраўнік AIVD Роб Бертолі па галандскім тэлебачанні заявіў, што няма ніякіх сумненняў у тым, што Крэмль стаіць за расійскімі хакерамі.

«Амерыканцаў заспела знянацку расійская агрэсія, — кажа кібердыпламат Крыс Пэйнтер. Некалькі гадоў ён адказваў за кіберпалітыку ЗША і сышоў у адстаўку ў жніўні мінулага года. — Мы ніяк не чакалі, што расейцы зробяць гэта, нападуць на нашу найважную інфраструктуру, падрываючы нашу дэмакратыю».

Ён кажа, што амерыканскія спецслужбы былі да гэтага не гатовыя. Гэта адна з прычын, чаму дапамога галандцаў была такой каштоўнай. Як паведамляюць крыніцы, амерыканцы нават адправілі ў Зутэрмер «торт» і «кветкі». І не толькі гэта. Разведзвесткі — гэта тавар, імі можна гандляваць. У 2016 годзе кіраўнікі AIVD і MIVD Роб Бертолі і Пітэр Бінт асабіста абмяркоўваюць доступ да групоўкі расейскіх хакераў з Джэймсам Клэперам, тады самым высокапастаўленым прадстаўніком амерыканскіх спецслужбаў, і кіраўніком АНБ Майклам Роджэрсам.

Узамен галандцы атрымліваюць інфармацыю і тэхналогіі. Паводле адной амерыканскай крыніцы, у канцы 2015 года хакерам АНБ ўдаецца раскрыць мабільныя прылады некалькіх высокапастаўленых расейскіх разведчыкаў.

Яны даведаюцца, што проста перад хакерскай атакай рускія шукаюць у інтэрнэце якія-небудзь навіны пра яе. На думку амерыканцаў, гэта ўскосна даказвае датычнасць расійскага ўрада да нападаў. Іншая крыніца кажа, што «вельмі імаверна», што ў абмен на разведку галандцы атрымалі доступ да гэтай інфармацыі. Ці быў абмен разведданымі пра MH17, невядома.

Наступствы расійскіх нападаў, асабліва нападу на Дэмакратычную партыю, доўгатэрміновыя. Больш за тое, расследаванне ФБР у адносінах да расійскага ўмяшання павялічвае палітычны маштаб. Пасля паразы ў лістападзе 2016 года Клінтан скажа, што спрэчкі аб яе лістах каштавалі ёй прэзідэнцтва. Абраны прэзідэнт Дональд Трамп катэгарычна адмаўляецца адкрыта прызнаць расійскае ўмяшанне. Гэта прытушыць бляск яго перамогі на выбарах. Ён таксама неаднаразова хваліў Расію і, у прыватнасці, прэзідэнта Пуціна. Гэта адна з прычын, па якой амерыканскія спецслужбы ахвотна зліваюць інфармацыю: каб даказаць, што расейцы сапраўды ўмешваліся ў выбары. Менавіта таму яны распавялі амерыканскім СМІ аб доступе, атрыманым «заходнім саюзнікам».

Гэта прывяло да ўсплёску абурэння ў Зутэрмеры і Гаазе.

Некаторыя галандцы нават адчуваюць, што ім здрадзілі. Нельга раскрываць метады сяброўскіх спецслужбаў, асабліва калі атрымліваеш ад іх карысныя разведдадзеныя. Але як бы кіраўнікі AIVD і MIVD ні выказвалі сваю незадаволенасць, яны не адчуваюць разумення з боку амерыканцаў. Гэта зрабіла AIVD і MIVD нашмат больш асцярожнымі, калі справа даходзіць да абмену разведдадзенымі. З таго часу, як Трамп стаў прэзідэнтам, яны становяцца ўсё больш недаверлівымі.

Хакеры AIVD больш не сочаць за Cozy Bear. Яны шпіёнілі ад паўтара да двух з паловай гадоў. Хакерскія групы часта мяняюць свае метады, і нават іншы фаервол можа адрэзаць доступ. У AIVD адмовіліся даваць каментары журналістам.