12 хакеров ГРУ: в чем США обвинили офицеров российской военной разведки

Подробно 13 июля 2018

В пятницу суд присяжных в США заочно обвинил 12 сотрудников российской военной разведки во взломе компьютеров Демократической партии и Хиллари Клинтон, кандидата в президенты на выборах 2016 года. Как сообщил заместитель генпрокурора США Род Розенстайн, обвинения предъявлены в рамках продолжающегося расследования о возможном вмешательстве России в выборы США, которое ведет спецпрокурор Роберт Мюллер. По словам Розенстайна, обвиняемые начали свои кибератаки в марте 2016 года, с помощью вредоносного программного обеспечения они взламывали электронную почту добровольцев и сотрудников штаба Клинтон. В обвинительном заключении, которое поступило в суд, называются фамилии обвиняемых и подробно описывается, чем они занимались.

Кто чем занимался

Читайте только важные новости. Подписывайтесь на рассылку The Bell

По данным следствия, сотрудники ГРУ с помощью фишинговой атаки получили доступ к более чем 300 компьютерам, связанным с избирательной кампанией Клинтон. Среди взломанных аккаунтов оказался аккаунт главы избирательного штаба Джона Подесты с более чем 50 тысячами писем. Взлом компьютерной сети демократов координировался из войсковой части № 26165, расположенной по адресу Москва, Комсомольский проспект, 20.

  • Нетыкшо Виктор Борисович – командир войсковой части № 26165.
  • Антонов Борис Алексеевич – служил в войсковой части № 26165, майор. По данным следствия, он возглавлял подразделение внутри войсковой части, которое  занималось проникновением в компьютеры военных, политических, правительственных и неправительственных организаций. Примерно в 2016 году Антонов курировал других соучастников преступной схемы, которые взламывали компьютеры Комитета Демократической партии по выборам в Конгресс, Национального комитета Демократической партии, а также лиц, связанных с предвыборной кампанией Хиллари Клинтон.
  • Бадин Дмитрий Сергеевич – помощник Антонова. Вместе с ним в 2016 году (или близко к этому периоду), он контролировал соучастников преступной схемы, которые взламывали компьютеры Демократов.
  • Ермаков Иван Сергеевич – работал в подразделении Антонова. Примерно с 2010 года под различными виртуальными именами он проводил операции по взлому. Примерно в марте 2016 года он принимал участие во взломе по меньшей мере двух почтовых аккаунтов, содержавшаяся там информация о предвыборной кампании была опубликована на сайте DCLeaks. Также он получил доступ к компьютерным системам Комитета Демократической партии по выборам в Конгресс и Национального комитета Демократической партии США, благодаря чему злоумышленники могли отслеживать действия сотрудников штаба Клинтон и красть их пароли. Также известно, что хакеры искали нужную им информацию по ключевым словам «Хиллари», «Трамп», «Круз» (вероятно, имеется в виду сенатор-республиканец Тед Круз, поддержавший Дональда Трампа).
  • Лукашев Алексей Викторович – старший лейтенант, прикрепленный к подразделению Антонова. Под разными виртуальными именами он рассылал фишинговые письма членам штаба Клинтон и связанным с ним лицам, включая руководителя штаба. Сайт dcleaks.com, через который публиковались украденные письма, был зарегистрирован с аккаунта [email protected], который принадлежал аккаунту john356gh Лукашева. 19 марта 2016 года Лукашев, используя логин John356gh, прислал главе штаба письмо, замаскированное под обычное уведомление от Google с просьбой сменить пароль на более безопасный. Ссылка вела на сайт, созданный ГРУ. Письмо было отправлено с ящика [email protected] Доступ к нужному почтовому ящику Лукашев получил в тот же день. 6 апреля 2016 года Лукашев создал еще один почтовый аккаунт, который на одну букву отличался от реальной почты одного из членов штаба (в документе его имя не указано) и разослал членам штаба письмо с прикрепленным файлом hillary-clinton-favorable-rating.xlsx (ссылка также вела на созданный ГРУ сайт).
  • Моргачев Сергей Александрович – подполковник из той же войсковой части, руководил подразделением, которое занималось разработкой вредоносного ПО, включая X-Agent (автором этой программы ранее называлась хакерская группировка Fancy Bear). При взломе сетей Комитета Демократической партии по выборам в Конгресс и Национального комитета Демократической партии Моргачев контролировал соучастников преступной схемы, которые разрабатывали и управляли программой X-Agent, устанавливаемой на компьютеры демократов.
  • Козачек Николай Юрьевич – капитан, работал в подразделении Моргачева. Использовал разные ники, разрабатывал и управлял вредоносным ПО X-Agent.
  • Ершов Павел Вячеславович – работал в подразделении Моргачева. В 2016 году или в близкий к нему период помогал Козачку и другим фигурантам дела в тестировании и доработке вредоносного ПО X-Agent перед его непосредственным внедрением и использованием.
  • Малышев Артем Андреевич – лейтенант, работал в подразделении Моргачева, использовал разные ники. В 2016 году или в период, близкий к нему, наблюдал за вредоносным ПО X-Agent, внедренным на сервера Комитета Демократической партии по выборам в Конгресс и Национального комитета Демократической партии.
  • Осадчук Александр Владимрович – полковник и командир войсковой части №74455, расположенной в Химках по адресу улица Кирова, 22. ГРУ называло это здание «Башней» (Tower). Эта часть помогала обнародовать украденные документы через вымышленных персонажей DCLeaks и Guccifer 2.0, постить обличающий Клинтон контент в аккаунтах, управляемых ГРУ.
  • Потемкин Алексей Александрович – офицер, прикрепленный к войсковой части 74455. Руководил подразделением, которое несло ответственность за управление информационной инфраструктурой, используемой в кибероперациях. Инфраструктура и аккаунты в социальных сетях, которыми управляла структура Потемкина, наряду с другими инструментами использовались для публикации украденных документов через DCLeaks и Guccifer 2.0. С аккаунтов Потемкина были зарегистрированы фейковые аккаунты на Facebook под выдуманными именами Элис Донован, Джейсон Скотт, Ричард Гингри и прочие, которые продвигали информацию с сайта DCLeaks. Также им в Twitter был создан аккаунт @dcleaks, который продвигал материалы сайта. С того же компьютера был зарегистрирован аккаунт @BaltimoreIsWhr, который призывал присоединиться к флешмобу против Клинтон и постить фотографии с хештегом #BlacksAgainstHillary.
  • Ковалев Анатолий Сергеевич – офицер, прикрепленный к войсковой части 74455, работал в «Башне». Упоминается в связке с Осадчуком: «Ответчики Осадчук и Ковалев были офицерами ГРУ, которые осознанно и  намеренно вступили друг с другом и с другими лицами в сговор, чтобы взломать компьютеры граждан и организаций США, ответственных за организацию выборов 2016 года». В июне 2016 года или в близкий к нему период Ковалев вместе с другими фигурантами изучал домены организаций штатов, которые занимались проведением выборов, и искал на соответствующих сайтах уязвимости. Ковалев вместе с остальными также искал электронные адреса членов политической партии штата.

По данным следствия, обвиняемые присылали более 1 гигабайта данных и около 20 000 писем, украденных из штаба Клинтон, некому пользователю под логином Organization 1. Подконтрольная хакерам выдуманная личность Guccifer 2.0 получила сообщение от Organization 1, в котором пользователь призывал отправить ему украденные у демократов данные, так как он сможет использовать данные лучше, чем Guccifer 2.0. В докладе не сказано, кто скрывается под именем Organization 1. Кроме сайта DCLeaks, переписку демократов публиковал WikiLeaks.

Для покупки серверов, доменов и других платежей использовалась криптовалюта, в основном биткоин. По данным следователей, деньги на свои операции они получили, отмыв $95 тысяч, часть денег пришла через майнинг биткоинов. Инфраструктура покупалась через сотни разных почтовых акканутов. Иногда отдельные аккаунты создавались для каждой новой покупки.

Что еще известно о фигурантах дела

  • ГРУ — одно из самых закрытых российских ведомств, информация о его сотрудниках засекречена и в российских открытых источниках отсутствует. Но команде Роберта Мюллера удалось выяснить не только технические детали взлома и псевдонимы хакеров, но и имена и фамилии сотрудников ГРУ. The Bell в конце прошлого года опубликовал расследование о том, что к утечке информации о хакерских атаках на Демократическую партию мог быть причастен экс-начальник управления Центра информационной безопасности ФСБ Сергей Михайлов, арестованный в декабре 2016 года по обвинению в госимзене.
  • Единственный из обвиняемых, который упоминается в российских базах данных, — Виктор Борисович Нетыкшо. По данным базы «СПАРК-Интерфакс», человек с таким именем с 2013 по 2018 год был командиром московской войсковой части № 26165. В 2003 году Нетыкшо получил степень кандидата технических наук, защитив дисертацию «Восстановление параметров дискретных устройств, основанное на переоценке вероятностей с использованием действительных пороговых соотношений» по специальности «Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей».
  • Полному тезке еще одного обвиняемого, Бориса Алексеевича Антонова, принадлежит патент 1995 года на способы или устройства для обработки взрывчатых веществ.
  • Хакер, называющий себя Guccifer 2.0, взял на себя ответственность за взлом серверов Демократической партии США. В марте 2018 года издание The Daily Best со ссылкой на источники, близкие к расследованию, сообщило, что под ником Guccifer 2.0 скрывается сотрудник ГРУ.

Что известно о войсковых частях №26165 и 74455

  • О частях №26165 и №74455, в которых служили обвиняемые, официальной информации также нет, но, судя по косвенным данным, это криптографические подразделения ГРУ.
  • По адресу Комсомольский пр., 20 (там зарегистрирована часть №26165) в советское время находилась дешифровальная служба ГРУ, которая занималась криптоанализом перехваченных шифрованных сообщений. Часть №26165 также упоминалась в расследовании российского издания The Insider — в ней служил сотрудник ГРУ Георгий Рошка, который предположительно был причастен к взлому почты президента Франции Эммануэля Макрона.
  • О войсковой части №74455 еще меньше информации. Единственное, что удалось обнаружить The Bell, — начальником одного из управлений части служит профессор факультета специальных информационных технологий Академии Военно-воздушных сил Михаил Еремеев. Еремеев — соавтор книг по криптографии и автор научных работ об алгоритмах шифрования.

Контекст

  • 15 марта 2018 года Минфин США опубликовал санкционный список, в который были включены 19 россиян и 5 организаций, предположительно вмешавшихся в американские выборы. Под санкции попало в частности «Агентство интернет-исследований», известное также как «фабрика троллей». Большинство из тех, кто попал под санкции, работали в этой компании (подробнее о том, кто эти люди, можно прочитать здесь). В отношении пятерых россиян из нового списка, в том числе бизнесмена Евгения Пригожина, а также еще двух его компаний («Конкорд менеджмент» и «Конкорд кейтеринг»), ФСБ России и ГРУ санкции были уже введены ранее.
  • 6 апреля США ввели новые санкции против 38 юридических и физических лиц. Изначально эти санкции анонсировались как санкции «за вмешательство в выборы». Но на деле мотивировка оказалась более широкой: санкции были введены за некую совокупность «злонамеренных шагов».
Обвинения офицерам российской разведки предъявлены за несколько дней до встречи Дональда Трампа и Владимира Путина, от которой ждут прорыва в отношениях между двумя странами. И теперь обоим лидерам придется считаться с серьезностью этих обвинений. Спустя полтора часа после предъявления обвинений помощник Владимира Путина по внешней политике Юрий Ушаков заявил, что итогового заявления двух президентов, скорее всего, вообще не будет — конечно, никак не связав это с американскими обвинениями.

Лиана Фаизова, Анастасия Якорева, Егор Сонин, Владимир Моторин

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl + Enter.