22 июля, в пятницу, Wikileaks выложил в открытый доступ примерно 19 252 электронных письма с серверов Национального комитета Демократической партии (DNC) США. Ответственность за взлом взял на себя хакер, скрывающийся под псевдонимом Guccifer 2.0. Два дня спустя руководитель предвыборной кампании Хиллари Клинтон Робби Мук в интервью CNN заявил, что за взломом могут стоять российские хакеры.
В беседе с ведущим CNN Мук сделал заключения, из которых должно следовать, что за хакерской атакой стоит Россия. О том, что ответственность за взлом серверов могут нести российские хакеры, близкие к властям, говорят эксперты-расследователи из CrowdStrike, которые изучали взлом. Публикация данных накануне съезда демократов позволяет предположить, что это было сделано, чтобы навредить Хиллари Клинтон и, соответственно, помочь Дональду Трампу, кандидату от республиканцев. Также, по мнению Мука, в общую тревожную для демократов картину вписывается риторика Дональда Трампа, которая в последнее время стала более пророссийской. В частности, Мук процитировал выступление Трампа, в котором тот говорил, что НАТО не обязательно должно вмешиваться в конфликт с Россией, чтобы защитить своих восточноевропейских сторонников в случае возможного вторжения.
Хакеры ГРУ
Расследование для DNC сделала компания CrowdStrike, которая утверждает, что за взломом стоят две российские группы хакеров «Cozy Bear» (или «APT 29») и «Fancy Bear» (или «APT 28»). По заявлению главы CrowdStrike, эти же группы были замешаны во взломах других серверов в США в 2015 году. Обе группы вовлечены в политический и экономический шпионаж в пользу правительства Российской Федерации, и, как полагают эксперты, за всей операцией стояло ГРУ. В качестве доказательств государственного заказа атаки эксперты описывают, какие ресурсы потребовались для этого. По словам эксперта NT, версия о том, что хакер Guccifer 2.0 осуществил этот слив и взлом в одиночку, маловероятна: «На современном уровне, на котором находится защита сайтов, одиночка уже такого сделать бы не мог».
Главный редактор сайта Agentura.ru Андрей Солдатов пояснил NT, насколько данные CrowdStrike нужно воспринимать всерьез — по мнению эксперта, нет сомнений в том, что указанные группы хакеров участвовали во взломе, но информация о том, что за этим стоит именно ГРУ, трудно доказуема: «Я полностью доверяю тому, что делает команда Альперовича (Дмитрий Альперович — руководитель CrowdStrike. — NT). Но атрибутирование подобной атаки имеет определенные ограничения. Я доверяю тому, что за этим стоит Российское государство, но я не уверен в том, что можно, будучи техническим экспертом, находящимся на территории США, с помощью технических средств анализа понять, какое именно правительственное агентство этим занималось, — рассказывает эксперт NT. — Не знаю, как можно написать, что это ГРУ, а не ФСБ или еще кто-нибудь. Эта часть у меня вызывает некоторый скепсис».
Следы на кириллице
Эксперты различных американских изданий, в том числе Bloomberg, Observer, Washington Post, также не склонны сомневаться в выводах CrowdStrike. В качестве доказательств, найденных аналитиками на сайте ArsTechnica, приводятся «следы на кириллице». Один из компьютеров, с которого редактировали файл в последний раз, носит имя «Феликс Эдмундович». Также выложены документы, в которых использовался русский Word, и при конвертации в PDF сохранились системные сообщения от программы на русском. Еще одним косвенным доказательством может быть присущая хакеру Guccifer 2.0 манера ставить смайлики, используя только скобки. По мнению авторов статьи, это принято в Восточной Европе, хотя они признают, что все эти следы могли быть оставлены нарочно, чтобы скомпрометировать российские спецслужбы. Андрей Солдатов пояснил NT, что обычно именно такие мелкие доказательства и помогают идентифицировать хакеров, и нет оснований предполагать, что кто-то специально оставил такие следы: «Сколько лет этим занимаюсь — слышу истории о том, что это кто-то компрометирует Кремль или российские спецслужбы. Не помню ни разу, чтобы эта версия подтвердилась».
Расследование взлома DNC еще продолжается, но Андрей Солдатов уверен, что основные выводы уже сделаны: «Долгие годы говорилось о том, что атрибуция в принципе невозможна. Но конце концов, из-за того, что увеличилось количество различных атак, особенно со стороны российских структур, было принято политическое решение на уровне европейских государств не бояться и называть Российское государство заказчиком атак. Весной этого года посыпались отчеты, в которых французы, немцы, британцы напрямую указывали на Российское государство. Но речь идет не о том, что они научились лучше идентифицировать заказчика, — просто было принято такое политическое решение. Потому что это единственный способ остановить атаки».
Главным компроматом во вскрытой переписке на данный момент являются доказательства того, что Национальный совет еще до праймериз поддерживал Хиллари Клинтом в ущерб другому кандидату от демократов, Берни Сандерсу, хотя и должен был сохранять нейтралитет. Также среди данных есть вся информация о донорах партии и личная переписка.