DCleaks. На нем утверждалось, что «американские хактивисты» основали его для публикации слитых писем, но почему-то документы на нем стали появляться еще 8 июня, за шесть дней до публичного объявления о взломе. Основатели сайта участвовали в операции практически с самого начала[458].
Исследователи из британской компании Secureworks, работающей в сфере технологической безопасности, решили изучить фишинговую ссылку, отправленную Джону Подесте, который был председателем предвыборной кампании Клинтон. Путем обратного проектирования они сконструировали ссылку, которая показала всех остальных людей, ставших мишенью для хакеров. Они увидели целый список лиц, имеющих антироссийские интересы, включая украинских политиков и даже участницу панк-группы Pussy Riot. Более того, все ссылки были созданы в промежуток с 9 до 17 часов по московскому времени с понедельника по пятницу, с одним выходным, совпавшим с праздником военных инженеров, который отмечается в Российской Федерации[459]. Исследователи технологической безопасности и американские спецслужбы быстро сошлись во мнении, что за взломом DNC стояло российское правительство.
Появились вопросы о решении WikiLeaks опубликовать украденные данные. Один из основателей платформы Джулиан Ассанж, как всегда, дал воинственный ответ. Назвав вопросы о его источниках «отвлекающим маневром» и отмахнувшись от утверждений об участии во взломе российского правительства, он заявил: «Нет, это не государственная группа. Хватит отвлекать внимание – смотрите на содержание публикации»[460].
Подобным образом отреагировал на выводы следователей и президент России. Отрицая обвинения в участии России в этой операции, Владимир Путин назвал их «истерикой», которая, как он утверждал, была вызвана «только тем, чтобы отвлечь внимание американского народа от сути того, что было выложено хакерами»[461].
Оба говорили об одном: изучайте не источник утечек, а их содержание. Как показывает взлом Sony, некоторые СМИ с радостью выполняли эту инструкцию.
Трамп, в свою очередь, делал противоречивые заявления о том, стоит ли винить во взломе Россию. Однажды он сказал – мысль, что Россия слила переписку демократов, чтобы помочь ему с кампанией, просто «смешна»[462]. Через два дня он заявил: «Россия, если ты слышишь, надеюсь, ты сумеешь разыскать тридцать тысяч пропавших писем», – и тем самым подлил масла в огонь скандала с частным почтовым сервером Клинтон[463].
Но представители разведки выражались гораздо более однозначно. К концу июля 2016 года они сообщили в Белый дом (пока президентом был Барак Обама) о «высокой достоверности» того, что за взломом DNC стояла Россия. Но в полном виде обвинения были предъявлены лишь в июле 2018 года – в одном из самых подробных обвинительных заключений в истории киберпреступности.
Специальному прокурору Роберту Мюллеру было поручено расследовать предполагаемый сговор предвыборного штаба Трампа и российского правительства. В ходе следствия было достигнуто несколько важных побед, когда некоторые бывшие сторонники Трампа отвернулись от своего лидера и согласились на сотрудничество. В конце концов надежды противников Трампа не оправдались – неопровержимых доказательств сговора обнаружено не было. Однако 13 июля 2018 года следствие возбудило уголовное дело в отношении одной из самых активных, по данным американских спецслужб, российских государственных хакерских групп[464]. В обвинительном заключении перечислены двенадцать россиян, которые, как утверждается, формировали костяк команды, проникшей в системы DNC и нанесшей сокрушительный удар по партии. Наконец-то члены FancyBear были перечислены поименно – по крайней мере, были названы имена, установленные американскими спецслужбами.
В обвинительном заключении в подробностях описаны все аспекты взлома, от фишинговой ссылки, отправленной председателю предвыборной кампании Клинтон Джону Подесте, до основания сайта DCleaks, предполагаемой коммуникации с WikiLeaks и даже поисковых запросов хакеров. Кроме того, в нем указано, чем занимался каждый из членов группы и насколько высоко он стоял в ее иерархии, а также перечислены псевдонимы, под которыми хакеры предположительно управляли различными аккаунтами в социальных сетях и приобретали все необходимое для взломов.
Как американцы смогли так хорошо изучить работу злоумышленников? Очевидно, один из участников этой кибергруппировки не оправдал доверия товарищей.
По данным ФБР, Иван Ермаков был офицером российской армии, приписанным к войсковой части 26265 – одному из подразделений Главного разведывательного управления Российской Федерации (ГРУ)[465]. Кроме того, время от времени он становился Кейт С. Милтон, Джеймсом Макморгансом и Карен У. Миллен – и это, по данным следствия, лишь часть псевдонимов, которые он использовал в социальных сетях. В документах ФБР подробно описаны роли и обязанности двенадцати предполагаемых хакеров, но информации о Ермакове в них столько, что кажется, будто американские шпионы наблюдали за тем, что он печатает, прямо у него из-за плеча.
В заключении утверждается, что он искал в интернете информацию о DNC и Клинтон, анализировал интернет-соединения организации, чтобы выяснить, какие компьютеры используются в ее сети, и изучал, какие команды вводить в программы Microsoft, чтобы похищать электронные письма. По данным американцев, когда на помощь DNC пришли специалисты CrowdStrike, Ермаков принялся искать в интернете информацию о компании, включая все, что CrowdStrike может быть известно о драгоценных хакерских инструментах, используемых FancyBear.
Как утверждает ФБР, Ермаков был не единственным, за кем спецслужбы установили наблюдение. В тот день, когда в сети появился блог Guccifer 2.0, владелец которого утверждал, что он один стоит за взломом, участники FancyBear, по данным ФБР, искали в интернете очень специфический набор фраз, включая «иллюминаты», «всемирно известная» и «стоит задуматься». Если они кажутся вам знакомыми, то это потому, что позже они появились в посте Guccifer 2.0. «Румынский хакер-одиночка» утверждал, что не был связан с российским правительством, но в обвинительном заключении ФБР показано, что слова в его уста вкладывали сотрудники той самой российской военной части, которая взломала DNC. Если это действительно так, русские работали на удивление быстро. Уже на следующий день после того, как демократы предали взлом огласке, злоумышленники создали подставную личность – и не просто какую-то, а весьма правдоподобно связанную с прошлым взломом, который устроил хакер под ником Guccifer.
Кроме того, по данным ФБР, после того как Guccifer 2.0 связался с журналистами и предложил информацию, он дал им пароль от скрытой части сайта DCleaks. Отделить Guccifer 2.0 от DCleaks и FancyBear стало еще сложнее.
Разумеется, это версия ФБР. Его длинное обвинительное заключение изобилует данными, и некоторые из них можно подвергнуть независимой проверке, но многие – нет. Российское правительство неуклонно отрицает любые связи со взломом DNC и утверждает, что подобные обвинения – часть плетущегося против него заговора. (Запросы об интервью для этой книги, отправленные в посольство России в Лондоне, а также напрямую в российское Министерство иностранных дел, остались без ответа.)
Но в этом обвинительном заключении не содержится упоминаний о CozyBear – другой предположительно российской хакерской группе, которую специалисты CrowdStrike, как сообщается, обнаружили в системах DNC. Очевидно, маскировка этих хакеров не была раскрыта – по крайней мере, пока.
Похоже, две хакерские группы наступали друг другу на пятки. Специалисты CrowdStrike утверждают, что, судя по обнаруженным уликам, обе группы охотились за одной информацией. Если обе группы, как полагают исследователи кибербезопасности, работали на российское правительство, почему же они не сотрудничали друг с другом? Ответ, возможно, скрывается в хитросплетениях российских спецслужб. В отчете Европейского совета по международным отношениям (пожалуй, наиболее нейтрального источника, который, тем не менее, скрупулезно подходит к классификации российских спецслужб) показано частичное совпадение ролей ГРУ, которое предположительно стоит за FancyBear, и СВР (Службы внешней разведки Российской Федерации), под эгидой которой предположительно работает CozyBear[466].
Из отчета следует, что этот параллелизм вкупе с управленческим стилем Путина намеренно подпитывает трения, конкуренцию и недоверие. ГРУ в отчете называется «агрессивным и склонным к риску». Если именно оно стоит за FancyBear, это может объяснить, почему их налет на DNC был произведен (сравнительно) быстро – всего за несколько недель, в то время как CozyBear скрывались в системах больше года.
Если приведенная в отчете оценка ожесточенного соперничества между российскими спецслужбами справедлива, можно лишь гадать, какие разговоры между ними имели место после того, как хакеров FancyBear поймали в сетях DNC, что, вероятно, стоило обеим группам доступа к разведданным. Впрочем, по данным западных спецслужб, хакеров ГРУ и после этого ловили с поличным.
13 апреля 2018 года голландская полиция задержала в Гааге четырех граждан Российской Федерации. По данным голландской разведки, они взяли напрокат автомобиль и припарковали его у гостиницы Marriott. Но удобства этого четырехзвездочного отеля их, похоже, совершенно не интересовали.