Набитый битком перевод документа на русский язык и комментарии экспертов
16.07.2018, 10:54
Власти США в пятницу, 13 июля, предъявили заочные обвинения 12 вероятным сотрудникам Главного управления Генерального штаба Вооруженных сил РФ в рамках расследования предполагаемого вмешательства в ход президентских выборов в 2016 году. В обнародованном обвинительном акте впервой подробно описывается, как были взломаны ресурсы Демократической партии и как распространяли выкраденную оттуда информацию из интернета. В нем фигурируют имена предполагаемых хакеров, их должности в конкретных частях российской военной разведки (в документе используется прожитое название «Главное разведывательное управление — ГРУ»), псевдонимы, которыми бы они пользовались, и другие подробности операции, которая в значительной мере усилила конфронтацию в лоне Москвой и Вашингтоном. «Коммерсант» приводит полный перевод обвинительного акта Минюста США.
Американский специалист в области информационной безопасности, автор книги «Кибервойна изнутри» Джеффри Карр:
Часть информации, вероятно, полученное стороной обвинения с помощью технических средств. Однако не представляется возможным определить, какая извещение получена с помощью кейлоггеров (клавиатурных шпионов) и других вредоносных программ, а какая является всего-навсего предположением.
Эксперт Центра военно-политических исследований МГИМО Виталий Каберник:
Документ производит безбожно противоречивое впечатление. Описание «состав преступления» позволяет сделать выводы о том, что:
— Следователи активно сотрудничали с представителями крупнейших IT-корпораций, базирующихся в США, к тому дело идет Google, Microsoft и Amazon;
— Предполагаемые «заговорщики» активно пользовались онлайн-сервисами, предоставляемыми этими корпорациями, притом без попыток анонимизации, или с бессистемной анонимизацией, которая использовалась лишь на определенных этапах предполагаемой операции;
— В интересах фишинга использовались принародно доступные службы электронной почты, они же использовались для обмена чувствительной информацией, хотя и в зашифрованном виде, что является нетипичным поведением для любого злоумышленника и противоречит нормативам информационной безопасности, которыми руководствуются отечественные службы.
Текстовка не дает ответа на естественный вопрос о способах идентификации «заговорщиков». Непонятно, на каком основании они ассоциируются с конкретным подразделением ИГРУ. При этом не удается покончить от ощущения, что перечень имен состоял отдельной группой. В дальнейшем, возможно, этот перечень имен было приобщено к материалам технического расследования без адекватного обоснования. Возможность такого обвинения должны комментировать юристы, но безаппеляционность идентификации не может не бросаться в глаза.
В лучшем случае, с использованием технических средств для осуществления расследования, вроде бы установить только конкретную рабочую станцию, с которой производилась атака, но ни в коем случае не соотносить ее с именем оператора. Зачастую невозможно отследить и рабочую станцию, но можно идентифицировать исходный агрегат локальной сети. Но уже при минимальных приняты меры по обеспечению анонимизации с грамотным использованием непубличных средств ее обеспечения (публичные сервисы могут обеспечивать информацию спецслужбам) невозможно в точности идентифицировать и выходные узлы. Не говоря уже о том, что при необходимости не представляет аршинный сложности фальсификация выходных узлов для их локализации в других организациях или государствах.
В свете сказанного рисуется алогический образ «группы заговорщиков», которые используют продвинутые средства взлома, но при этом не владеют основами анонимизации, некомпетентные в использовании инструментов администрирования (вынуждены перешаривать инструкции по использованию Power Shell в открытых поисковых системах), использует публично доступные состояние зачистки следов, явно непригодны для адекватного выполнения задания (в тексте упоминается свободно распространяемая обслуживающая программа CCleaner), демонстрируют незнание английского и плохо координируют свои действия. Для обывателя описан «ассортимент преступления» может выглядеть действительно как «заговор», но у специалистов должен вызвать вопрос странным сочетанием проявленной некомпетентности враз с глубоким владением специальными средствами. Некоторые фрагменты текста, кроме того, воспринимаются как подогнаны старина к другу, или произвольно включены в описание предполагаемого преступления с нарушения логических связей в предполагаемой последовательности осуществления «заговора». На этом фоне опубликованные материалы не вызывают доверия.
