6 апреля хакеры прислали фишинговое письмо сотруднице Комитета Демократической партии США по выборам в Конгресс (DCCC). Она проглотила наживку, и ее пароль стал известен злоумышленникам. Шесть дней спустя хакеры с помощью него вошли в сеть DCCC и установили свои вирусы как минимум на десять компьютеров. Программы позволяли им записывать все, что печаталось на клавиатуре и отображалось на экране. По данным из документов ФБР, хакеры восемь часов наблюдали за работой сотрудницы и за это время перехватили все пароли, которые она вводила при входе в системы DCCC (а также ее личные банковские реквизиты)[417].
18 апреля сотрудница DCCC вошла в систему DNC. Хакеры, разумеется, вновь записывали все, что вводилось на клавиатуре ее компьютера, поэтому теперь они проникли в самое сердце Демократической партии. Как впоследствии показали слитые в сеть письма, это было настоящее змеиное гнездо раздоров и разногласий. По данным ФБР, хакеры получили доступ примерно к тридцати компьютерам, установили на них шпионские программы и стали дальше собирать скриншоты и информацию с клавиатур[418]. Они скопировали гигабайты исследований, проводимых демократами о республиканцах, и тысячи электронных писем. Все данные вывела группа FancyBear.
Проще говоря, на протяжении нескольких недель взломщики наблюдали за всем происходящим на нескольких десятках компьютеров, которые обрабатывали наиболее важные политические данные в Америке. Злоумышленники видели все, что отображалось на экранах, записывали все, что набиралось на клавиатурах, и таким образом узнавали пароли для всех систем. Большую часть этого времени руководство Демократической партии и не подозревало, что за компьютерами установлена слежка.
Но к концу апреля 2016 года в DNC поняли, что оказались под ударом. На помощь позвали американскую компанию CrowdStrike, с 2011 года работающую в сфере компьютерной безопасности. В число ее основателей входил программист российского происхождения Дмитрий Альперович. CrowdStrike славилась тем, что срывала маски с хакеров. Как утверждают в CrowdStrike, после того как специалисты компании установили на компьютеры свое программное обеспечение, им хватило десять секунд, чтобы понять, кто стоит за атакой. Вирусы указывали на FancyBear, а часть данных отправлялась на серверы, которые раньше связывались с CozyDuke – той группой, которую взломала голландская разведка (в CrowdStrike ее переименовали в CozyBear). Как и сообщали агенты ФБР, CozyBear уже около года пребывала в системах организации. Хакеры FancyBear, напротив, проникли в них всего несколько недель назад. Впрочем, за это время они собрали впечатляющее количество конфиденциальной информации, и именно эта группа в последующие несколько месяцев причинила демократам наибольший ущерб.
Посвятив несколько недель анализу ситуации, специалисты CrowdStrike перешли к вытеснению хакеров из системы. 10 июня всем сотрудникам DNC велели оставить свои ноутбуки в офисе (из-за чего у них возникли беспочвенные подозрения, что всех их в итоге уволят)[419]. Специалисты CrowdStrike сменили пароли сотрудников и удалили все хакерские программы. Хакеры пытались сопротивляться, но оборона демократов выстояла. Очевидно, обе группы «медведей» потеряли доступ к системе.
Хотя брешь в системе безопасности Демократической партии и оказалась закрыта, демократам еще не стоило вздыхать с облегчением. Они не контролировали украденные данные и пока не знали, какие последствия возымеет произведенный взлом. Следующий этап этой атаки стал знаменательным моментом в истории хакинга.
15 июня 2016 года CrowdStrike обнародовала свои выводы. В блоге компании очень осторожно указывался предполагаемый источник атаки. Специалисты CrowdStrike отметили, что FancyBear и CozyBear работали «в интересах» правительства Российской Федерации и, «как считается, были тесно связаны» со спецслужбами страны[420]. Но газета The Washington Post, журналисты которой пообщались также с сотрудниками DNC, не стала стесняться в выражениях и выпустила материал под заголовком: «Российские государственные хакеры проникли в DNC»[421].
Возможно, демократы не случайно приняли решение предать взлом огласке. Уже ходили слухи о связях Трампа с Россией. Обвинив русских во взломе его политических оппонентов, можно было подлить масла в огонь. Если в этом и состоял расчет демократов, они допустили чудовищную ошибку. Новости о взломе запустили поистине невероятную цепочку событий, которые, возможно, стоили партии победы на выборах.
На следующий день после выхода материалов The Washington Post и CrowdStrike в интернете появился блог, автор которого заявил, что «серверы DNC взломал хакер-одиночка». Он утверждал, что атака была организована не российскими властями, а одним человеком, который готовится слить информацию и рассказать свою историю[422].
Этот пост был опубликован под псевдонимом Guccifer 2.0, который тотчас привлек к себе внимание, поскольку вызвал призрака прошлой атаки. Под ником Guccifer скрывался румынский таксист Марсель Лехель Лазар, который переквалифицировался в хакера и пустился во все тяжкие в конце 2012 – начале 2014 годов. Взламывая электронную почту и аккаунты людей в социальных сетях, он публиковал самые смачные находки, включая обнаженные автопортреты, написанные бывшим президентом США Джорджем Бушем-младшим. Важнее, впрочем, что именно Лазар привлек внимание к тому, что Хиллари Клинтон использовала личный адрес электронной почты, пребывая на посту госсекретаря США, а значит, спровоцировал скандал, ударивший по ее президентской кампании[423].
Вот только в 2014 году Лазар был осужден в Румынии, экстрадирован в США, осужден снова, а затем возвращен в Румынию, чтобы отбыть там остаток своего тюремного срока[424]. Он явно не мог скрываться за маской нового хакера Guccifer 2.0, поскольку сидел в это время за решеткой. Тот, кто присвоил его ник, хотел сделать тонкий намек на связь с прошлой хакерской атакой на американских политиков.
Тем временем в своем блоге Guccifer 2.0 открыто высмеивал CrowdStrike:
Всемирно известная компания по обеспечению кибербезопасности CrowdStrike объявила, что серверы Национального комитета Демократической партии США (DNC) были взломаны «продвинутыми» хакерскими группами.
Я весьма польщен, что в этой компании так высоко оценили мои навыки))) Но вообще-то это было просто, очень просто.
Полагаю, клиентам CrowdStrike стоит задуматься о компетентности компании.
К черту иллюминатов и их заговоры!!!!!!!!! К черту CrowdStrike!!!!!!!!![425]
Его посты сопровождались документами, украденными из DNC, а позже были опубликованы новые посты, в которых раскрывались другие документы. Казалось бы, утверждения Guccifer 2.0 опровергают теорию о том, что за атакой стоят российские хакеры (а точнее, российское правительство). Guccifer 2.0 не только уверял, что работает один, но и подчеркивал, что не связан с Россией. Он даже заявил, что на самом деле живет в Румынии (в полном соответствии с предыдущим носителем ника Guccifer).
Некоторые представители прессы начали ставить под сомнение выводы CrowdStrike и утверждение о вмешательстве российского правительства. Guccifer 2.0 продолжал наступление, по электронной почте связываясь с журналистами, включая репортеров Gawker, и подначивая их публиковать истории, – что перекликалось с тактикой эксплуатации прессы, задействованной группой, которая взломала Sony Pictures Entertainment[426]. Постепенно материалов становилось все больше: некоторые издания принялись изучать слитые таблицы и досье и публиковать статьи о том, что им удалось обнаружить. Пожалуй, не меньшую значимость для хакеров имел и тот факт, что громкие заявления Guccifer 2.0 поставили под вопрос личности тех, кто стоял за цифровым взломом.
Еще сильнее ситуацию запутало появление сайта DCleaks, которым, как утверждалось, владели «американские хактивисты». На нем стала публиковаться украденная информация из ближнего круга Клинтон, включая электронные письма (наряду с гораздо менее многочисленными письмами Республиканской партии)[427].
И все же, несмотря на старания Guccifer 2.0 и DCleaks, непосредственно после взлома они не сумели привлечь к себе внимание крупной прессы. Даже некоторые высокопоставленные сотрудники DNC заявили, что не заметили работы хакеров. А значительная часть немногочисленных изданий, вообще освещавших утечки, по-прежнему писала о самом взломе и том, кто за ним стоит, вместо того чтобы рассматривать слитые данные. Если цель хакеров состояла в том, чтобы навредить демократам, им необходимо было сместить фокус с поиска виновных на содержание утечек. Грядущий Национальный съезд Демократической партии США (где предстояло наконец-то сделать выбор между Клинтон и Сандерсом) давал для этого идеальную возможность, и ею воспользовалась организация, основанная человеком, который, пожалуй, входит в число величайших инфлюенсеров начала XXI века, – Джулианом Ассанжем.
Ассанж создал сайт WikiLeaks в 2006 году как безопасную и анонимную платформу для разоблачителей. На него сливались огромные объемы данных, которые администраторы сайта упрямо не подвергали никакой цензуре, и это привело к раскрытию целого ряда историй, компрометирующих американское правительство, в том числе о неблаговидных деяниях США в Ираке, а также к публикации конфиденциальной информации из американских дипл