До сих пор все обвинения в адрес России во "взломе" выборов президента США носили откровенно политический характер. Однако накануне The Intercept опубликовал первый настоящий документ Агентства национальной безопасности (АНБ) в котором атака российских хакеров расписана довольно подробно (а сам документ с грифом "совершенно секретно"). Это уже не просто заявления политиков, это гораздо интереснее. Есть смысл изучить.
Тем более, что метод атаки, которые использовали российские хакеры, абсолютно универсален — при желании ровно тоже можно провернуть в отношении нашей страны. Впрочем, не будем забегать вперед. Речь идет всего лишь об одном пятистраничном документе, который описывает одну конкретную атаку. По нему нельзя сделать далеко идущие выводы о том, что Главное разведывательное управление России делает и не делает в интернете. И в отношении кого.
В документе АНБ принадлежность нападавших к ГРУ прописана довольно открыто и четко. Речь не идет о неких "патриотичных хакерах" или просто "хакерах на службе государства". Атака, по мнению аналитиков АНБ, была проведена людьми из сердца российской разведки.
Атака без особых изысков
Сама атака была двухступенчатой. Сначала атакующие разослали персонализированные "фишинговые" письма в компанию VR Systems, которая поставляет программное обеспечение для регистрации избирателей и подсчета голосов на выборах в США. Имя компании в документе не называется, но называется ПО, которое она разрабатывает.
Атака была замаскирована под письма от имени одного из сервисов Google. Получателей писем приглашали пройти на специальный сайт и ввести свои логины и пароли. В АНБ не знают, сколько сотрудников компании поддались на этот трюк, в документе говорится только, что по крайней мере один из все же стал жертвой.
Как The Intercept заявили специалисты по безопасности, логины и пароли во многих случаях гораздо более желанная добыча для хакеров, чем установленный на компьютерах специальный зловредный "софт". С помощью паролей можно зайти очень далеко и получить доступ к тому, до чего добраться иначе не выйдет.
Первая часть атаки была проведена в августе 2016 года, до встречи Барака Обамы и Владимира Путина в Пекине, в ходе которой Обама, по его словам, потребовал от Путина не взламывать IT-системы, ответственные за выборы, пригрозив "последствиями". Вторая часть атаки была проведена два месяца спустя, в конце октября 2016 года, незадолго до выборов. Это значит, что президент России проигнорировал просьбу-ультиматум президента США.
Вторая часть атаки была не менее классической. Используя информацию, полученную в ходе атаки на VR Systems, злоумышленники создали аккаунт на Google, замаскированный под учетную запись взломанного сотрудника компании. С него они начали рассылать документы Microsoft Word, начиненные трояном. Целью являлись 122 человека и организации, так или иначе связанных с выборами в США.
В письмах содержалась документация на программное обеспечение VR System' EViD, но на самом деле — скрипты PowerShell, которые обычно используются системными администраторами для быстрого выполнения рутинных операций. В данном случае эти скрипты незаметно для пользователя загружали на машину зловредные программы, которые уже позволяли злоумышленникам получать доступ к той информации на машине, которая им была нужна.
Если верить документу АНБ, в спецслужбе не уверены, добились ли хакеры своего и к чему они получили доступ. То есть конечный результат атаки — неизвестен. Или отражен в других документах АНБ, доступа к которым у журналистов нет.
Простота — залог успешного воровства
Этот документ говорит нам о нескольких вещах. Во-первых, атака хакеров из российских спецслужб на американские выборы все же, похоже, была. Аутентичность этого документа подтвердили не только специалисты по безопасности, но сами спецслужбы, сначала потребовав у The Intercept вымарать часть данных, а потом арестовав источник утечки.
Во-вторых, ее результаты могут быть неизвестны в США даже спецслужбам, не говоря уже про политиков и чиновников.
В-третьих, атаку такого типа российские спецслужбы могут провести против абсолютно любого государства, включая и Латвию. У нас до и во время выборов также используется специальное ПО для регистрации избирателей и подсчета голосов. Наши чиновники также используют компьютеры. Уровень защиты и технической грамотности у наших органов госуправления вряд ли выше, чем в США. Описанный в документе метод атаки прост и универсален. Можно даже сказать — стандартен, причем настолько стандартен, что это даже неинтересно.
С другой стороны, захватывающие приключения "рыцари плащей и кинжала" переживают исключительно в произведениях массовой культуры. В жизни они работают, и пытаются делать это с максимальной эффективностью, как и все мы. Их ли вина в том, что методы социальной инженерии по-прежнему так хорошо работают?
