Почему в Америке уверены , что за ними стоит ФСБ?
Методы хакерской группировки Turla, которая провела множество успешных атак на США, не меняются на протяжении нескольких десятилетий. Несмотря на противодействие американских спецслужб, членам группировки удается взламывать спутники и заражать компьютеры, не подключенные к интернету, — все ради того, чтобы получать ценные сведения.
И хотя недавно Министерство юстиции США объявило, что ликвидировало глобальную сеть устройств, зараженных вирусом, за которым стоит Turla, в действительности оказалось, что речь шла только о восьми компьютерах. «Лента.ру» разобралась в истории Turla и выяснила, почему в США считают, что группировка напрямую связана с российскими спецслужбами.
«Лабиринт лунного света», ведущий в Москву
В 1998 году обычный IT-специалист из небольшой американской компании по производству специализированных материалов ATI-Corp, проверяя активность внутренней сети, наткнулся на нечто странное. Он обратил внимание на то, что каждое воскресенье ровно в три часа ночи кто-то выполнял подключение с офисных компьютеров к сети авиабазы Райт-Паттерсон, на которой размещена штаб-квартира Главного командования ВВС США. Немного поразмыслив, сотрудник компании, имя которого до сих пор засекречено, позвонил в несколько ведомств, занимающихся информационной безопасностью страны.
Так в США началось расследование одной из крупнейших на тот момент кибератак, целью которой был шпионаж. Оно получило кодовое обозначение Moonlight Maze («Лабиринт лунного света»). Расследование привело американских детективов сначала в Лондон, оттуда — в Москву, а в итоге — в Рязань. Именно там, по устоявшемуся в ЦРУ, АНБ и ФБР мнению, расквартирована хакерская группировка Turla. Западные силовики считают, что все ее члены — сотрудники Центра 16 Федеральной службы безопасности России.
Чем занимается Центр 16 ФСБ России
Долгое время расследование велось полностью секретно. Лишь спустя год тему обсудили в Конгрессе США, а издание Newsweek посвятило этому небольшую статью. В ней Moonlight Maze назвали первой в истории «попыткой России получить доступ к американским технологиям», а занимавший тогда пост заместителя министра обороны США Джон Хамри заявил, что страны находятся «в эпицентре кибервойны».
К тому моменту уже было известно, что некто (в США решили, что за этим стояли российские спецслужбы) смог создать распределенную по всей Америке цепочку зараженных особенным вирусом устройств. Каждое из них становилось элементом огромной электронной системы, ключевой задачей которой стал поиск уязвимостей в сетях государственных ведомств США, в том числе Минобороны, разведки и других министерств. На протяжении как минимум трех лет — с 1996 по 1999 год — создатели вируса систематически подключались сначала к чужим компьютерам, а уже через них — к государственным системам. Владельцы скомпрометированных устройств, понятное дело, ни о чем не догадывались.
507 метров
составила бы высота стопки распечатанных секретных документов, украденных с 1996 по 1999 год в США
В «Лаборатории Касперского», аналитики которой в середине 2010-х внесли огромный вклад в расследование еще засекреченного дела, размах шпионажа называют монументальным. В частности, удалось выяснить, что хакеры заражали в основном сети университетов и небольших компаний внутри США. Это было нужно для того, чтобы трафик на этом этапе оставался внутри страны и не выглядел подозрительным для самих военных и госслужащих. Но в обратную сторону данные шли через единый прокси-сервер в Лондоне. И здесь была допущена единственная ошибка создателей вируса: один из входящих каналов связи с этим сервером вел в Москву. В публикациях того времени упоминалось, что кто-то из хакеров использовал соединение через модем с российским телефонным номером, другие источники указывали точкой подключения к прокси-серверу в Великобритании Российскую академию наук.
На протяжении нескольких месяцев следователи из США наблюдали за активностью лондонского прокси-сервера. Но потом сведения о кибершпионаже дошли до конгрессменов, получили огласку, и киберпреступники прекратили всякую активность. Спустя полтора десятилетия специалисты «Лаборатории Касперского» первыми выдвинули теорию, которая сейчас в США считается доказанной: за Moonlight Maze стоит группировка, которая с годами трансформировалась в Turla.
Хакеры из Turla воровали данные в 50 странах
В 2023 году, спустя 25 лет после создания комиссии по делу Moonlight Maze, Министерство юстиции США объявило о завершении операции под кодовым названием «Медуза». Сотрудники ФБР по санкции суда Нью-Йорка получили физический доступ к компьютерам в разных регионах страны, каждый из которых был заражен вредоносным программным обеспечением под названием Snake.
«Министерство юстиции совместно с нашими международными партнерами ликвидировало глобальную сеть зараженных вредоносным ПО компьютеров, которые российское правительство использовало в течение почти двух десятилетий для ведения кибершпионажа, в том числе против наших союзников по НАТО», — безапелляционно заявил генеральный прокурор США Меррик Б. Гарланд».
Под «глобальной сетью» понимается лишь восемь устройств внутри США и неустановленное количество за пределами страны. При этом сотрудники Минюста сами признались, что Snake был удален только с американских компьютеров. На всех остальных компьютерах, число которых неизвестно, вирус остался. В Вашингтоне считают, что вирус использовался «для кражи конфиденциальных документов из сотен компьютерных систем по меньшей мере в 50 странах, в том числе входящих в НАТО». Ранние версии Snake, по данным ФБР, носили название Uroburos.
«ФСБ начала разработку Uroburos в конце 2003 года. Она была завершена примерно в начале 2004 года, и вскоре после этого с использованием ПО были проведены первые кибероперации», — пишет в своих показаниях специальный агент ФБР Тейлор Форри, который руководил последним расследованием.
Операциями с вредоносными программами Snake управляет известное подразделение Центра 16 ФСБ России. Правительство США наблюдало за офицерами ФСБ, проводившими ежедневные операции с использованием Snake из учреждения ФСБ в Рязани. Отмечалось увеличение активности Snake в часы работы этого учреждения — примерно с 7:00 до 20:00 по московскому времени
Тейлор Форри специальный агент ФБР
Несмотря на то что и пресс-релиз Минюста, и показания Форри большей частью состоят из обвинений в адрес России, которая «цинично пытается скрыть свои преступления» против НАТО, в них нашлось место и для информативных частей. Выяснилось, например, что активность Snake отслеживалась правительством США все 20 лет его существования. Нанести удар по его инфраструктуре удалось с помощью разработанного в ФБР «вируса для вирусов» Perseus, который мешает Snake затаиваться на зараженных устройствах, самовоспроизводиться и распространяться по сети. Происходит это с помощью специальных проколов связи, из-за чего западные разведчики испытывали серьезные сложности с поиском инфицированных компьютеров.
Обыватели не знали о Turla до 2014 года
И хотя американские спецслужбы утверждают, что они следили за Snake в течение 20 лет, в публичном поле о Turla заговорили лишь в середине 2010-х. Тогда в американских СМИ писали, что хакеры (которых сразу же связали с российскими спецслужбами), конечно, не прочь заполучить секретные документы из США, но куда больший интерес для них представляют правительства и вооруженные структуры других государств.