Нидерландская разведка взломала хакеров СВР России. Офис Cozy Bear оказался прямо напротив Кремля
Хакеры, работающие на голландскую разведывательную службу AIVD, следили за российской хакерской группировкой Cozy Bear и предоставили ФБР информацию о вмешательстве России в американские выборы. The Insider приводит полный перевод расследования журналистов de Volkskrant и Nieuwsuur.
Лето 2014 года. Хакер из голландского разведывательного агентства AIVD проник в компьютерную сеть университета, расположенного рядом с Красной площадью в Москве, не думая о последствиях. Год спустя он и его коллеги в штаб-квартире AIVD в Зутермере наблюдали, как русские хакеры начали атаку на Демократическую партию Соединенных Штатов. Хакеры AIVD проникли не в какое-то там здание. Они оказались в компьютерной сети скандально известной российской хакерской группировки Cozy Bear. И они могли видеть все, оставаясь незамеченными.
Так AIVD стала свидетелем того, как русские хакеры следили за лидерами Демократической партии и пересылали тысячи писем и документов. Это был не последний раз, когда они предупредили своих американских коллег. И все же прошли месяцы, прежде чем США поняли значение предупреждений: благодаря этим хакерским атакам Россия вмешивалась в американские выборы. И это происходило на глазах хакеров AIVD.
Свидетельства голландцев доказывают причастность России к взлому Демократической партии. Об этом говорят шесть американских и голландских источников, знакомых с ситуацией. Это также является для ФБР основанием начать расследование влияния российского вмешательства на предвыборную гонку между Хиллари Клинтон и Дональдом Трампом.
После избрания Трампа в мае 2017 года это расследование взял на себя специальный прокурор Роберт Мюллер. Хотя оно также направлено на раскрытие контактов кампании Трампа с российским правительством, основная цель в том, чтобы выявить вмешательство России в выборы. Попытку подорвать демократический процесс и действия, усилившие напряжение между двумя сверхдержавами и повлекшие за собой ряд враждебных дипломатических актов.
Три американские спецслужбы заявляют с «высокой уверенностью», что Кремль стоял за атакой на Демократическую партию. Источник этой уверенности — хакеры AIVD, которые годами имели доступ к штабу в центре Москвы. Случай настолько исключительный, что руководители передовых американских спецслужб счастливы принять голландцев. У них есть технические доказательства нападения на Демократическую партию, и очевидно, что они знают гораздо больше.
То, что хакеры смогли получить доступ к такой ценной информации в 2014 году, это своего рода случайность. Команда использует CNA — компьютерные сетевые атаки. Этим хакерам разрешены наступательные операции: проникать во вражеские сети и атаковать их. Это относительно небольшая команда более крупного цифрового подразделения из 80-100 человек. Все кибероперации стекаются сюда. Часть подразделения сосредоточена на перехвате или управлении источниками, а другая группа занимается защитой компьютерных сетей. В свою очередь, эта команда является частью JSCU, совместного отделения AIVD и голландской военной разведки и службы безопасности MIVD, насчитывающего около 300 человек.
Неизвестно, к какой именно информации о русских есть доступ у хакеров, но понятно, что в ней содержится подсказка о местонахождении одной из самых известных хакерских группировок в мире - Cozy Bear, также именуемой APT29. С 2010 года эта группировка нападает на правительства, энергетические корпорации и телекоммуникационные компании по всему миру, включая голландские компании и министерства. Специалисты из лучших спецслужб, среди которых англичане, израильтяне и американцы, уже много лет охотятся на Cozy Bear, как и аналитики крупнейших агентств кибербезопасности.
Команда голландских хакеров неделями готовится. Затем летом 2014 года происходит атака, скорее всего, перед крушением MH17. С некоторыми усилиями команде удается проникнуть во внутреннюю компьютерную сеть. Теперь AIVD может следить за каждым шагом русских хакеров. Но это еще не все.
Хакеры Cozy Bear находятся на территории университетского здания рядом с Красной площадью. Состав группы меняется, обычно активны около 10 человек. Попасть внутрь можно через изогнутый коридор.
Камера записывает, кто входит и кто выходит из комнаты. Хакерам AIVD удается получить доступ к этой камере. Теперь разведка может видеть не только, что делают русские, но и кто это делает. Каждый посетитель сфотографирован. В Зутермере эти фотографии анализируются и сравниваются с известными российскими шпионами. Они снова получили информацию, которая впоследствии окажется крайне важной.
Доступ голландцев к русской хакерской сети вскоре окупается. В ноябре русские готовятся к атаке на одну из своих главных целей — американский Госдеп. Они уже получили адреса электронной почты и учетные данные нескольких государственных служащих. Им удается войти через незащищенную часть компьютерной сети.
AIVD и их военные коллеги из MIVD информируют связного Агентства национальной безопасности в посольстве США в Гааге. Он немедленно оповещает американские спецслужбы.
Дальше происходит битва между атакующими, которые пытаются еще глубже проникнуть в Госдеп, и его защитниками, командами ФБР и АНБ, с подсказками и разведданными голландцев. Согласно американским СМИ, эта битва длится 24 часа.
Русские крайне агрессивны, но они не знают, что за ними следят. Благодаря голландским шпионам ФБР и АНБ с оказывают отпор. Голландское участие настолько важно, что АНБ открывает прямую линию с Зутермером, чтобы как можно скорее получать информацию.
Используя так называемые серверы командования и управления, цифровые командные центры, россияне пытаются установить соединение с вредоносными программами в Госдепе, чтобы запрашивать и передавать информацию. Американцы, которые узнали от голландцев, где находятся серверы, быстро отрезают к ним доступ, преследуемые новыми и новыми атаками русских. Так одни нападают, а другие отбиваются в течение 24 часов. Источники CNN назвали это «самой опасной хакерской атакой» на американское правительство. Для повышения уровня безопасности Департаменту приходится на весь уикенд закрыть доступ к электронной почте.
В марте 2017 года заместитель директора АНБ Ричард Леджетт заявляет на форуме в Аспене, что АНБ по счастливой случайности удалось выяснить тактику и средства нападавших: «Мы могли видеть, как они меняют свои методы. Эта информация оказалась очень полезной». Американские СМИ, ссылаясь на высокопоставленного сотрудника спецслужб, напишут, что это получилось благодаря «западному союзнику».
В конце концов, американцам удается «выгнать» россиян из Госдепа, но перед этим хакеры успевают использовать доступ, чтобы отправить письмо человеку в Белом доме. Он думает, что получил письмо из Госдепартамента — адрес электронной почты похож — и нажимает на ссылку в сообщении. По ссылке открывается веб-сайт, для входа сотрудник Белого дома вводит свои учетные данные, которые теперь оказываются у хакеров. Так русские проникают в Белый дом.
Они подключаются к почтовым серверам, содержащим отправленные и полученные электронные письма президента Барака Обамы, но не проникают на серверы, которые контролируют трафик сообщений его личного BlackBerry, хранящего государственные секреты, сообщают источники New York Times. Хакерам удается получить доступ к электронной переписке с посольствами и дипломатами, расписанию, поправкам к законам. И об этом американцев снова оповещают голландские спецслужбы.
Доступ к Cozy Bear оказывается золотой жилой для голландских хакеров. В течение нескольких лет он снабжает их ценными разведданными о целях, методах и интересах высших должностных лиц ФСБ. По фотографиям посетителей AIVD приходит к выводу, что группу хакеров курирует Служба внешней разведки РФ.
В своем отчете за 2014 год AIVD пишет, что многие российские чиновники, включая президента Путина, используют секретные службы для получения информации. Недавно глава AIVD Роб Бертоли по голландскому телевидению заявил, что нет никаких сомнений в том, что Кремль стоит за русскими хакерами.
«Американцев застала врасплох российская агрессия, — говорит кибердипломат Крис Пэйнтер. Несколько лет он отвечал за киберполитику США и ушел в отставку в августе прошлого года. — Мы никак не ожидали, что русские сделают это, нападут на нашу важнейшую инфраструктуру, подрывая нашу демократию».
Он говорит, что американские спецслужбы были к этому не готовы. Это одна из причин, почему помощь голландцев была такой ценной. Как сообщают источники, американцы даже отправили в Зутермер «торт» и «цветы». И не только это. Разведданные — это товар, ими можно торговать. В 2016 году главы AIVD и MIVD Роб Бертоли и Питер Биндт лично обсуждают доступ к группировке русских хакеров с Джеймсом Клэппером, тогда самым высокопоставленным представителем американских спецслужб, и главой АНБ Майклом Роджерсом.
Взамен голландцы получают информацию и технологии. Согласно одному американскому источнику, в конце 2015 года хакерам АНБ удается проникнуть в мобильные устройства нескольких высокопоставленных российских разведчиков. Они узнают, что прямо перед хакерской атакой русские ищут в интернете какие-либо новости о ней. По мнению американцев, это косвенно доказывает причастность российского правительства к атакам. Другой источник говорит, что «весьма вероятно», что в обмен на разведку голландцы получили доступ к этой информации. Был ли обмен разведданными о MH17, неизвестно.
Последствия российских атак, особенно нападения на Демократическую партию, долгоиграющие. Более того, расследование ФБР в отношении российского вмешательства увеличивает политический масштаб. После поражения в ноябре 2016 года Клинтон скажет, что споры о ее просочившихся письмах стоили ей президентства. Избранный президент Дональд Трамп категорически отказывается открыто признать российское вмешательство. Это притушило бы блеск его победы на выборах. Он также неоднократно хвалил Россию и, в частности, президента Путина. Это одна из причин, по которой американские спецслужбы охотно сливают информацию: чтобы доказать, что россияне действительно вмешивались в выборы. Именно поэтому они рассказали американским СМИ о доступе, полученном «западным союзником».
Это привело к всплеску негодования в Зутермере и Гааге. Некоторые голландцы даже чувствуют себя преданными. Нельзя раскрывать методы дружеских спецслужб, особенно если получаешь от них полезные разведданные. Но как бы главы AIVD и MIVD ни выражали свое недовольство, они не чувствуют понимания со стороны американцев. Это сделало AIVD и MIVD намного более осторожными, когда дело доходит до обмена разведданными. С тех пор как Трамп стал президентом, они становятся все более подозрительными.
Хакеры AIVD больше не следят за Cozy Bear. Они шпионили от полутора до двух с половиной лет. Хакерские группы часто меняют свои методы, и даже другой файрвол может отрезать доступ. В AIVD отказались давать комментарии журналистам.
Комментарии