Цели хакеров, которые изменили ход президентских выборов в США, совсем не ограничивались предвыборным штабом Хиллари Клинтон. Согласно ранее не публиковавшемуся списку цифровых атак, попавшему в распоряжение информационного агентства The Associated Press (AP), они пытались взломать электронную почту украинских чиновников, российских оппозиционеров, подрядчиков Министерства обороны США и многих тысяч других «объектов», представляющих интерес для Кремля.

Эти сообщения поступают в тот момент, когда прокуроры США, по имеющимся данным, рассматривает вопрос о предъявлении обвинений в отношении шести членов российского правительства по подозрению во взломе компьютеров Национального комитета Демократической партии.

Список, попавший в распоряжение AP, содержит наиболее подробные на сегодняшний день доказательства тесного взаимодействия между хакерами и российскими властями. Они служат разоблачением операции, которая длилась не один год и целью которой была попытка взлома почтовых ящиков 4700 пользователей Gmail по всему миру — от представителя Папы Римского в Киеве до панк-группы Pussy Riot в Москве.

«Это список тех лиц, компьютеры которых хотели взломать для продвижения интересов России», — говорит Кейр Джайлс, директор научно-исследовательского центра конфликтологии в Кембридже, Англия, и один из пяти приглашенных экспертов, которые анализировали данные, полученные AP. По его словам, эти данные представляют собой «главный список лиц, за которыми Россия хотела бы вести слежку, которых хотела бы поставить в неловкое положение, дискредитировать или заставить молчать».

Сведения, полученные AP, основаны на базе данных из 19 тысяч вредоносных ссылок, составленной фирмой Secureworks, работающей в сфере кибербезопасности, на десятках электронных писем с вредоносным содержанием, и на интервью с более чем сотней лиц, ставших объектами хакерских атак.

Аналитики фирмы Secureworks наткнулись на эти данные после того, как группа, известная как Fancy Bear, случайно раскрыла некоторые данные о своей фишинговой операции в интернете. Список показал прямую связь между хакерами и утечками, которые негативно повлияли на процесс президентских выборов на заключительных этапах. В первую очередь речь идет о личной переписке Джона Подесты (John Podesta), председателя предвыборного штаба Хиллари Клинтон.

Вопрос о том, кто взломал почтовый сервер демократов, вновь оказался в центре внимания американской общественности после того, как в понедельник стало известно, что в начале прошлого года чиновнику из штаба Дональда Трампа Джорджу Пападопулосу (George Papadopoulos) сообщили, что у русских есть компромат на Клинтон — в том числе «тысячи электронных писем».

Пресс-секретарь Кремля Дмитрий Песков назвал мнение, согласно которому что Россия вмешивалась (в выборы) «необоснованным». Но список, изученный AP, содержит убедительные доказательства того, что Кремль именно это и делал.

«Это Кремль и Генштаб», — сказал, изучив данные, Андраш Рац, специалист в области российской политики безопасности из Католического университета Петера Пазманя в Венгрии.

«У меня нет никаких сомнений».

Новые доказательства

Список, составленный фирмой Secureworks, содержит данные за период с марта 2015 года по май 2016 года. Основная часть идентифицированных «мишеней» хакерских атак находилась в США, на Украине, в России, Грузии и Сирии.

В США группа Fancy Bear пыталась взломать как минимум 573 почтовых ящика, принадлежащих высокопоставленным представителям дипломатической службы и спецслужб США: тогдашнему госсекретарю Джону Керри (John Kerry), бывшему госсекретарю Колину Пауэллу (Colin Powell), генералу ВВС США Филиппу Бридлаву (Philip Breedlove) и одному из его предшественников — Уэсли Кларку (Wesley Clark).

В основном в списке числились работники компаний, выполняющих заказы Министерства обороны США, таких как Boeing, Raytheon и Lockheed Martin. Или же высокопоставленные разведчики, видные наблюдатели-специалисты по России и — особенно — демократы. В качестве объектов хакерских атак было выбрано более 130 партийных деятелей, сотрудников предвыборного штаба и сторонников Демократической партии — в том числе Подеста и другие представители ближайшего окружения Клинтон.

Агентство AP также обнаружило в списке несколько объектов хакерских атак из числа республиканцев.

Подеста, Пауэлл, Бридлав и более десятка демократов (помимо Подесты), ставших жертвами хакерских атак, вскоре обнаружили, что их личная переписка была выложена в интернете. Агентство AP определило, что все они стали жертвами хакерской группы Fancy Bear, и в большинстве случаев взлом аккаунтов произошел за 3-7 месяцев до «слива» переписки в сеть.

«Они получили мою электронную переписку за два года», — сказал недавно в интервью AP Колин Пауэлл. По его словам, хотя он не может точно знать, чья это вина, «я всегда подозревал, что все это как-то связано с русскими».

В их числе — и оппозиционный депутат Сергей Лещенко. Это он помог раскрыть «серые» выплаты, якобы перечисленные в обход бухгалтерии на имя бывшего руководителя предвыборного штаба Трампа Пола Манафорта (Paul Manafort), которому в понедельник в Вашингтоне было предъявлено обвинение.

В России хакеры из группы Fancy Bear уделяли повышенное внимание тем, кто находится в оппозиции к властям, и десяткам журналистов. Среди тех, чьи аккаунты пытались взломать хакеры — Михаил Ходорковский, нефтяной магнат, ставший врагом Кремля, который десять лет провел в тюрьме и теперь живет в изгнании, и Мария Алехина из панк-группы Pussy Riot. Кроме них в списке были еще более ста человек — деятели гражданского общества, в том числе антикоррупционный активист Алексей Навальный и его помощники.

«В этом списке все собраны вместе, все идеально совпадает», — говорит Василий Гатов, российский медиа-аналитик, который сам оказался среди объектов внимания хакеров. По его словам, российским властям был бы особенно интересен Навальный — один из немногих оппозиционных лидеров, имеющих большое количество сторонников в стране.

У многих из этих людей почти нет ничего общего, за исключением того, что они попали в поле зрения Кремля: активист-эколог из далекого российского портового города Мурманск; небольшой политический журнал в Армении; представитель Ватикана в Киеве; центр образования для взрослых в Казахстане.

«Просто трудно понять, как любую другую страну могла бы особо заинтересовать их деятельность», — говорит Майкл Кофман (Michael Kofman), военный эксперт по России, научный сотрудник Международного центра Вудро Вильсона в Вашингтоне. Он тоже был в списке.

«Если вы — не Россия, то взлом аккаунтов этих людей является колоссальной тратой времени, — говорит он.

Работа с 9 до 18 по московскому времени

Утверждения о том, что хакерская группа Fancy Bear работает на Россию, звучат давно. Но найти исходную информацию довольно трудно.

Следователи и аналитики фиксируют деятельность группы на протяжении более десяти лет, и многие ставят ей в вину то, что она является инструментом российских спецслужб. Название группы (которое можно перевести как «Модный мишка») — весьма прозрачный намек на национальный символ России.

После выборов 2016 года американские спецслужбы публично поддержали всеобщее мнение, открыто сказав то, о чем агенты американских спецслужб давно говорили в личных беседах без свидетелей: группа Fancy Bear создана Кремлем.

Но американское разведывательное сообщество предоставило мало доказательств, и даже компании, работающие в сфере кибербезопасности, которые благосклонно относятся к СМИ, обычно публикуют только краткий обзор имеющихся у них данных.

Поэтому база данных, предоставленная фирмой Secureworks, является ключевым элементом имеющихся в открытом доступе доказательств. И тем более примечательным, поскольку эта база данных появилась в результате ошибки по невнимательности.

Фактически специалисты компании Secureworks наткнулись на нее случайно, когда аналитик начал «отматывать» действия назад, начиная с сервера, привязанного к одной из вредоносных программ с характерными «следами» Fancy Bear.

Он обнаружил гиперактивный аккаунт Bitly, который хакеры из Fancy Bear использовали для распространения тысяч вредоносных ссылок в обход спам-фильтра Google. А поскольку хакеры из Fancy Bear забыли установить аккаунт в приватный режим, аналитики фирмы Secureworks в течение следующих нескольких месяцев буквально стояли за спиной хакеров, спокойно копируя детали тысяч почтовых ящиков, которые те пытались взломать.

Информагентство AP получило эти данные недавно, список был сокращен до 4700 индивидуальных электронных адресов, а затем журналисты установили связь примерно с половиной из владельцев этих адресов. Специалисты агентства проверили список, используя образцы фишинговых писем, которые они получили от людей, чью почту хакеры пытались взломать, и сравнивая его с аналогичными списками, составленными самостоятельно другими фирмами, работающими в сфере кибербезопасности — такими как японская Trend Micro и словацкая ESET.

С помощью данных, предоставленных компанией Secureworks, журналистам удалось выяснить, что более 95% вредоносных ссылок создавались именно тогда, когда в Москве был рабочий день — с понедельника по пятницу с 9 утра до 6 вечера.

Результаты аналитической работы агентства AP совпали с выводами, изложенными в докладе, благодаря которому американские избиратели впервые услышали о хакерской группе Fancy Bear. В 2016 году специалисты компании CrowdStrike, работающей в сфере кибербезопасности, заявили, что серверы Национального комитета Демократической партии (DNC) были взломаны российскими хакерами, среди которых были и хакеры из группы Fancy Bear.

Как видно из списка, составленного фирмой Secureworks, хакеры из группы Fancy Bear предпринимали настойчивые попытки взломать электронную почту технических сотрудников DNC в начале апреля 2016 года — именно тогда, когда, по словам аналитиков из CrowdStrike, был совершен взлом.

Благодаря исходной информации специалисты агентства AP смогли непосредственно пообщаться с людьми, которые были «объектами внимания хакеров» и многие из которых обвиняли в этом Кремль.

«У нас нет сомнений в том, кто стоит за этими хакерским атаками», — говорит Артем Торчинский, координатор проектов Фонда борьбы с коррупцией, созданного Навальным. В 2015 году его аккаунт пытались взломать трижды. «Я уверен, что это — хакеры, контролируемые российскими спецслужбами».

Миф о «парне весом в 400 фунтов»

Даже если бы была успешно взломана лишь небольшая часть из 4700 аккаунтов Gmail, которые пыталась взломать группа Fancy Bear, объем данных, полученных в результате их взлома, мог бы составить несколько терабайтов. Это вполне могло бы стать самой масштабной из всех известных журналистам утечек.

Для того чтобы понять содержание этой огромной массы сообщений — на английском, украинском, русском, грузинском, арабском и многих других языках — хакерам потребовалась бы внушительная команда аналитиков и переводчиков. Даже для того, чтобы идентифицировать и классифицировать всех тех людей, аккаунты которых пытались взломать, потребовалась масса времени и сил — над этим два месяца работали шесть репортеров агентства AP.

Работа, проведенная специалистами The Associated Press, позволяет «немного почувствовать, сколько труда на это ушло», говорит Томас Рид (Thomas Rid), профессор стратегических исследований из Университета Джонса Хопкинса.

По его словам, проведенное расследование должно расставить точки над «и» и развенчать все мифы и неверные представления — вроде той гипотезы, которую высказал в прошлом году тогдашний кандидат в президенты Дональд Трамп. Тогда он заявил, что эти хакерские атаки, вполне возможно, совершает «какой-нибудь парень весом в 400 фунтов, сидя дома на кровати».

«Идея, что это просто какой-то хакер-одиночка, совершенно нелепа», — говорит Рид.