Хороший обзор событий опубликован TheRegister .
Западные СМИ кричат, что это были «русские». А собственно почему?
Думаю ответ очевиден.
Компания «ThreatConnect», занимающаяся вопросами безопасности и разведки, считает, что нашла неопровержимое доказательство того, что следы утечки переписки Демократической партии ведут непосредственно к российским хакерам.
Были проанализированы коммуникационные методы, используемые Guccifer 2.0, который, как считается, является псевдонимом группы злоумышленников, получивших доступ к компрометирующей переписке и передавших ее в WikiLeaks. На этой неделе документы были опубликованы на сайте, работающем под руководством Джулиана Ассанжа.
Компания «ThreatConnect» предоставляет читателям полный доступ к результатам своих изысканий, давая право решать самостоятельно, являются ли они веским доказательством участия России или же очередным случаем из серии «это сделала Северная Корея», как в ситуации с Sony Pictures.
Французский след
Говорят, что команда Guccifer использовала французский почтовый сервис AOL для переписки с журналистами. Эти сообщения, отправленные с адреса guccifer20@aol.fr , были проштампованы французским IP-адресом — 95.130.15.34, что означает, что во время отправления пользователь использовал именно этот сетевой адрес. Метаданные аккаунта Guccifer в Twitter — в частности, языковые настройки и фоллоуверы – также наталкивают на предположения, что владелец аккаунта действовал, используя французский адрес. Guccifer также использовал адрес mail.com для общения с одним из корреспондентов. Опять же, этот почтовый сервис имеет французский IP-адрес.
То, что IP-адрес 95.130.15.34 принадлежит французскому серверу, владельцем которого является Интернет-провайдер DigiCube, означает, что ящику был назначен соответствующий IP-адрес, который и использовался Guccifer для доступа к французскому почтовому сервису AOL. Проверка этого почтового ящика показала наличие открытого сетевого протокола и туннельного протокола типа точка-точка.
Давайте пойдем дальше: фингерпринт сервера SSH — 80:19:eb:c8:80:a1:c6:ea:ea:37:ba:c0:26:c6:7f:61 – является уникальным для открытого ключа SSH. Этот фингерпринт может использоваться для обнаружения в сети других компьютеров, использующих тот же самый открытый ключ и, что наиболее вероятно, имеющих одного и того же оператора.
Снятие отпечатков
Поиск с помощью Shodan помог обнаружить другие компьютеры, имеющие шесть IP-адресов, принадлежащих DigiCube и тот же самый фингерпринт. DigiCube является лишь интернет-провайдером; сторонняя организация арендует у компании почтовые ящики и обеспечивает прокси-сервис. Наличие одного фингерпринта наталкивает на мысль, что каждый сервер представляет собой клон, управляемый единой организацией.
Один из тех IP-адресов, 95.130.9.198, ведет к fr1.vpn-service.us. Домен vpn-service.us был зарегистрирован в 2004 с использованием российского адреса электронной почты, sec.service@mail.ru .
Домен vpn-service.us существует и по сей день, являясь виртуальной частной сетью (VPN) с повышенной безопасностью, а также русскоязычным прокси-сервисом, предоставляющим доступ к интернету из Франции с использованием компьютеров, подключенных к провайдеру DigiCube. При входе в Elite VPN и после выбора французской точки присутствия, на выбор предлагается список IP-адресов для подключения к сети. Эти IP-адреса принадлежат компьютерам, имеющим один и тот же вышеупомянутый фингерпринт.
Таким образом, получается, что Elite VPN арендует серверы DigiCube, размещает на них прокси-сервисы, используемые группой Guccifer для подключения из другой точки мира к французскому почтовому сервису AOL для отправки сообщений.
Таинственный IP-адрес
Вот что странно: IP-адрес, используемый с адресом французского почтового аккаунта AOL AOL, не имеет отношения к обычным клиентам Elite VPN. Он лишь выглядит как принадлежащий к сети Elite VPN из-за наличия общего ключа.
«Основываясь на этой информации, мы можем подтвердить, что Guccifer 2.0 использует расположенный в России сервис Elite VPN и имеет доступ к IP-инфраструктуре, недоступной другим пользователям», – заявили представители исследовательской группы ThreatConnect.
«Мы не можем определить, используется ли IP-адрес 95.130.15.34 исключительно физическими лицами, стоящими за псевдонимом Guccifer 2.0. Следовательно, любая деятельность, связанная с IP-адресом, не может быть приписана лишь Guccifer 2.0,» – отметили представители ThreatConnect.
«Важно отметить, что IP-адреса 95.130.15.34, замеченного в переписке от имени Guccifer 2.0, нет в списке опции сервиса Elite VPN, хотя он имеет идентичный SSH фингерпринт и использует тот же самый порт (1723, PPTP ).
Компания «ThreatConnect» также отмечает, что IP-адрес 95.130.15.34 уже был использован в нескольких аферах, в том числе в российской брачной афере в 2014 году и в атаке на блоги WordPress в прошлом году.
Из этого делается вывод, что группа злоумышленников Guccifer тесно связана с Россией. Туда ведет дорожка и туда указывает обвиняющий перст.
«Дальнейшее исследование инфраструктуры Guccifer 2.0 все сильнее укрепляет нашу убежденность в том, что определенная платформа, находящаяся под контролем России, может выступать в качестве легального хакера», — говорят представители компании «ThreatConnect». «Москва определяет, какой информацией может делиться Guccifer 2.0, а какой – нет, таким образом, пытаясь воздействовать на освещение событий в СМИ, и, возможно, даже на сами выборы, преследуя при этом свои национальные интересы».
Это очень удобно
Безусловно, подобное заключение гармонично вписывается в обычный рассказ о том, что именно русские стоят за хакерской атакой. Но неуклюжие действия Guccifer противоречат результатам двух расследований относительно кибервторжений в систему Демократической партии США. В них утверждается, что две группы, имеющие непосредственную связь с российской разведкой, осуществляли сложные вторжения на протяжении целого года.
Компания «ThreatConnect» выдвигает предположение, что информация была украдена российским правительством, а затем передана группе хакеров для распространения в западных СМИ. Это очень интересный взгляд. Конечно, вполне правдоподобно, что Guccifer 2.0 и не является тем самым хакером, взломавшим сервер Демократической партии, а лишь пешкой в чьей-то большой игре.
Установление личности хакера, как известно, весьма трудная задача. В некоторых случаях — невыполнимая. Люди могут подключаться к сети из любой точки земного шара, использовать разнообразные инструменты и уловки, чтобы скрыть свое местонахождение и мотивацию. Использование российского VPN сервиса вовсе не означает, что хакерская атака была осуществлена из России или в ее интересах.
Кроме того, есть настораживающее сходство между этим случаем и предполагаемым взломом Sony Pictures хакерами из Северной Кореи. Многие специалисты в сфере безопасности убеждены, что имеющихся доказательств недостаточно для утверждения, что та хакерская атака была осуществлена именно Северной Кореей. Единственным, кто ничуть не сомневается в этом, является правительство США.
Тем временем, Guccifer 2.0 утверждает, что является хакером-одиночкой, не имеющим какой либо связи с правительством России. Но компания «ThreatConnect» убеждена, что подобное отрицание является лишь попыткой сбить исследователей с правильного следа.
Что касается российского правительства, то оно полностью отрицает свою причастность к инциденту. Хотя, по убеждению Мэнди Райс-Дэвис, кто же это мог быть, если не Россия. Министр иностранных дел России, Сергей Лавров, дал прессе простой ответ на этот вопрос.
«Я не хочу использовать нецензурные слова,» сказал он.
