Кібератака на Національний комітет Демократичної партії США

Матеріал з Вікіпедії — вільної енциклопедії.
Версія від 11:07, 14 серпня 2016, створена CommonsDelinker (обговорення | внесок) (Вилучив файл Dncemailleak2016.png, оскільки він був вилучений з Wikimedia Commons користувачем Billinghurst. Причина: per [[:c:Commons:Deletion requests/File:Dncemailleak2)
Перейти до навігації Перейти до пошуку
Перевірена версія цієї сторінки, затверджена 14 серпня 2016, заснована на цій версії.
Ця стаття висвітлює поточну подію. Інформація може швидко змінюватися через розвиток подій, початкові відомості можуть виявитися ненадійними. Останні оновлення цієї статті можуть не відображати найсвіжішу інформацію.


Кібератака на Національний комітет Демократичної партії США (англ. DNC hack, англ. DNC leak) — несанкційоване втручання до інформаційної системи Національного комітету Демократичної партії США, яке стало відоме широкому загалу у червні 2016. Несанкційоване втручання було виявлене іще наприкінці квітня, тоді ж до розслідування була залучена фірма CrowdStrike. В результаті проведеного розслідування було встановлено, що зламати інформаційну систему вдалось двом угрупуванням російських хакерів — Cozy Bear (CozyDuke або APT29) та Fancy Bear (Sofacy Group або APT28). Група Cozy Bear отримала несанкційований доступ до інформаційної системи іще влітку 2015 року, а Fancy Bear — в квітні 2016 року. Разом обидва угрупування спромоглись викрасти скриньки електронної пошти, а також зібраний компромат на конкурента демократів на виборах Президента — Дональда Трампа[1][2].

Згодом стало відомо про можливу кібератаку типу тайпосквотинг (різновид кіберсквотингу — навмисного створення фальшивих сайтів з доменими іменами дуже схожими на оригінальні) проти DCCC — організації, що збирає пожертви для кандидатів у Конгрес від Демократичної партії. Атака розпочалась приблизно в червні 2016 року[3].

Кібератака

Національний комітет Демпартії

18 травня 2016 року директор служби національної розвідки США Джеймс Клеппер заявив про спроби іноземних розвідок шпигувати за передвиборчими штабами обох кандидатів через кібератаки на їхні інфомраційні системи[4].

Sofacy Group (Fancy Bear) використала шкідливе ПЗ під назвою X-Agent для віддаленого виконання команд, передачі файлів, шпигування за натисненими клавішами. Воно було запущене командою rundll32[2]: 

   rundll32.exe "C:\Windows\twain_64.dll"

Також була використана програма X-Tunnel для встановлення з'єднань через систему NAT та віддаленого виконання команд. Обидві програми були доставлені всередині програми RemCOM — аналог з відкритими кодами комерційної програми PsExec. Також російські хакери вдались до декількох заходів зі знищення слідів свого перебування: періодичне вичищення журналів подій та зміна атрибутів часу зміни файлів[2].

Слід зазначити, що обидва угрупування діяли незалежно один від одного, були виявлені випадки зараження одного і того ж комп'ютера обома групами в спробах викрасти одну й ту саму інформацію[2].

DCCC

Згодом стало відомо про можливу кібератаку типу тайпосквотинг (різновид кіберсквотингу — навмисного створення фальшивих сайтів з доменими іменами дуже схожими на оригінальні) проти DCCC (англ. Democratic Congressional Campaign Committee) — організації, що збирає пожертви для кандидатів у Конгрес від Демократичної партії. Атака розпочалась, приблизно, в червні 2016 року[3].

Для спуфінгу справжньої адреси веб-сервера DCCC була створена адреса actblues[.]com, яка відрізняється від справжньої — actblue[.]com лише однією літерою. Ця адреса була пов'язана з IP-адресою 191.101.31[.]112 (Host1Plus, підрозділ Digital Energy Technologies Ltd., фізично прив'язана до Нідерландів), та зареєстрована в реєстраторі I.T. Itch з підвищеним захистом приватності. Також:[5]

  • доменне ім'я actblues[.]com було зареєстроване на користувача з адресою електронної пошти fisterboks@email[.]com, на який було зареєстровано іще три доменні імені, які німецька контррозвідка пов'язує з угрупуванням Fancy Bear;[6]
  • також користувач fisterboks@email[.]com використовував такі ж саме доменні іменна, як і frank_merdeux@europe[.]com, котрий зареєстрував доменне ім'я misdepatrment[.]com, використане для типосквотингової атаки на підрядника Нацкомітету Демократичної партії.

Легалізація

Гуцифер 2

Заради легалізації викрадених даних було створене опудало, що мало служити фасадом для угрупування — «хакер» за прізвиськом «Гуцифер 2.0» (англ. Guccifer 2.0). Дане прізвисько було запозичене в іншого хакера — румунця Марселя Лазара Лехеля (рум. Marcel Lazăr Lehel), котрий назвав себе англ. Guccifer (злиття слів Gucci та Lucifer). Марсель Лехель став відомим завдяки зламу поштових скриньок відомих людей (зокрема, сестри Джорджа Вокера Буша). В 2014 році він був засуджений в Румунії до 7 років ув'язнення, але згодом переданий до Сполучених Штатів, де станом на 2016 рік очікує на вирок суду. Вже в США Лехель заявив, що неодноразово зламував особистий поштовий сервер Гілларі Клінтон, коли та була державним секретарем США (див. Імейлгейт)[7]. Проте, він не зміг навести жодного доказу, а слідчі — знайти жодних свідчень на підтвердження його слів[8][9][10]. Однак в липні 2016 року директор ФБР Джеймс Комі заявив, що Лазар збрехав, коли заявив про злам поштового серверу Клінтон[11].

Утім, саме завдяки Лехелю широкий загал дізнався про існування приватної поштової скрині Гілларі Клінтон, коли він поширив листи зі зламаної ним же поштової скрині близького партнера Клінтон Сідні Блюменталя[12][13][14] Оприлюднені листи стосувались подій навколо терористичних атак на консульство США в Бенгазі в 2012 році[12][13][14]. Сідні Блюменталь на той час не мав доступу до таємної інформації, однак деякі з отриманих ним від Клінтон текстів були згодом визнані такими, що підпадають під гриф «таємно»[15][16].

На відміну від першого Гуцифера, Guccifer 2.0 не зміг навести переконливі докази своєї автентичності, або що за цим фасадом стоїть реальна жива людина[17][18][19][20]. На думку аналітиків фірми ThreatConnect, швидше за все, Guccifer 2.0 — лише спроба російських спецслужб облудою відвернути увагу від їхньої ролі у зламі інформаційних систем Демократичної партії[21] Серед іншого:

  • його поведінка нетипова для звичайних політичних хактивістів — замість оприлюднення документів одразу після їх отримання, він чекав більше року;
  • дивним виглядає й те, що хакер-одинак скористався невідомою загрозою першого дня у пропрієтарному нішевому програмному забезпеченні, коли набагато краще оснащені російські спецслужби скористались набагато простішим направленим фішингом.
  • незрозуміло і те, навіщо Guccifer 2.0 змінює метадані (або навіть вміст) документів перед оприлюдненням, адже це ставить під сумнів їхню справжність.

На думку фахівця з комп'ютерної безпеки Дейва Айтеля, оприлюднивши викрадені файли російські спецслужби перетнули червону лінію припустимого. Він запропонував вважати таке нахабне втручання іззовні в перебіг президентських виборів прикладом кібервійни[22].

Вікілікс

Див. також: Вікілікс

Наступним кроком з легалізації викрадених даних, який отримав набагато більше розголосу, стала публікація решти файлів на сайті організації Вікілікс, яку колишній співробітник АНБ Джон Р. Шиндлер назвав сурогатом російських спецслужб[23]. Засновник Вікілікс, Джуліан Ассанж, анонсував оприлюднення даних в інтерв'ю телеканалу ITV 12 червня 2016 року. При цьому, він визнав, що цим витоком намагається зашкодити Гілларі Клінтон виграти вибори[24]. Оприлюднення сталось шість тижнів по тому, 22 липня 2016 року — організація розмістила у вільному доступі у себе на сайті 19 252 електронних листів з 8034 вкладеними файлами. Листи були викрадені з поштових скриньок 7 ключових осіб в DNC та охоплюють період від січня 2015 року до 25 травня 2016 року[25]. Серед листів з вкладеними файлами були присутні й повідомлення голосової пошти[26].

Про передачу оприлюднених листів до Вікілікс заявив Гуцифер 2.0, який першим виступив публічно як особа, що стоїть за кібератаками на Демократичну партію.[25]. Попри те, Джуліан Ассанж заперечив будь-яку причетність російських спецслужб до витоку даних а також пообіцяв оприлюднити іще більше компромату на Гілларі Клінтон. При цьому, він припустив, що «колись джерело або джерела інформації дадуть про себе знати»[27]. 9 серпня 2016 року Ассанж зробив натяк, що можливим джерелом отриманих файлів був співробітник Демократичної партії Сес Річ (англ. Seth Rich), який був вбитий вранці 10 липня поблизу своєї квартири. Однак він відмовився прямо підтвердити чи спростувати причетність Річа до витоків даних[28][29].

Оприлюднені листи, серед іншого, містили приватну інформацію деяких донорів Демократичної партії — номери соціального страхування, номера паспортів, інформацію про кредитні картки[25]. Один лист містив перелік осіб запрошених на зустріч ЛГБТ активістів, організований Демократичною партією. Серед файлів голосової пошти був присутній запис співробітника Демократичної партії про відвідання зоопарку з дітьми[26].

Наслідки

Вікілікс оприлюднила викрадені листи напередодні з'їзду Демократичної партії, на якій відбулась формальна номінація Гілларі Клінтон в кандидати на виборах Президента США 2016 року. Однак, з оприлюднених листів випливало, що Національний комітет Демократичної партії протягом праймеріз віддавав деяку перевагу Хілларі Клінтон перед Берні Сандерсом. Унаслідок спричиненого цим викриттям скандалу голова Національного комітету Демократичної партії, Деббі Вассерман-Шульц, була змушена терміново піти у відставку[30].

Низка експертів з питань національної безпеки Республіканської партії 28 липня 2016 року звернулись з відкритим листом до політичних лідерів Конгресу провести ретельне розслідування кібератаки на Демократичну партію з наступним оприлюдненням викраденої інформації, оскільки даний випадок є «атакою на цілісність всього політичного процесу»[31].

31 липня Гілларі Клінтон звинуватила спецслужби Росії в кібератаці на штаб Демократичної партії [32]. У відповідь АНБ, можливо, зламує російських хакерів [33][34].

Російський уряд заперечує свою причетність до інциденту[25].

Міністерство національної безпеки США, після цього випадку, стало вивчати можливість зарахування інформаційних систем, залучених у виборчий процес, до переліку об'єктів «критичної інфраструктури»[35].

Примітки

  1. Ellen Nakashima (14 червня 2016). Russian government hackers penetrated DNC, stole opposition research on Trump. Washington Post.
  2. а б в г Dmitri Alperovitch (14 червня 2016). Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike.
  3. а б Joseph Menn, Dustin Volz, Mark Hosenball (Thu Jul 28, 2016). Exclusive: FBI probes hacking of Democratic congressional group - sources.
  4. Nicole Gaouette (18 травня 2016). Intel chief: Presidential campaigns under cyber attack. Politics. CNN.
  5. FANCY BEAR Has an (IT) Itch that They Can’t Scratch. Threat Geek. 1 серпня 2016.
  6. BfV Cyber-Brief Nr. 01/2016 - Hinweis auf aktuelle Angriffskampagne (PDF). Bundesamt für Verfassungsschutz. 3 березня 2016.
  7. Cynthia McFadden, Tim Uehlinger & Tracy Connor (5 травня 2016). Hacker 'Guccifer': I Got Inside Hillary Clinton's Server. NBC News.
  8. Hillary Clinton may have to testify under oath about email server. Associated Press. 4 травня 2016. [T]he hacker provided no proof of his claim to have hacked Clinton's server
  9. Pete Williams (25 травня 2016). Guccifer, Hacker Who Says He Breached Clinton Server, Pleads Guilty. NBC News. [Lehel] refused to show any of the material he said he found on the Clinton server, and federal investigators said they have found no evidence to back up his claim.
  10. Matt Zapotosky (5 травня 2016). Officials: Scant evidence that Clinton had malicious intent in handling of emails. Washington Post. U.S. officials also dismissed claims by a Romanian hacker now facing federal charges in Virginia that he was able to breach Clinton’s personal email server. The officials said investigators have found no evidence to support the assertion by Marcel Lehel Lazar to Fox News and others, and they believed if he had accessed Clinton's emails, he would have released them — as he did when he got into accounts of other high-profile people.
  11. Patrick Howell O'Neill (7 липня 2016). FBI director says Guccifer admitted he lied about hacking Hillary Clinton's email. The Daily Dot.
  12. а б Hacker Begins Distributing Confidential Memos Sent To Hillary Clinton On Libya, Benghazi Attack. The Smoking Gun. 18 березня 2013. Процитовано 30 вересня 2015.
  13. а б Cook, John (20 березня 2013). Hacked Emails Show Hillary Clinton Was Receiving Advice at a Private Email Account From Banned, Obama-Hating Former Staffer. Gawker. Процитовано 30 вересня 2015.
  14. а б Acohido, Byron (22 березня 2013). 'Guccifer' hacks Hillary Clinton's e-emails via aide's account. USA Today. Процитовано 30 вересня 2015.
  15. Gerstein, Josh. «Clinton's emails from Blumenthal spark tension», Politico (October 22, 2015): «At least one [email] has been deemed classified by State, including information Clinton sent to Blumenthal, who had no security clearance.»
  16. Morrison, Micah. «Hillary Clinton's rogue agenda: Why Sid Blumenthal matters», New York Post (October 31, 2015): «The November 2009 e-mail was sent by Wilson to Blumenthal, who passed it on to Clinton. Most of Clinton's reply to Blumenthal is redacted as classified.»
  17. Lorenzo Franceschi-Bicchierai (21 червня 2016). We Spoke to DNC Hacker 'Guccifer 2.0'. Motherboard.
  18. Dan Goodin (Jun 17, 2016). “Guccifer” leak of DNC Trump research has a Russian’s fingerprints on it. Ars Technica.
  19. Lorenzo Franceschi-Bicchierai (30 червня 2016). DNC Hacker Denies Russian Link, Says Attack Was His ‘Personal Project'. Motherboard.
  20. Ellen Nakashima (20 June 2016). Cyber researchers confirm Russian government hack of Democratic National Committee. Washington Post.
  21. Shiny Object? Guccifer 2.0 and the DNC Breach. ThreatConnect. 29 червня 2016.
  22. Dave Aitel (Jun 17, 2016). Guest editorial: The DNC hack and dump is what cyberwar looks like. Ars Technica.
  23. John R. Schindler (25 липня 2016). Wikileaks Dismantling of DNC Is Clear Attack by Putin on Clinton. Observer. By stepping into the middle of our Presidential race, the obvious Russian front has outed themselves. … This, of course, means that Wikileaks is doing Moscow’s bidding and has placed itself in bed with Vladimir Putin. … In truth, to anyone versed in counterintelligence and Russian espionage tradecraft, Wikileaks has been an obvious Kremlin front for years, …
  24. CHARLIE SAVAGE (JULY 26, 2016). Assange, Avowed Foe of Clinton, Timed Email Release for Democratic Convention. New York Times.
  25. а б в г Andrea Peterson (22 липня 2016). Wikileaks posts nearly 20,000 hacked DNC emails online. Washington Post.
  26. а б Matt Tait (28 липня 2016). On the Need for Official Attribution of Russia’s DNC Hack. Lawfare.
  27. Matthew Chance (27 липня 2016). Julian Assange: 'A lot more material' coming on US elections. CNN.
  28. By Peter Hermann and Clarence Williams (9 серпня 2016). WikiLeaks offers reward for help finding DNC staffer’s killer. Washington Post.
  29. Assange implies murdered DNC staffer was WikiLeaks' source. Fox News. 10 серпня 2016.
  30. Jeff Zeleny, MJ Lee, Eric Bradner (25 липня 2016). Dems open convention without Wasserman Schultz. CNN politics.
  31. Tom Hamburger (28 липня 2016). Republican security experts request congressional investigation of DNC hack. Washington Post.
  32. Клінтон звинуватила спецслужби Росії в кібератаці на сервери Демократичної партії США. УНІАН. 31 липня 2016. Процитовано 31 липня 2016.
  33. АНБ "зламує у відповідь" хакерські угруповання з Росії - ЗМІ. Новое Время. 31 липня 2016. Процитовано 31 липня 2016.
  34. Ferran, Lee (30 липня 2016). The NSA Is Likely 'Hacking Back' Russia's Cyber Squads. ABC News. Процитовано 31 липня 2016.
  35. Tim Starks (4 aug 2016). The meaning of deeming elections ‘critical infrastructure’. Politico.

Література

Див. також

Посилання

Отримано з https://uk.wikipedia.org/w/index.php?title=Кібератака_на_Національний_комітет_Демократичної_партії_США&oldid=18631067