Страдания взломанного WADA: «Веселый мишка», «Команда царя» и «Угроза №28»

Скандал, связанный с утечкой данных из автоматизированной системы ADAMS, принадлежащей Всемирному антидопинговому агентству (WADA), получил свое развитие.

WADA, столкнувшись с фактом утечки информации о приеме западными спортсменами запрещенных препаратов, всячески пытается привязать данный сюжет к неким «российским хакерам», именуя их «Группа АРТ28», «Веселый мишка» (Fancy Bear) и «Команда царя» (Tsar Team). Однако в реальности опубликованная WADA информация о «взломе базы данных» заставляет усомниться в версии, которую само агентство считает основной и официальной.

Прямая и явная угроза

Попытки WADA «спихнуть» свои внутренние проблемы на мифическую «руку Кремля» явно прослеживаются во всех пресс-релизах Всемирного антидопингового агентства. Уже в первом сообщении, размещенном на сайте агентства 13 сентября 2016 года, WADA безапелляционно обвинило в кибератаке на свои серверы русских хакеров, отнеся их к давно известной в IT-сообществе группе, известной под именем APT28.

Аббревиатура APT означает advanced persistent threat, что переводится на русский язык как «мощная постоянная угроза» или же «постоянно совершенствуемая угроза». Такое наименование обычно присваивается стабильным и долгодействующим хакерским группам, которые длительное время следят за жертвой и собирают шпионскую информацию о ней, часто маскируя и никак не проявляя свою разведывательную активность.

Обычно такие группы связаны с мощными заказчиками из государственного или коммерческого сектора, которых не интересует быстрая финансовая выгода от компьютерного взлома, но которые в гораздо большей степени заинтересованы в длительном и скрытном получении конфиденциальной информации из компьютерных сетей жертвы. В силу этой особенности, группы, получающие наименование APT, обычно никак не проявляют себя в явном виде, предпочитая устанавливать в компьютеры жертвы так называемое вредоносное или шпионское программное обеспечение (malware), которое может на протяжении месяцев и даже лет собирать закрытые данные.

Номер 28 — это порядковый номер угрозы вида APT, согласно классификации компании FireEye, занимающейся киберзащитой. В настоящее время специалистами FireEye описало уже более 80 киберугроз вида APT, каждая из которых получила свой порядковый номер и была проанализирована с точки зрения ее возможной национальной, государственной или частной принадлежности.

Впервые «Угроза №28» была описана FireEye в октябре 2014 года, когда компания выпустила в свет одноименный доклад. Что интересно, вся внутренняя структура доклада, пытавшегося привязать деятельность APT28 к России, базировалась лишь на двух установленных фактах: в программном коде шпионского программного обеспечения, разработанного группой АРТ28, в 57% случаев использовались русскоязычные установки программного компилятора (59 случаев из проанализированных 103 версий программы), оставшиеся же 43% случаев включали в себя английские (UK) и американские (US) установки компилятора. Исходя из такого разнобоя в языковых установках, FireEye сделала лишь осторожное предположение о том, что APT28 включает в свой состав как русскоговорящих, так и англоговорящих хакеров.

Второй «ниточкой», которая могла бы привести к России как к месту проживания хакеров, были упомянуты программные даты и время создания шпионского обеспечения, которые в 89% случаев попадали в промежуток времени между 8.00 и 18.00 для зоны «Гринвич +3 часа» (GMT+3), в которой находится европейская часть России (московское время). Однако этот факт был еще более зыбким — в зоне GMT+3, кроме России, живут такие страны, как Белоруссия, Турция и Саудовская Аравия (и еще два десятка стран помельче), а расширение «зоны подозрения» на часовые пояса GMT+2 или же GMT+4 вообще бы включало в число «подозреваемых» все бывшие страны СНГ, половину Восточной Европы и большую часть Ближнего Востока и Африки.

В силу этого, в докладе FireEye принадлежность хакеров группы APT28 к России была названа «вероятной», а ее связь с правительством или иными государственными структурами и ведомствами РФ — не более чем «возможной».

Названия же «Веселый мишка» (Fancy Bear) и «Команда царя» — это тоже отнюдь не самоназвание группы APT28, как это, например, присутствует в случае хакерской группы «Анонимусы» (Anonymous), взявшей на вооружение образ крутого злодея и борца с системой из фильма «V — значит вендетта». Это такие же «условные» названия группы АРТ, которые использовали в своих докладах 2014–16 годов компании по киберзащите Crowdstrike и iSight Partners.

Читайте также: WADA отказывается от комментариев: агентство не может доказать «русский след» во взломе ADAMS

Что любопытно — практически все эти доклады, упоминающие группу APT28/Fancy Bear/Tsar Team, как, например, доклад организации ICIT, осуществляющей связь между федеральными агентствами США и компаниями по киберзащите, досконально перечисляли массу киберугроз якобы из России, Китая, Ирана и даже Северной Кореи, но стыдливо обходили вопрос использования хакеров спецслужбами и государственными ведомствами самих США. Словом, «в Америке хакеров нет!» Доказано Эдвардом Сноуденом, если кто забыл.

При этом надо сказать, что деятельность группы APT28/Fancy Bear/Tsar Team и в самом деле заставляла задуматься о высокой квалификации хакеров. Хакеры АРТ28, в отличие от массы китайских групп, которые, как правило, грубо пытаются украсть очередной коммерческий секрет, действовали дерзко, незаметно и практически не оставляя следов. Более того, их программное обеспечение, названное Sofacy, было построено с учетом противодействия попыткам анализа и своего контроля: при попытке его «разборки» оно создавало массу «мусорных» строк кода и препятствовало своему запуску в управляемой среде компьютеров компаний, борющихся с хакерами. Это программное обеспечение постоянно совершенствовалось и усложнялось — так, всего лишь за два года, с начала 2013-го по конец 2014-го, собственный размер кода вырос практически в десять раз, кратно усложнив борьбу с ним.

Так или иначе, вне зависимости от того, были ли хакеры из АРТ28 русскими, а тем более — русскими хакерами «на зарплате у Кремля», дело было сделано. Легенда о «русских хакерах» зажила своей собственной жизнью.

«Русские идут!» — крик самоубийц

Говорят, в последние месяцы своей жизни министр обороны США в 1947–49 годах Джеймс Форрестол бесконечно повторял на совещаниях в Пентагоне: «Русские идут, русские идут. Они везде. Я видел русских солдат». 28 марта 1949 года Джеймса сняли с высокой должности от греха подальше, а 22 мая того же года его тело нашли на крыше трехэтажной пристройки под окнами кухни 16 этажа его собственной квартиры. Так закончил свой жизненный путь 1-й министр обороны США (должность была учреждена в 1947-м году, и Форрестол был первым, кто был на нее назначен).

Очень похожие события начались в западном мире после того, как компании по киберзащите нашли смутные намеки на то, что некоторые весьма успешные кибератаки 2007–14 годов могли быть осуществлены людьми, понимающими русский язык. Вопль «Русские идут!» теперь, вслед за Форрестолом, начали выкрикивать каждый раз, когда на Западе кто-то осуществлял успешную кибератаку.

Так, уже в июле 2015 года та же компания FireEye внезапно решила, что за взломом компьютерной сети французского телеканала TV5 Monde стоит «русская хакерская группа АРТ28». Впоследствии выяснилось, что французских телевизионщиков взломали хакеры «Исламского государства» (террористической организации, запрещенной в России), но, как говорится, осадочек-то остался.

И после этого понеслось. Русских хакеров обвиняли во всех резонансных взломах — почты Пентагона и почты Белого Дома, переписки Дональда Трампа и сервера Хиллари Клинтон, внутренней сети Демократической партии США и подрядчиков министерства обороны США… Практически любой компьютерный взлом, а то и просто утечка конфиденциальных данных, тут же находила свое объяснение в вездесущей «руке Кремля».

Читайте также: Завалить их исками: Роман Носиков о том, как России поступать с русофобами

При этом «рук» у Кремля оказалось настолько много, что различные компьютерные атаки никак не удавалось впихнуть под один «зонтик» группы APT28/Fancy Bear/Tsar Team — уж слишком разные методики использовали мифические «русские хакеры». В силу этого FireEye выпустило очередной доклад, в котором выделило еще одну группу — АРТ29. Деятельность АРТ29 была еще более размытой географически — фактически, ее центр можно было поместить где-то между Гренландией и Шанхаем, базируясь на анализе траффика ее вредоносных программ. К несчастью, посредине между этими географическими точками оказалась все та же Москва, Кремль... Дальше догадаться легко — в виноватые были зачислены опять-таки русские и, конечно же, лично Владимир Путин.

Мифология «русского хакерства» дошла до логического конца, когда группу АРТ28/Fancy Bear привязали ко всемогущему ФСБ, а группу АРТ29, которую тут же прозвали «Уютным мишкой» (Cozy Bear), решили, для солидности, привязать к Главному разведуправлению (ГРУ) российского Генштаба. А что? Обидно же, если ГРУ, в отличие от ФСБ, никого так и не «хакнуло»!

В общем, «русские хакеры» теперь поджидали доверчивых жителей Запада в каждом компьютере, тостере и утюге.

Куда подевался Миша Алоян?

Что же нам известно о «Веселом мишке»?

Во-первых, анализируя сообщения WADA о произошедшем взломе, достаточно трудно понять, что же конкретно произошло. Судя по последнему сообщению, опубликованному на сайте агентства 19 сентября 2016 года, речь идет, дословно, о «фишинге почтовых адресов WADA, которые привели к утрате и похищению злоумышленниками паролей от базы ADAMS, связанных с аккаунтом Олимпийских Игр в Рио 2016 года».

Если данное сообщение правдиво, то оно ставит под сомнение всю прежде выстроенную конструкцию обвинений. Ведь в случае хакерской группы APT28 неизбежным и характерным этапом для их атаки является встраивание в компьютеры жертв их уникального программного кода, той самой «невзламываемой» шпионской программы Sofacy, которая и перехватывает управление компьютером, собирая всю информацию о нем и пересылая шифрованную копию содержимого компьютера по Сети в распоряжение хакера из АРТ28. Если же WADA, как это указано в следующем абзаце их сообщения, пока что лишь «просит всех сообщать о случаях фишинга и подозрительной активности», то речь, скорее, идет о том, что источник утечки со стороны агентства так и не установлен, никаких копий Sofacy, характерных для деятельности группы АРТ28, в распоряжении WADA нет, а вопль «Русские идут!» связан скорее со страхами руководства агентства перед «российским возмездием», нежели с имеющимися фактами.

Кроме того, заставляет задуматься о предвзятости WADA еще один интересный факт. В своем последнем сообщении агентство просто забыло упомянуть, что во время утечки с серверов WADA была разглашена информация о российском спортсмене Мише Алояне, который, среди прочих атлетов, был «засвечен» хакерами из Fancy Bear во второй части их публикаций. В сообщении же WADA указаны «26 атлетов, 2 из Аргентины; 1 из Бельгии, 1 из Бурунди, 4 из Канады, 2 из Дании, 2 из Франции, 8 из Великобритании, 1 из Венгрии, 1 из Испании и 4 из США». Сделано это, скорее всего, не случайно — ведь признание того, что злоумышленники почему-то разгласили информацию о российском спортсмене, разрушает всю теорию о «русских хакерах, действующих по указке ФСБ».

Ну и, наконец, заставляют усомниться в «русском следе» регистрационные данные самого сайта, с которого были опубликованы все утечки WADA. Эти данные доступны по запросу в сервисе доменных имен, WHOIS. Для сайта fancybear.net владелец выглядит так: «Jean Guillalime, 38 Rue Beausejour, Pomponne, Seine-et-Marne, 77400, FR, +33.0410998675».

Где же расположено это место? О, да это окрестности Парижа, тихий пригород, рядом — американский «Диснейлэнд»… И, кстати, это аккурат между Гренландией и Шанхаем, никак не подкопаешься.

Что сказать? Наверное, у «русских хакеров» тоже есть чувство юмора.