Бийск, Россия. — Живя анонимно в глухом уголке Западной Сибири, недалеко от границы с Монголией, единственный человек, чье имя сейчас непосредственно связывается с взломом компьютерных сетей национального комитета Демократической партии и других политических учреждений, несомненно, наслаждается моментом.
«У нас есть информация, но с нами никто не связывался», — сказал 26-летний Владимир Фоменко, который ведет свой бизнес, не покидая съемную квартиру, и в свободное время катается на сноуборде.
«Создается впечатление, что никто на самом деле не хочет разобраться в этом деле», — добавил он с лукавой усмешкой.
Недавно американская компания ThreatConnect, работающая в сфере кибербезопасности, назвала г-на Фоменко руководителем «информационного звена», которым воспользовались хакеры, подозреваемые в том, что по заказу российских служб безопасности они совершали кибератаки на демократические институты нескольких стран, включая Германию, Турцию и Украину, а также США.
Вместо того чтобы публиковать безоговорочные опровержения, г-н Фоменко, очевидно, хочет обсудить этот вопрос, добавляя еще одно — пока еще загадочное — измерение в интригу, прежде ограничивавшуюся цифровыми кодами и онлайн следами.
Г-н Фоменко является владельцем хостинга виртуальных серверов King Servers, которым хакеры воспользовались для атак на компьютерные системы в Аризоне и Иллинойсе. По его словам, среди других их основных клиентов есть распространители порнографии.
На обвинения в свой адрес он реагирует смесью сарказма, расплывчатых отрицаний и приглашения сотрудничать с ФБР, что вполне может пролить свет на подробности атак на избирательные системы Аризоны и Иллинойса в том случае, если чиновники захотят с ним связаться.
«Если ФБР обратится к нам, мы с готовностью предоставим IP-адреса, журналы, — сказал он, имея в виду интернет-протоколы, позволяющие идентифицировать конкретные веб-страницы и устройства. — Но никто к нам не обращается. В этом и заключается главный вопрос».
Другой вопрос заключается в том, что именно известно г-ну Фоменко. Идентификация в случаях, подобных этим, — это, как известно, сложная задача, особенно когда правительства проводят свои атаки через прокси-серверы или, как это часто бывает, перепоручают свои шпионские миссии криминальным группировкам, чтобы затем иметь возможность все отрицать.
Расследование, которое привело в Западную Сибирь, началось после хакерских атак на государственные избирательные системы, совершенные с июня по август — по мнению многих аналитиков, эти атаки, возможно, были дерзкой попыткой России подорвать веру американцев в процесс демократических выборов.
ФБР опубликовало восемь интернет-адресов, использованных в ходе тех атак. Бюро не стало называть штаты, но чиновники в Аризоне и Иллинойсе признали, что их компьютеры были взломаны.
Затем компания ThreatConnect выяснила, что шесть из восьми адресов располагаются на серверах, принадлежащих King Servers, компании г-на Фоменко в Дронтене, Нидерланды, и, возможно, где-то еще. Г-ну Фоменко также принадлежат серверы во Фремонте, штат Калифорния, Гарден-Сити, штат Нью-Йорк, и в Москве.
По информации ThreatConnect, хакеры использовали один из восьми интернет-адресов, чтобы отправить 113 так называемых целевых фишинговых писем чиновникам избирательных систем и политикам в Турции, Германии и на Украине, чтобы обманом заставить их пройти по ссылкам и скачать вредоносные программы. Некоторые из этих писем были очень похожи на предупреждения системы безопасности Gmail или сообщения от LinkedIn.
По словам представителей ThreatConnect, эти письма были отправлены членам правящей турецкой Партии справедливости и развития, немецкой Партии свободы и членам украинского парламента.
Эти фишинговые операции, направленные против трех стран, проводились с одного из двух адресов, не имевших отношения к серверам King Servers. Между тем, один адрес, расположенный на сервере King Servers, использовал программу Tor, позволяющую сохранять анонимность, во взломе избирательных систем Иллинойса и Аризоны.
По словам экспертов в области безопасности, хакеры, воспользовавшиеся сервером г-на Фоменко в рамках своей гораздо более масштабной кампании, стремились «манипулировать демократическими процессами в этих странах», и их методы «указывали скорее на поддерживаемую правительством кампанию, чем на деятельность, в основе которой лежат преступные мотивы».
Российские чиновники отрицают свою причастность к этим хакерским атакам, однако в своем сентябрьском интервью президент России Владимир Путин спросил своего собеседника из Bloomberg, имеет ли значение, кто именно украл данные, подразумевая, что сама информация гораздо важнее ее источника.
Кандидат на выборах в президенты США от Демократической партии Хиллари Клинтон обвинила в этих хакерских атаках российские службы безопасности, добавив, что г-н Путин вряд ли сможет обоснованно отрицать причастность России. Кандидат от Республиканской партии Дональд Трамп постарался замять версию о причастности России.
Вся эта история с хакерскими атаками окутана неопределенностью. В своем интервью, которое г-н Фоменко дал в баре под названием Rocks, решительно отверг свою причастность к хакерским атакам. Однако на его шее была хорошо заметна татуировка, которая, по его словам, представляет собой одну из вариаций театральной маски — символа хакерской группы Anonymous.
Он отверг предположение о своей связи с этой группой хакеров, добавив, что ему просто нравится символизм образа маски. «Человек может быть плохим, человек может быть хорошим, человек может прятать свою истинную сущность», — объяснил он.
Г-н Путин и г-н Фоменко сознательно и умышленно делают уклончивые и расплывчатые заявления, как сказал Кеннет Джирс (Kenneth Geers), старший научный сотрудник компании Comodo, занимающейся кибербезопасностью, и бывший офицер НАТО, в своем телефонном интервью.
«Вы не говорите да, вы не говорите нет, в итоге жертва в замешательстве, это ее пугает, — объяснил он. — Вы как будто даете понять, что это еще не конец».
Но татуировка «в некотором смысле выдает виновного».
Г-н Фоменко, которого мать воспитывала одна, изучал компьютеры в техническом колледже. По его словам, он основал King Servers в 2008 году, когда ему было всего 18 лет, купив компьютерные серверы и договорившись об их установке во Фремонте, где, как он утверждает, он никогда не был.
По его словам, у него около тысячи клиентов, 20-30% из которых — распространители порнографии. Власти Нидерландов несколько раз уведомляли его о том, что его серверы используются для распространения вредоносных программ, рекламы поддельных дизайнерских сумок и распространения детской порнографии.
Он утверждает, что в таких случаях он немедленно разрывал соглашения с клиентами и закрывал серверы.
«Если кто-то выглядит молодо, 17-18 лет — если невозможно сказать — мы сразу их закрываем, — объяснил он. — У всех компаний возникают проблемы. Невозможно контролировать все».
Г-н Фоменко рассказал, что в мае с ним связались потенциальные арендаторы под никами Robin Good и Dick Robin, которые осуществили оплату услуг через WebMoney — вполне распространенная практика среди его клиентов.
15 сентября г-н Фоменко опубликовал заявление, в котором сообщал, что из новостных репортажей он узнал, что хакерские атаки на избирательные системы Аризоны и Иллинойса были совершены с двух его серверов и что он закрыл эти серверы.
Г-н Фоменко не отрицает, что хакеры использовали его серверы, но он отрицает предположения о том, что ему было об этом известно до 15 сентября. По его словам, он не знает, кто эти люди, однако это определенно не сотрудники российских спецслужб.
«Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке», — написал он в своем заявлении. Но затем, перейдя в несколько саркастичную тональность, он добавил, что отправит г-ну Трампу и г-ну Путину счет за услуги, которые хакеры не оплатили.
Г-н Фоменко также утверждает, что российские и иностранные правоохранительные органы не предпринимали попыток связаться с ним.
Однако, по его словам, эти его клиенты оставили след на странице оплаты услуг. Он добавил, что он может помочь следователям в США еще на шаг приблизиться к хакерам — в его распоряжении есть около 60 IP-адресов, использованных его клиентом — взломщиком избирательных систем — чтобы с ним связаться. По его словам, эти адреса принадлежали компаниям из Великобритании, Финляндии, Франции, Италии, Норвегии и Швеции.
Именно этими адресами г-н Фоменко готов поделиться с ФБР, если «кто-то захочет разобраться в этом деле».
Г-н Фоменко, дававший весьма расплывчатые ответы на вопросы об использовании его серверов хакерами, довольно прямо и откровенно высказался по поводу предвыборной кампании в США: «В России выборы проходят совершенно по-другому. Все это очень похоже на драку маленьких детей».
Оригинал публикации: A Voice Cuts Through, and Adds to, the Intrigue of Russia’s Cyberattacks
