С учетом размаха мифа об APT28 (считается организатором кибератак, например на штаб Макрона, WADA. — Forbes) крайне сложно изучить все материалы, опубликованные в сети, тем не менее я изучил основные доступные публично первоисточники создания мифа. Ключевыми лично для меня являлись отчеты от FireEye, Eset, TrendMicro и Crowdstrike (еще один отчет Crowdstrike здесь). На основе данных документов я сделал вывод, что основными способами соотнесения APT28 с российскими корнями стал следующий способ – существует некое программное обеспечение (фактически ботнет и ряд сопутствующих инструментов) с использованием которого при помощи email-рассылки идет заражение компьютеров пользователей с целью последующего шпионажа.
Программное обеспечение, используемое в атаках, одно и то же. То есть ключевым в распознавании следа становится использование одного и того же пакета «софта». Есть ряд крайне сомнительных косвенных признаков. Так, в программном обеспечении, связанном с APT28, обнаружены следы разработки русскими программистами. Отмечу, что русские программисты эмигрировали, наверное, во все страны мира. Например, некоторые очень известные спамеры из России уже давно перебрались в Гану (Африка).
Также вышеуказанными компаниями опубликован вывод о времени компиляции программ, совпадающем с классическим рабочим временем по Москве. Но он также совпадал с крупными городами мира примерно еще в 21 стране и в той же часовой зоне. Согласно первоисточнику (отчету FireEye), анализ был проведен по сэмплам программ с 2007 по 2014 год, обнаруженное время компиляции сэмплов — с 8.00 до 18.00 - то есть, по мнению составителей отчета, в обычный рабочий день по московскому времени UTC+4. Но московское время было UTC+4 лишь с 2011 по 2014 год, а до и после этого периода Москва жила по UTC+3.
И я уж не говорю о том, что рабочий день в Москве начинается все же в 9 утра, а не в 8. Думаю, читателям, которые когда-либо работали с программистами, понятно, что если в Главном разведывательном управлении (ГРУ) России программисты компилируют вирусы в 7.00, то, вероятно, делают это под пытками. Кстати, в этих же часовых поясах примерно находится пол-Африки. Единственный след, который я смог обнаружить в СМИ о соотнесении APT28 и киберпреступной деятельности, между прочим, также указал на Африку. Страны континента вообще знамениты нигерийскими «скамами»: в 2015 году компания Root9B обнаружила DNS-сервер связанный с APT28, проверив другие домены, использовавшие этот сервер. Компания нашла крупную фишинговую операцию против банков, связанную с уже известными игроками киберпреступного рынка в Африке.
Крупнейшую IT-компанию Root9B немедленно обвинили ряд экспертов в США в ангажированности своего отчета и попытке манипулировать курсом своих акций. То есть эксперты публично поставили под сомнение источник новой информации, и это несмотря на то, что за компанией стоял целый ряд представителей американской военной разведки. Есть еще целый ряд технических мелочей, которые, наоборот, указывают на то, что данная операция вряд ли проводится из России. К примеру, в каких-то случаях использовались email-адреса в домене yandex.com, но «Яндекс» автоматически присваивает email-адрес в зоне .com, именно когда тот регистрируется не из России. В атаке на DNS с использованием хостинговой площадки King Servers, которая принадлежит русским владельцем и использует русскую службу поддержки, письма в русскую поддержку писались почему-то на ломаном английском, доступы к панелям администрирования осуществлялись через Tor. Где-то в исходных кодах APT28 обнаружился код на грузинском.
Прослеживается следующая логическая цепочка. Крайне спорные косвенные признаки имеют небольшое значение, но есть программное обеспечение, когда-то успешно соотнесенное с ГРУ России каким-то публично образом. В последующем использование именно этого программного обеспечения абсолютно в любой атаке автоматически соотносится с ГРУ. В любом расследовании иногда нужно строить выводы, отталкиваясь вовсе не от того, что видишь, а наоборот, — от того, что должен видеть.
Что мы не видим? Нет ни одного технического следа, указывающего на Россию в деятельности APT28. Фактически с точностью наоборот, например, из отчета TrendMicro мы видим десятки C&C-серверов по всей Европе и миру (кроме России). Из публичного соотнесения адресов атаки на демократическую партию от ФБР и ThreatConnect мы знаем, что адреса серверов атаки были тоже не из России.
Мы также не видим расследований финансового следа. Это поразительно с учетом того, что инфраструктура атак является длительной и постоянной, как минимум кто-то анонимно покупает серверы, доменные имена, причем за рубежом и в немалом количестве. Мы также не видим вообще использования данного программного обеспечения в каких-либо еще попытках криминального заработка.
Итак, мы имеем группу, использующую одно и то же программное обеспечение исключительно для политических и военно-технических шпионских атак в течение длительного времени, не размещающую инфраструктуру в России, не зарабатывающую на своей деятельности криминальным путем. Каждая из этих особенностей имеет достаточно сложные и витиеватые объяснения.
Если предположить, что за действиями группы стоит действительно ГРУ (например, серверы арендуются за рубежом для отведения подозрений от России, но попытки «прятать» не слишком удачны), то непонятно, как ГРУ прячет финансовые следы управления всей этой «империей зла. При этом сотрудники ГРУ упорно и изо всех сил, с практически маниакальной настойчивостью, используют один и тот же «софт» и начинают работать в семь утра (что маловероятно для кадровых сотрудников). Думаю, что реальной целью этой операции, вероятно, является подружить западные компании в сфере кибербезопасности с целями атак — по крайней мере, мне другого смысла в деятельности APT28 обнаружить не удалось.
Если допустить, что мы имеем дело с классической операцией «под чужим флагом», то каждая из перечисленных выше особенностей имеет простое объяснение. Например, в России нет задействованной технической инфраструктуры для атак, возможно, это сделано чтобы лишить ее возможности провести собственное расследование. Финансовый след не ищут, потому что это опасно и, возможно, вообще развалит всю операцию. Использование софта для атак в криминальных целях не происходит по той же причине: криминальный мир слабо контролируем, в нем полно информаторов от достаточно независимых полицейских служб всех стран, включая и Россию.
Таким образом, остается не отвеченным лишь один, но вероятно наиболее важный из всех вопрос: почему используется одно и то же программное обеспечение? Ответ кроется в другом вопросе, прямо из него вытекающим. А именно: а кто, собственно говоря, автор этого программного обеспечения и какова его судьба?
Предположим, что я прав относительно операции «под чужим флагом». На мой взгляд, для того чтобы кого-либо атаковать при помощи чужого программного обеспечения, необходимо обладать исходными кодами. В теории сам факт получения вируса из сети уже позволяет опытным программистам провести реверс-инжиниринг и, опять же, в теории — успешно мимикрировать под данное программное обеспечение. Но в реальной жизни это сложно. Зато если у тебя есть чужие исходные коды — это элементарно.
Используемое APT28 программное обеспечение по функционалу очень похоже на классические программы для краж в финансовом секторе - Zeus и им подобные. Таковых в России действительно разрабатывалось достаточно немало. Как правило, «исходники» не лежат в сети. Основной способ получения «исходников» — при оперативно-розыскных мероприятиях, когда хакеры сами отдают исходные коды своих творений, они нужны как доказательная база.
Именно таким образом следствие сравнивает найденный в сети вирус с исходным кодом, представленным хакером. Для экспертизы кода, как правило, привлекаются компании по кибербезопасности, из рук которых исходные коды весьма часто явно путешествуют направо и налево — лично мне известен случай, когда исходный код ботнета, изъятый на следственных мероприятиях в России, каким-то образом явно оказался у компании ESET, не имевшей никакого отношения к расследованию. Кстати, именно ESET еще несколько лет назад публиковала отчет, из которого следовало, что им доступны также и исходные коды APT28.
Я бы предположил (лишь как версию, конечно), что вся история с APT28 – это история исходного кода, утекшего в руки экспертов, причем при следственных мероприятиях в России, в дальнейшем использованного для наведения тени на плетень в чьих-либо интересах.
С геополитической точки зрения, реакция России на эти обвинения является абсолютно идеальным кошмаром. Наше общество, видимо, просто привыкло к тому, что обвинение кого-либо в чем-либо (ситуация с реакцией власти на расследования Алексея Навального это иллюстрирует), ни к чему не приводит - и поэтому со временем забывается. В США и на Западе совершенно другие нормы. Новый президент США фактически поставлен в ситуацию, что его легитимность оспаривается мнимым сговором с Россией. В США нельзя взять и уволить директора ФБР и забыть об этом.
Поэтому в США президент, если хочет работать на своей должности и дальше, найдет виновных - в любом случае как минимум докажет свою непричастность к сговору. С этой точки зрения ключевым для анализа корней APT28 во многом становится позиция самой России и ее экспертного сообщества: она не может противоречить позиции по данному вопросу новой администрации в США, и, даже просто отмалчиваясь, мы успешно вступаем в серьезный конфликт уже с новой администрацией. Однако многие российские эксперты идут еще дальше — например, озвучиваются идеи международных договоров о кибервооружениях.
Если вдуматься, президент США объясняет, что никаких кибератак на демократов не было. В то время как эксперты из России публично предлагают договориться и «поладить» - желательно в ООН в прямом эфире CNN - по вопросам использования боевых вирусов. В общем-то, это можно классифицировать как предложение не просто «забыть обо всем» хотя бы ненадолго, а зафиксировать версию избрания Трампа с применением кибероружия - и в мировых СМИ, и в мировой истории в целом.
Есть и еще целый ряд действий, которые Россия по какой-то причине настолько игнорирует. Во-первых, международное право позволяет выяснить истинность обвинений независимых экспертов частного сектора в суде. Иными словами, если коммерческие компании — FireEye, TrendMicro и Crowdstrike — считают допустимым выносить обвинения против целой страны, обосновывая это часовым поясом разработки программы и языком общения программиста и скрывая другие причины, то кажется абсолютно резонным решением оспорить такую практику в суде в США по месту нахождения этих компаний.
Во-вторых, деятельность APT28 абсолютно точно противозаконна и подпадает под уголовную ответственность в РФ в рамках как минимум ст. 273 УК РФ (создание вредоносных программ). Что мешает российским органам расследовать данное преступление в рамках неустановленного круга лиц и получить представление о данных программах от собственных экспертов уже в рамках действующего законодательства.
Остается самый главный вопрос — а кто, собственно, стоит за операцией под ложным флагом? Я, конечно, могу лишь фантазировать. Но вот что любопытно: из четырех упомянутых мной компаний все четыре формально сотрудничают со многими службами, но как минимум две из них – Crowdstrike и FireEye — слишком тесно связаны именно с ФБР США и их сотрудничество явно выходит за любые рамки экспертного.
Так, Дмитрий Альперович, основатель Crowdstrike, «взлетел» благодаря своей длительной работе «информатором» в операции агента ФБР Кита Муларски по закрытию форума Dark Market. С работой FireEye и ФБР связана такая история: при закрытии другого криминального форума, Darkode, одним из обвиняемых в создании вирусов внезапно оказался сотрудник, проходивший стажировку в FireEye. Причем подразделение Mandiant в FireEye, по сообщениям СМИ, является основным партнером ФБР по созданию технологий нападения - то есть вирусов. Эксперт, обвинивший компанию Root9B, также был тесно связан популяризацией материалов киберрасследований именно ФБР в СМИ. Какие интересы могло преследовать ФБР, насколько они вообще совпадали с интересами США? Я даже думать об этом не хочу - фантазии, возможно, должны оставаться фантазиями.