Однажды в сентябре 2015 агент ФБР Адриан Хокинс позвонил в штаб-квартиру Национального комитета Демократической партии (DNC) в Вашингтоне, округ Колумбия, и попросил соединить его с сотрудником, отвечающим за техническое обеспечение.
Его соединили со справочной DNC, которая перевела звонок на Яреда Тамина, молодого IT-специалиста консалтинговой фирмы MIS Department, нанятой DNC. Представившись, Хокинс сказал, что у него есть основания полагать, что по крайней мере один из компьютеров в сети DNC взломан. Он спрашивал, знают ли об этом в DNC и что по этому поводу предпринимают.
Тамин не имел никакого отношения к кибербезопасности и мало что в этом понимал. Он был администратором сети среднего уровня, и его основные обязанности в DNC заключались в том, чтобы заводить сотрудникам учетные записи и быть на связи на случай возможных проблем.
Разговаривая с Хокинсом, Тамин держался настороженно. Что, если это розыгрыш или, еще хуже, грязный трюк? Он спросил Хокинса, может ли тот как-нибудь подтвердить, что он агент ФБР. Позже Тамин писал в объяснительной: «Он не дал мне адекватного ответа… в тот момент у меня не было способа отличить этот звонок от звонка пранкеров». Однако Хокинс был настоящим. Он был на хорошем счету в киберслужбе ФБР. И он распутывал ниточку в деле, которое в будущем отразится на президентских выборах.
Чуть раньше в том же году кибербойцы США перехватили список из примерно тридцати правительственных агентств США, научно-исследовательских центров и нескольких политических организаций, которые должны были подвергнуться кибератакам со стороны команды хакеров, известной как APT-29. АРТ на техножаргоне означало «развитая устойчивая угроза», изощренный набор внешних агентов, которые проникают в сети, внедряют вирусы, извлекают данные в течение продолжительного периода времени.
АРТ-29 была самой целеустремленной среди всех подобных групп. Подозревали, что они связаны с российскими разведслужбами, вероятнее всего — со службой внешней разведки; что они стояли за взломом сетей Белого дома и Госдепартамента в конце 2014 года. А незадолго до этого они внедрились в сеть Объединенного комитета начальников штабов США.
Службам иностранной разведки и раньше случалось атаковать компьютеры политических партий США. Кибердозорные ФБР не сомневались, что и дня не проходило без серии кибератак. Компьютерные сети крупных компаний, учреждений и правительственных агентств постоянно подвергались риску взлома. В 2008 году ФБР разоблачило хакеров, работавших на китайское правительство, которые внедрились в предвыборные кампании Барака Обамы и Джона Маккейна. Белый дом был вынужден предупредить обоих о том, что их внутренние базы данных взломаны. В июне 2015 китайцы предприняли массированную атаку на Управление кадровой службы и увели персональные данные примерно 21 миллиона человек. В ноябре предыдущего года хакеры, предположительно связанные с северокорейским правительством, совершили набег на Sony Pictures. (Конечно, и Соединенные Штаты предпринимали свои собственные кибероперации. В 2010 году Обама приказал АНБ провести кибератаку на иранскую ядерную программу, атака разрушила около тысячи центрифуг, использовавшихся для обогащения урана, — эта операция отбросила иранскую ядерную программу назад и, как это виделось официальным лицам в США, позволила избежать военного удара со стороны Израиля.)
Перечень целей АРТ-29 был свежим доказательством того, что российская киберугроза постоянна и растет. Это было еще одним ключевым признаком: Москва планирует ту самую информационную войну, о которой около года назад говорил своему американскому знакомому российский источник. Кое-кто в киберслужбе ФБР считал это событие не сулящим ничего доброго — особенно если присовокупить другие разведданные о замыслах русских. «Мы видим, что русские к чему-то готовят своих парней, — сказал один киберагент ФБР, просматривавший разведывательные сводки. — Выглядит, как если бы они проснулись утром и цепляют на себя оружие. Они активируют инфраструктуру по всему миру».
Хокинсу, как человеку усердному, имевшему привычку документировать каждый телефонный звонок и каждую встречу, было поручено предупредить некоторые мишени. Одной из них в его списке и был DNC.
Самый первый контакт Хокинса с DNC, однако, стал первым в целой серии проваленных контактов и случаев недопонимания между ФБР и партией; все это привело к раздражению, злобным обвинениям и, что было гораздо важнее, — к утрате возможности расстроить российскую атаку на выборы. Со временем возникло огромное количество вопросов. Насколько настойчиво пыталось ФБР предупредить DNC о том, что их компьютеры подверглись нападению со стороны иностранного государства? Почему Бюро не попыталось поднять этот вопрос перед руководством DNC? И почему айтишники DNC — Тамин и его коллеги — не приняли предостережения ФБР более серьезно и не сообщили об этом руководству?
В том первом телефонном разговоре Тамин, которому показалось, что Хокинс слишком шифровался и не был настроен на общение, постарался не дать агенту никакой конкретной информации о сети DNC. Хокинс велел Тамину искать вирус The Dukes (что было на самом деле названием группы хакеров). Агент попросил, чтобы Тамин не обсуждал возможную кибератаку или этот разговор, используя телефоны или сети DNC. Тамин пообещал, но по-прежнему думал, не фейковый ли это звонок. Хокинс не упоминал Россию или иное иностранное государство.
Тамина не встревожило это туманное предупреждение. Он быстренько поискал в сети информацию о The Dukes — фирма по кибербезопасности Symantec недавно обвиняла их в связи с резонансными кибератаками из России. Он также сделал беглую проверку лог-файлов системы DNC в поисках каких-нибудь следов атаки вируса на сеть своего клиента. Ничего не нашел. Рассказал о телефонном звонке Эндрю Брауну, директору по технологии, и отчитался, что не видит никаких доказательств взлома сетей.
Казалось бы, дело сделано.
В октябре Хокинс несколько раз снова звонил Тамину и оставлял голосовые сообщения. Тамин их проигнорировал. «Я не отвечал на его звонки, потому что мне нечего было сказать», — написал он о своих контактах с агентом ФБР в объяснительной.
Хокинс не сдавался. В ноябре он снова позвонил. На этот раз Тамин ответил и сообщил агенту ФБР, что он не нашел в сетях DNC ничего такого, что могло бы подкрепить утверждения Хокинса.
Тогда Хокинс сообщил новые сведения: как минимум один компьютер в сети Комитета был заражен и «звонил домой» в Россию — обращался к IP-адресу в этой стране. А это, подчеркнул Хокинс, может быть признаком кибератаки на сети DNC, причем спонсированной государством. Он попросил Тамина посмотреть, нет ли каких-нибудь признаков такого IP-адреса в журналах межсетевого экрана.
И тут Тамин задумался. Он пообещал поискать IP-адрес и рассказал о звонке Брауну. Ему стало интересно, не пропустил ли он в своих проверках какого-нибудь признака взлома. Он снова провел тесты и не обнаружил ничего, что могло бы помешать обнаружению следов кибервторжения.
В январе 2016 года, когда DNC был целиком поглощен полным раздоров соперничеством на первичных выборах, где Хиллари Клинтон натравливали на Берни Сандерса, Хокинс снова позвонил Тамину. Он попросил о личной встрече. Несколько дней спустя Тамин с двумя коллегами приехали в офис ФБР в Ашберне, штат Вирджиния — маленьком городке в тридцати милях от Вашингтона. Хокинс встретил их, показал свой значок агента ФБР, раздал всем свои визитки. Это окончательно убедило Тамина и его коллег в том, что никакого подвоха в этой истории не было.
Хокинс передал айтишникам журнал регистрации трафика с одного IP-адреса в DNC на некий скрытый адрес. Журнал доказывал, что сеть демократов взломали и один из их компьютеров действительно «звонил домой» на этот скрытый адрес. Хокинс попросил Тамина и других, в случае если они смогут обнаружить эту несанкционированную деятельность в своей сети, не пресекать ее. Они могли предпринять любые необходимые шаги для того, чтобы уменьшить риск внедрения, сказал Хокинс, но им не следовало обнаруживать себя. (Такова была стандартная практика идентификации противника в сетях.)
И еще раз Тамин и его коллеги стали просматривать информацию, ища признаки проникновения в их сеть. Но в сетевых журналах не было трафика, обозначенного в документе, с которым их познакомил Хокинс. Неужели хакеры каким-то образом обманули их систему, чтобы скрыть свои следы?
В середине февраля Хокинс прислал Тамину письмо по электронной почте (на адрес Тамина в другой сети, не в сети DNC), в котором сообщил ему конкретный IP-адрес пункта назначения, который надо было искать в журналах. То есть это был адрес «дома», к которому обращался зараженный компьютер. Впервые агент ФБР делился столь значимой информацией. Но, даже зная этот адрес, Тамин и его команда не смогли обнаружить никаких данных в подтверждение взлома. К концу месяца Хокинс прислал еще одно письмо Тамину: его коллеги из кибербезопасности по-прежнему видели активность, подтверждающую факт проникновения в сеть DNC. Тамин ответил, что его команда постоянно мониторит сеть, но ничего нового не обнаружено.
С момента первого контакта Хокинса и Тамина прошло уже пять месяцев. В случае, о котором идет речь, используемый вредоносный код был связан с Россией. Однако удивительным образом никто не рассматривал потенциальную угрозу взлома как проблему насущную, требующую немедленной реакции. В сети Комитета демократов бушевал киберпожар, а воя пожарных сирен не слышали.
В субботу, 19 марта 2016 года, в 4:34 утра Джон Подеста, председатель предвыборной кампании Хиллари Клинтон, получил электронное письмо, которое на первый взгляд казалось отправленным службой поддержки Google. Речь шла о персональном аккаунте Подесты на Gmail.
«Привет, Джон! Кто-то только что воспользовался твоим паролем для того, чтобы попытаться войти в твой Google-аккаунт», — говорилось в письме от «команды Google». Дальше отмечалось, что попытка проникновения была совершена с IP-адреса в Украине. И далее: «Google прервал попытку входа. Ты должен немедленно сменить пароль». Команда Google предусмотрительно дала ссылку, перейдя по которой, Подеста смог бы сменить пароль, как ему было рекомендовано.
Подеста переслал письмо руководителю своего аппарата Саре Лэтэм, которая в свою очередь отправила его Чарлзу Дэлавану, молодому IT-специалисту кампании Клинтон. В 9:54 Дэлаван ответил: «Это легитимное сообщение. Джон должен сменить пароль немедленно. И убедиться в том, что включил для своего аккаунта двухфазное подтверждение… Совершенно необходимо, чтобы он сделал это как можно быстрее».
Позднее Дэлаван пытался убедить своих коллег, что просто допустил опечатку. Он намеревался написать «это нелегитимное сообщение». Не все в штабе Клинтон поверили ему. Но существовало доказательство в пользу Дэлавана: в своем письме Саре Лэтэм он дал подлинную ссылку, которой должен был воспользоваться Подеста для смены пароля.
Но по какой-то причине Подеста кликнул на ссылку, присланную в поддельном письме, и сменил пароль на липовом сайте. Русские получили ключ к его почте и доступ к самым приватным посланиям Хиллари Клинтон за долгие годы.
Фишинговое письмо, присланное Подесте, было частью массированной атаки, проведенной другой группой — АРТ-28, возможно, связанной с ГРУ, российской военной разведкой. Эксперты по кибербезопасности впоследствии подсчитали, что с марта 2015 по май 2016 года эта группа осуществила девятнадцать тысяч отдельных атак.
Эти хакеры сделали своей мишенью более четырех тысяч человек в 116 странах мира, включая примерно шестьсот человек в США. Среди них были многие действующие и бывшие военные и дипломаты. В числе мишеней этой организации хакеров были государственный секретарь Джон Кэрри, бывший государственный секретарь Колин Пауэлл, Майкл Макфол, к тому времени уже покинувший государственную службу, представитель Ватикана в Украине и российская антипутинская панк-группа «Пусси Райот». Фишинговые сообщения получили больше 130 человек в среде демократов, включая Дженнифер Палмьери, директора по коммуникациям штаба Клинтон, и Хуму Абердин, давнюю помощницу и конфидентку Клинтон. АРТ-28 положила глаз на фонд Клинтона и Центр за американский прогресс — экспертную организацию, основанную Подестой и близкую Клинтон.
Эта кибератака привела к тому, что хакеры проникли примерно на четыреста аккаунтов. Но один аккаунт был важнее всех остальных. Одним-единственным кликом они поймали в западню высший чин в клинтоновской кампании. А в штабе никто ничего не знал. Ни сном ни духом.
Мартовским днем Робби Мук, тридцатишестилетний менеджер предвыборной кампании Хиллари Клинтон, человек, никогда не отклоняющийся от выбранного маршрута, сидел у себя в офисе на двенадцатом этаже национальной штаб-квартиры кампании в Бруклине и паниковал.
Нагрянуло ФБР. Муку сообщили, что пришли, без договоренности, агенты из регионального управления Нью-Йорка. Они хотели видеть кого-нибудь из начальства. Что у них было на уме? О чем речь? Входящих в офис кампании агентов ФБР увидела Палмьери и тоже испугалась худшего.
У них был повод для беспокойства: ФБР расследовала историю об использовании Клинтон частного почтового сервера для служебных нужд в ее бытность государственным секретарем. И это расследование вполне могло развалить ее предвыборную кампанию.
Больше года дискуссия о почтовом сервере Клинтон была одной из самых значительных во всех новостях — и тяжелой обузой для Клинтон, тормозом ее избирательной кампании. Дискуссия началась в New York Times: газета опубликовала репортаж, в котором говорилось, что Клинтон использовала личный почтовый ящик, размещенный на сервере в подвале ее дома в Чаппакуа, штат Нью-Йорк, для служебных нужд. Она отправляла письма через этот ящик из своего офиса в районе Foggy Bottom (Туманная низина). Все это было явным нарушением официальных правил; нарушено было и то требование, что вся официальная корреспонденция должна быть архивирована и надежно сохранена. Официальные лица Государственного департамента не имели ни малейшего представления о схемах госсекретаря. Когда они получили запросы из Конгресса и Агентства по применению Закона о свободном доступе к информации по почтовым отправлениям Хиллари Клинтон на всевозможные темы, служащие Госдепа покорно порылись в компьютерной системе Департамента и ответили, что никаких подобных документов найти не смогли. Они просто не знали, что нужный материал размещен на частном сервере в пригороде Нью-Йорка. Через какое-то время после того, как разразилась эта история, Клинтон заявила, что вернула в Госдепартамент тридцать тысяч почтовых отправлений, имеющих отношение к работе, но уничтожила еще тридцать две тысячи, которые ее адвокаты сочли «личными».
Клинтон предоставила своим врагам новые аргументы для того, чтобы выставлять ее как скрытную пройдоху, политика, который считал, будто он может обходить правила. Оппоненты Клинтон, более склонные к конспирологическим теориям, утверждали, что она использовала частный сервер для того, чтобы скрыть собственные неправомерные действия и профессиональную несостоятельность; может быть, в этот разряд попадала и ее реакция на трагическую атаку на учреждения США в ливийском Бенгази в 2012 году, в которой погибло четыре американца. Никакого реального подтверждения этому не было, и Клинтон настаивала, что пользовалась личным ящиком лишь из соображений удобства. Однако главные инспекторы Госдепартамента и аппарата директора Национальной разведки подали запросы. Было обнаружено несколько свидетельств того, что некоторые конфиденциальные документы отправлялись через частный сервер, что противоречило первоначальным заявлениям Клинтон, и главные инспекторы поставили в известность Министерство юстиции; формулировка звучала так: «Возможное разглашение служебной информации». К лету ФБР начало следствие по делу Клинтон и ее частного сервера.
А теперь, спустя несколько месяцев, Клинтон обходила Сандерса в праймериз Демократической партии — с трудом победив его благодаря закрытым собраниям партии в Айове и будучи сильно потрепанной им в Нью-Гэпмшире. Клинтон и ее помощники постоянно нервничали, боясь, что какое-нибудь неожиданное событие подорвет ее кампанию: например, новые находки ФБР в деле о частном сервере. Расследование ФБР нависало над предвыборной кампанией, как дамоклов меч. Вот почему у Мука и компании были причины для испуга, когда они увидели агентов ФБР входящими в штаб-квартиру Клинтон. Первой мыслью Мука было: сейчас они заберут сервер, чтобы приобщить к делу как вещественное доказательство.
Мук боялся ФБР. Ему казалось, что ФБР зачем-то пытается надавить на Клинтон этими прощупываниями по частному серверу. Помощников Хиллари мучил вопрос: почему ФБР так долго не может завершить это дело? И некоторые подозревали, что Бюро намеренно затягивает историю, чтобы навредить Клинтон. И вот сейчас — почему агенты сначала не позвонили, не договорились о встрече?..
Подозрительность Мука была настолько сильна, что он боялся, как бы агенты не попытались подстроить какую-нибудь ловушку ему или другим помощникам Клинтон. Он не хотел участвовать ни в каких разговорах с ФБР, где могла бы обсуждаться проблема секретной информации или информации с ограниченным доступом. Каждый день ему приходилось мысленно перелопачивать тонны данных, и он боялся, что после разговора с ФБР, в котором речь пойдет и о конфиденциальной информации, он может случайно упомянуть о каком-нибудь секретном факте во время интервью с представителями прессы. И тогда он тоже превратится в подозреваемого ФБР.
Такова была реальность в пределах мира Клинтон: у ее команды была паранойя. Руководитель ее избирательного штаба даже не хотела находиться в одном помещении с агентами ФБР.
Мук дал команду сотрудничать с ФБР юристу кампании Марку Элиасу, партнеру юридической компании «Тони Перкинс Кой», работающему в Вашингтоне, а также членам IT-команды и службе кибербезопасности, включая Шейна Хэйбла, начальника службы информации предвыборной кампании Клинтон.
Во время встречи агенты ФБР уведомили Элиаса, Хэйбла и других о следующем: Бюро стало известно, что штаб Клинтон является объектом изощренной фишинговой атаки, задуманной для взлома и вывода из строя их компьютерной системы. Виновников ФБР не называло.
В штабе кампании уже давно знали о попытках проникновения в сеть. IT-команда Клинтон видела, что сеть постоянно подвергается вредоносному киберобстрелу. И сам Мук получал фишинговые сообщения. Однако технари кампании не смогли определить, откуда велись эти атаки. Хотя им было ясно, что атаки не были делом рук какого-нибудь подростка или хакера-одиночки; было похоже на то, что атаки шли под эгидой какого-то государства. Позже Палмьери говорила: они все время предполагали, что русские и китайцы пытаются их взломать.
Кампания жила в условиях повышенного уровня киберопасности и принимала соответствующие меры предосторожности. Они удаляли сообщения по истечении тридцати дней, чтобы в случае проникновения хакеры не смогли уйти с драгоценными сведениями и использовать их потом для саботажа клинтоновских усилий попасть в президенты. Администрация задергала сотрудников напоминаниями о необходимости использовать надежные пароли и процедуру двухфазной авторизации. (Подеста, вероятно, не получил соответствующей служебной записки.) Насколько люди из IT знали, сеть кампании Клинтон пока взломана не была.
Сотрудники Клинтон, участвовавшие во встрече с ФБР, спросили агентов: может ли ФБР назвать заказчика атак и не может ли оно поделиться данными, демонстрирующими эти атаки. Агенты не смогли дать никакого определенного ответа. Люди Клинтон недоумевали: зачем агенты ФБР взяли на себя труд прийти в офис, если у них на руках не было ничего, кроме этого очевидного предостережения? Это казалось напрасной тратой времени — или чем-нибудь еще?
«У меня точно была паранойя, — вспоминал позднее Мук, — я думал, это какая-то ловушка».
Может быть, самым главным в той встрече было то, что никто не произнес вслух. Уже несколько месяцев агенты ФБР в Вашингтоне подозревали, что сеть Комитета демократов взломали хакеры из АРТ-29, связанной с Россией. Эти хакеры сейчас вполне уже могли обладать политической информацией и о кампании Клинтон, и о президентских выборах 2016 года. Но на встрече в штабе Клинтон агенты ФБР не обмолвились об этом ни словом. Их хорошо натаскивали на то, чтобы о ведущихся расследованиях они говорили как можно меньше. В обязанности агентов просто не входило рассказывать помощникам Клинтон, что в это же время происходило у их коллег-демократов.
19 апреля 2016 года после обеда Майкл Суссман получил загадочное сообщение от своего коллеги в юридической фирме «Перкинс Кой» о возможной проблеме в DNC. «Не сможешь ли ты завтра после обеда, с двух до четырех, вместе со мной пойти на встречу в Комитет демократов? Судя по всему, кто-то из IT-парней в Комитете уже довольно давно общается с ФБР — у них есть подозрение, что систему DNC взломали для пересылки спама. Теперь ФБР просит, чтобы DNC отдала свои файлы, касающиеся информации по регистрации в системе».
Суссман, вкрадчивый человечек, в прошлом работавший в Министерстве юстиции обвинителем по компьютерным преступлениям, был одним из первых киберадвокатов в Вашингтоне. Его практика заключалась в представлении интересов крупных корпораций, чьи сети подверглись взлому. А так как партнер его фирмы, Элиас, представлял DNC (а также кампанию Клинтон и, возможно, все другие взаимодействующие с ней комитеты демократов и независимые комитеты по расходам на выборы), на Суссмана возложили дополнительные обязанности: он стал внешним советником по кибербезопасности руководителя Демократической партии. Письмо поставило Суссмана в тупик: какой-то «IT-парень» уже давно общается с ФБР, а ему об этом никто не сказал?
В предыдущие недели агент Хокинс, после месячного перерыва, снова позвонил Тамину, чтобы сказать, что ФБР по-прежнему наблюдает активность, подтверждающую русское проникновение в сеть DNC. Суссман обратился в Бюро, и ему было сказано, что киберворы могли использовать украденные личные данные для входа в аккаунты DNC и увода файлов из почтовых ящиков. Бюро нужны были журналы регистрации, чтобы можно было точно определить, на какие аккаунты выполнялся несанкционированный вход.
На этом этапе к работе привлекли Линдси Рейнолдс, исполнительного директора Комитета. Но она вовсе не была в восторге от идеи сотрудничества с ФБР, как раньше этого не хотел Мук. Вот что занимало Рейнолдс: могла просочиться информация о работе DNC, носящая конфиденциальный характер, а кроме того, информацию, переданную в ФБР, потом можно было заполучить согласно Закону о свободе доступа к информации.
Суссман попытался успокоить ее и для начала — поправил. Он написал ей в электронном письме: «Эта история — часть расследования в сфере национальной безопасности, поэтому любая информация, имеющаяся у ФБР по этому делу, становится секретной и не подпадает под действие Закона о свободе доступа. И, что еще более важно… они действительно вам помогают».
Теперь Суссман понимал, что взлом был тщательно выверенной, серьезной операцией. Не чуждый профессиональному жаргону кибермира, он резюмировал ситуацию в письме, написанном после брифинга с ФБР: «ФБР считает, что противник имел (или имеет?) доступ к внутренней сети DNC. Он, вероятно, использовал регистратор работы клавиатуры или вредоносную утилиту „мимикетц“, которая импортирует из памяти незашифрованные пароли. После того как противник получает личную информацию, он организует просачивание данных в сети жертвы (DNC) и отправляет их на облако. И если противник утрачивает соединение с сетью, то он просто использует полученные личные данные, потому что двухфазный барьер отсутствует».
Однако технари из DNC так и не обнаружили взлома и не установили, кто их атаковал.
Три дня спустя, 29 апреля, DNC наконец разобрался в этой противоречивой киберситуации, крупнейшей в президентской кампании 2016 года. И она не имела ничего общего с русскими хакерами.
В декабре предыдущего года сотрудники Сандерса воспользовались компьютерным глюком, чтобы заполучить доступ к конфиденциальной информации об избирателях кампании Хиллари Клинтон, содержавшейся в базе данных DNC. В ответ демократы лишили кампанию Сандерса доступа к базе данных Комитета. Эта мера затруднила Сандерсу контакты с избирателями в самом начале предварительных выборов и предвыборных совещаний демократов. Лагерь Сандерса увидел в этом свидетельство того, что DNC пыталась исподтишка манипулировать президентской гонкой в пользу Клинтон. Кампания Сандерса предъявила Демократической партии иск.
DNC обратился к сторонней фирме по кибербезопасности Crowd Strike, чтобы та провела независимое расследование. Фирма с пижонским офисом в Северной Вирджинии была представительницей нового поколения фирм по кибербезопасности, которые специализировались на компьютерном анализе и диагностике, а также на индентификации зарубежных внешних агентов, атакующих американские сети. Среди ее руководителей был Шон Генри, в прошлом — начальник киберподразделения ФБР, весьма прямолинейный человек. В 2008 году именно он предупредил кампании Обамы и Маккейна о проникновении в их сети китайских кибершпионов. Еще одним руководителем Crowd Strike был Дмитрий Алперович, нахальный эксперт по технологиям русского происхождения, сыгравший ключевую роль в идентификации военных хакеров из Китая, проникших в сети США и Европы. В 2014 году Алперович и Crowd Strike быстро установили, что за хакерской атакой, поразившей Sony Pictures, стояло северокорейское правительство.
Дело Сандерса было лишь мелким эпизодом. Очень скоро Crowd Strike обнаружила, что четверо сотрудников Сандерса получили неавторизованный доступ к файлам об избирателях Клинтон и все тщательно обшарили. Но дальше этого взлом не пошел. DNC, надеясь избежать раскола внутри партии, разрешил лагерю Сандерса еще раз получить доступ к базе данных, и Сандерс отозвал иск.
В то время как улаживание этого небольшого киберскандала отслеживала и освещала политическая пресса, в штаб-квартире DNC вскрывались куда более драматические обстоятельства.
В тот день Рейнолдс уже приближалась к своему дому, когда раздался звонок от Тамина. Контрактор, на которого он работал, наконец обнаружил вторжение.
«Линдси, я должен сказать вам, что сегодня в системе зафиксировали подозрительную активность, — сказал Тамин. — Среди ночи». Линдси сразу сообразила, что происходит. «Это было время Москвы?» — спросила она. И получила утвердительный ответ. Тамин объяснил, что хакеры вошли в сеть Комитета при помощи его собственных учетных данных, в то время как он беззаботно спал.
Впервые в уме Рейнолдс забрезжила мысль о чудовищности ситуации. Она провела в Комитете многие годы. Однажды она даже работала в кабинете на цокольном этаже, где располагался историчекий экспонат — шкаф с материалами из старой штаб-квартиры Национального комитета Демократической партии в «Уотергейте», которую взломали секретные агенты во времена президентской кампании Ричарда Никсона. Это преступление переросло в крупнейший политический скандал в американской истории. Ей пришло в голову: «Это новый „Уотергейт“. Вот как теперь это делается. Ломик сегодня уже не нужен».
Рейнолдс незамедлительно позвонила Эмми Дэйси, главному исполнительному директору DNC. До этого момента Дэйси ничего не знала о возможной российской атаке. На следующий день она проинформировала Дебби Вассерман-Шульц, председателя Национального комитета Демократической партии. Суссман нанял Crowd Strike под еще одну задачу: проанализировать взлом и выкинуть кремлевских взломщиков из сети Комитета демократов.
Первое, что сделала Crowd Strike, — попросила сотрудников DNC ничего не предпринимать. Не отключайте систему. Не препятствуйте ее использованию. Почему? Потому что любое значительное действие или изменение в привычной рутине может встревожить хакеров, они поймут, что их обнаружили, и тогда захватчики могут принять меры, которые не позволят выкурить их из системы. Возможно, этого и не удастся избежать, но приведет это лишь к новым попыткам наведаться в сеть DNC. И снова без разрешения.
Crowd Strike и адвокаты предупредили небольшой круг бывших в курсе чиновников Комитета, чтобы те держали рот на замке. А это означало ничего не говорить персоналу Хиллари Клинтон. Горстка сотрудников Комитета и работников IT-службы, посвященных в дело о вторжении, должны были завести новые личные почтовые ящики для любой коммуникации по поводу хакерского взлома. Crowd Strike не хотела, чтобы у хакеров закралось хоть малейшее подозрение в том, что DNC их обнаружила.
Crowd Strike немедленно приступила к работе, пытаясь определить главное: при помощи разработанной ими очень сложной системы безопасности Falcon они быстро выявили преступников. Ими оказались две отдельные банды российских кибершпионов, уже много лет причастных к масштабному политическому и экономическому шпионажу. Каждая из этих групп состояла из суперспециалистов, и Crowd Strike уже была знакома с их работой. Обе пользовались специальными навыками разведработы и продвинутыми методами, связанными с возможностями государственного уровня, которые позволяли им обходить все существующие шлюзы безопасности и избегать обнаружения.
Позднее Алперович скажет репортерам: «Мы поняли, что эти исполнители нам прекрасно знакомы». Было несколько значительных признаков: некорректный URL, использование определенных IP-адресов и российский временной ярлык. Еще одной подсказкой была небольшая часть программного кода. Это позволило отнести атаку на счет российского правительства.
Одну из этих хакерских банд эксперты по кибербезопасности называли Cozy Bear. Это были те же самые преступники, которых знали как АРТ-29, — русская хакерская организация, перечень целей которой был перехвачен разведкой США годом раньше. Эта группа была связана с предыдущими атаками на сети Белого дома и Государственного департамента.
Другой бандой была АРТ-28 — хакеры, связанные с русской военной разведкой, их прозвали Fancy Bear. Группа была активна с середины двухтысячных, она незаметно проникала в системы, принадлежащие космическим, энергетическим, правительственным и медийным организациям; ее предпочтительной мишенью всегда были Министерство обороны и прочие военные организации. Группа разработала целый набор программных закладок — программ, размещаемых в системе и открывающих хакерам доступ к ней, — которые постоянно корректировались и совершенствовались, появляясь под различными именами: X-Agent, X-Tunnel, Foozer. Эти программы были разработаны, чтобы замаскировать или уничтожить явные признаки проникновения. Fancy Bear специализировались на регистрации доменных имен, почти полностью повторяющих имена веб-сайтов, на которые проводилась атака. По невнимательности пользователь мог зайти на фейковый сайт, авторизоваться и — вуаля! — в руках у Fancy Bear пароль, использовав который, группа сможет получить доступ к подлинному сайту. Годом раньше Fancy Bear публично обвиняли в причастности к хакерским атакам на немецкий бундестаг и французскую телекомпанию TV5 Monde.
Crowd Strike пришла к выводу, что Cozy Bear резвилась в сети DNC по крайней мере с июля 2015 года. Fancy Bear лишь недавно — в апреле 2016 года — пробралась в компьютеры DNC, воспользовавшись ниточкой от Демократической группы, собиравшей средства и поддерживавшей кандидатов от демократов; Демократическая группа сотрудничала с Комитетом Демократической партии по выборам в Конгресс. И все выглядело так, как будто русские смогли получить доступ к системе DNC, попав в аккаунты LastPass при помощи паролей служащих MIS Department, консалтинговой фирмы, обеспечивавшей контроль за сетью Национального комитета Демократической партии.
Удивительным образом сама эта фирма, отвечавшая за безопасность сети, не обнаружила никаких признаков сотрудничества двух русских хакерских организаций. Оказалось, что DNC был атакован дважды отдельными командами русских кибербандитов. И Crowd Strike могла сказать, что русские хакеры переносили — читай крали — множество материалов DNC, включая почту и базы данных. Среди уведенных документов была и папка с компроматом на Дональда Трампа.
Это была настоящая утечка информации. Никто не мог сказать точно, что́ теперь у русских на руках и что они с этим будут делать.