CozyDuke, поскольку в ее арсенале был инструмент Cozer, работающий с файлами с префиксом dq[403].
К 2013 году хакеры CozyDuke осуществляли взломы в Украине, Венгрии и Польше (где США вели переговоры о размещении ракетных баз). Поскольку они работали с прицелом на антироссийские интересы, многие полагали, что группа CozyDuke связана с Россией. К тому же Cozer был не совсем обычным вирусом. Он работал незаметно и эффективно и, похоже, постоянно совершенствовался силами одной группы, обладающей впечатляющими навыками и значительными ресурсами.
Хотя сам инструмент и был изощрен, механизм его доставки оставался до боли знакомым: вирус попадал на компьютеры через фишинговые письма, в которых содержались подозрительные вложения с названиями вроде «Украина в поисках региональной внешней политики»[404]. Когда жертва открывала вложение, вирус активировался, и хакеры получали полный доступ к ее компьютеру, не выдавая себя.
К лету 2014 года группа CozyDuke подготовилась к атаке на самую крупную на тот момент жертву – правительство США. Но хакеры не знали, что за ними установлена слежка. По данным голландской прессы, разведывательные агентства Нидерландов взломали системы CozyDuke[405]. Как сообщается, они отследили группу до здания университета, расположенного неподалеку от Красной площади в Москве.
Если выбора жертв CozyDuke было недостаточно, чтобы убедить исследователей кибербезопасности в связях группы с Россией, голландская разведка, очевидно, предоставила неопровержимые доказательства. Как сообщается в отчетах, голландцы получили доступ к камерам видеонаблюдения в здании CozyDuke и наблюдали за хакерами, когда они приходили на работу. В итоге западные спецслужбы пришли к выводу, что группой CozyDuke руководит российская Служба внешней разведки, или СВР. Пресс-секретарь президента России Владимира Путина отмахнулся от голландских отчетов, сказав, что в них подпитывается «антироссийская истерия в США»[406].
Тревожные события разворачивались прямо на глазах у голландской разведки: хакеры CozyDuke сумели разместить свои вирусы на компьютерах в Белом доме, в Госдепартаменте, а также в канцелярии Объединенного комитета начальников штабов США. Группа готовилась нанести удар в самое сердце американского правительства.
Пока в ноябре 2014 года хакеры собирались с силами, голландцы сообщили американским спецслужбам о грядущей атаке. В результате между ними состоялся цифровой эквивалент городской перестрелки. Хакеры попробовали активировать свои вирусы, отдав им команды по сбору информации. Американцы заняли оборонительные позиции и перекрыли доступ к серверу, который отдавал команды, но новые инструкции стали приходить с другого зараженного сервера. Битва продолжалась двадцать четыре часа и на несколько дней вывела из строя электронную почту Госдепартамента[407].
В конце концов победили американцы, но цена этой победы была высока. Как сообщается, голландских шпионов прогнали из сети CozyDuke, отрезав им доступ к компьютерам и камерам видеонаблюдения. Но хакеры не собирались сдаваться после этой неудачи. К лету 2015 года они вернулись в строй, на этот раз проникнув в компьютерные сети Демократической партии. Возможно, их так и не обнаружили бы, если бы соперничающая с ними хакерская группа не совершила ряд ошибок.
Выборы приближались, но пока еще не было понятно, кто станет кандидатом на пост президента США от Демократической партии – Клинтон или Сандерс. Впрочем, вскоре политическое соперничество было подорвано компьютерным взломом, который опустошил партию и, возможно, изменил ход американской истории. И самое печальное, что предупреждение о нем жертвы получили за несколько месяцев.
В сентябре 2015 года сотрудники ФБР обнаружили CozyDuke в сетях демократов и начали сообщать об угрозе руководящему органу партии – Национальному комитету (DNC). Однако, по словам Донны Бразил, которая после атаки стала временным председателем DNC, их отправили в службу поддержки:
Звонок агента ФБР перевели в службу поддержки DNC – к людям, которые отвечают на звонки, если у кого-то возникает проблема при подключении к сети или перестает работать мышка.
Технический специалист подумал, что звонок… был телефонным розыгрышем, которые в DNC обычное дело.
Вместо того чтобы сообщить об этом начальнику, подрядчик, который занимался информационными технологиями, решил самостоятельно найти в системе зараженный компьютер. Сканирование системы ничего не выявило, и он забыл об этом[408].
Другие технические специалисты, работающие на партию, прекрасно знали, что ее компьютерные системы находятся под угрозой. Они утверждают, что их опасения оставались без внимания. Бывший высокопоставленный сотрудник DNC, пожелавший остаться анонимным, говорит, что технические специалисты просили на обеспечение безопасности сотни тысяч долларов, но выделено было лишь несколько десятков тысяч, поскольку партия считала своим приоритетом проведение кампаний. «Кибербезопасность имела значение, но всегда находилась кампания, которую необходимо профинансировать», – сообщил источник. Из DNC не ответили на запрос о комментарии для этой книги.
По словам Бразил, в декабре 2015-го и январе 2016 года сотрудники ФБР снова предупредили DNC о взломе, но технические специалисты партии ответили, что по-прежнему не видят проблем, о которых сообщают из ФБР. В апреле 2016 года в DNC наконец заметили вторжение и обратились за помощью к компании по обеспечению кибербезопасности. И тут Национальный комитет Демократической партии США вдруг обнаружил, что оказался под атакой не одной, а сразу двух продвинутых хакерских групп, которые уже украли огромный объем конфиденциальной внутренней информации.
Первой из них была CozyDuke, которая пребывала в системах DNC с лета 2015 года, как и сообщали из ФБР[409]. Вторая группа тоже имела долгую бесславную историю, а ее название впоследствии стало именем нарицательным для современного мира высокоуровнего агрессивного хакинга: FancyBear. Оно возникло, поскольку в арсенал этой группы входил вирус Sofacy. Как сообщается, исследователь кибербезопасности, работавший над этим делом, сказал, что у него возникла ассоциация с песней Игги Азалия Fancy, а суффикс Bear (Медведь) его компания добавляла ко всем предположительно российским хакерским группам, поэтому в итоге и получилось FancyBear[410].
Вирус Sofacy использовался как минимум с 2004 года. К декабрю 2014 года с его помощью уже успели взломать парламент Германии, заразив большинство компьютеров, входящих в его сеть[411]. В апреле 2015 года те же инструменты были использованы при атаке на французскую телесеть TV5 Monde, в результате чего вещание дюжины ее каналов было прервано на несколько часов. Всего через несколько месяцев Sofacy задействовали при взломе британского телеканала Islam Channel[412].
Но самым говорящим инцидентом, пожалуй, стал взлом Всемирного антидопингового агентства (WADA). В июле 2016 года его представители призвали к отстранению российских спортсменов от участия в Олимпиаде в Рио-де-Жанейро, которая должна была состояться в том же году. Через два месяца WADA объявило, что подверглось взлому, осуществленному теми же хакерами, которые нанесли удар по немецкому парламенту, различным телеканалам и другим целям[413]. Украденные из WADA документы впоследствии были опубликованы на сайте, на котором было сказано, что им управляет «хакерская команда FancyBears», и размещены картинки с медведями. Пусть хакеры и не сами придумали себе имя, оно явно пришлось им по душе.
Окончательно репутацию группы FancyBear закрепил взлом DNC. На тот момент он стал, пожалуй, самой дерзкой (и точно самой хорошо задокументированной) атакой и задействовал все тактики стратегических утечек и манипулирования прессой, которые использовались в разных взломах, от Ashley Madison до Sony Pictures Entertainment.
И снова хакеры проникли внутрь благодаря простому электронному письму. 19 марта 2016 года Джон Подеста, занимающий пост председателя предвыборной кампании Хиллари Клинтон, получил письмо с предупреждением. Кто-то попытался воспользоваться его паролем, чтобы войти в его учетную запись Gmail. Казалось, что предупреждение пришло от Google: в тексте даже содержалась ссылка, чтобы получатель мог из соображений безопасности сбросить свой пароль[414].
Подеста небезосновательно отнесся к полученному письму с подозрением. Он переслал его своему руководителю аппарата, а тот переправил сообщение айтишникам, которые сказали Подесте, что письмо настоящее и ему необходимо сменить пароль. Они отправили ему правильную ссылку на смену пароля, но почему-то Подеста не воспользовался ею, а перешел по ссылке из первого письма и ввел пароль на открывшейся странице[415]. Но это письмо отправили хакеры из группы FancyBear. Они завладели паролем Подесты и, по данным ФБР, украли пятьдесят тысяч его писем[416].
Подеста был великолепной добычей, но хакерам хотелось большего. Не желая ограничиваться одним важным почтовым ящиком, они нацелились на всю организацию – не только на команду Клинтон, но и на весь аппарат Демократической партии.