Секретные материалы АНБ о действиях русских хакеров перед выборами 2016 года

Российская военная разведка совершила кибератаку как минимум на одного поставщика программного обеспечения для американских выборов. И непосредственно перед самыми выборами, которые были в ноябре, разослали целевые фишинговые сообщения 100 с лишним чиновникам из избирательной системы. Именно об этом и говорится в совершенно секретном отчете АНБ, который чудом удалось получить The Intercept.

Эти документы Агентства национальной безопасности были переданы The Intercept совершенно анонимно, прошли независимую экспертизу на подлинность и данный момент анализируются данные о о длившейся несколько месяцев кибероперации российской разведки, целью которой были элементы инфраструктуры, обеспечивающие проведение выборов в США.

Этот отчет на данный момент (5 мая 2017 года ) является самый подробным и точным о вмешательстве русских в выборы США.

Да, конечно, прочитав этот отчет вы поймете техническую сторону российских хакерских действий, но никто конечно же не рассекретил разведывательные данные, на которых построен анализ. А сотрудник разведки США, предупредил, что не стоит делать далеко идущие выводы из данного документа, потому что один-единственный анализ вряд ли может быть исчерпывающим и окончательным. Кому не терпится посмотреть доклад – нажмите на картинку.
Prilojenie dlya snimkov ekrana Deepin 20170607160444_84187981768

Отчет дает редкую возможность понять, что российские хакеры проникли в систему намного глубже, чем это считалось ранее. Ну а самое главное – раскрывается виновник торжества. Все указывает, что в этом замешано Главное разведывательное управление Генерального Штаба (ГРУ).

Сотрудники Главного разведывательного управления российского Генерального Штаба… в августе 2016 года осуществляли шпионскую деятельность против одной американской компании, видимо, с целью получения информации о программном и аппаратном обеспечении, имеющем отношение к выборам…. Эти сотрудники могли использовать добытые в результате проведенной операции данные… для осуществления целевого фишинг-мошенничества против местных государственных органов США в целях получения регистрационных данных об избирателях.

Весь этот доклад резко противоречит высказываниям российского президента Владимира Путина о том, что Россия не вмешивается в иностранные выборы. “Мы никогда не занимались этим на государственном уровне и не собираемся делать этого в будущем” — сказал Путин, который и раньше выступал с опровержениями российского вмешательства систему выборов. На сей раз президент впервые допустил возможность того, что это все таки  правда и ответственность за это должны нести “патриотично настроенные хакеры”. Ну а в этом отчете нет никаких туманных высказываний. Все просто – специалисты из АНБ считают, что кибернападение осуществило ГРУ.

Удивительно, но сотрудники АНБ не делают никаких выводов о том,  повлияло ли вмешательство на результат выборов и открыто признают, что не могут точно сказать оказало ли это вмешательство влияние на исход голосования.  Все указывает на то, что российские хакеры своими действиями могли взломать как минимум некоторые элементы системы для голосования.

Авторы статьи в ходе ее подготовки связывались с АНБ и с аппаратом директора Национальной разведки. Представители этих органов отказались что либо комментировать и попросили The Intercept не выкладывать этот документ в сеть и вообще не упоминать о нем. С некоторыми требованиями редакция все таки согласилась(в интересах общества).

Весь этот отчет – это несколько мазков в общей картине, которая вырисовалась из несекретной разведывательной оценки российского вмешательства в выборы, опубликованной администрацией Обамы в январе. Да, в январском отчете опубликованы некоторые выводы, но все важные детали были опущены, дабы не раскрывать секретные источники и методы работы.

Вы спросите,  зачем собственно это русским хакерам? В чем здесь профит? В отчете же красной нитью проходит мысль, что кремль приказал провести масштабную и многоцелевую пропагандистскую кампанию, чтобы «подорвать доверие общества к демократическим процессам в США, очернить госсекретаря Клинтон, а также понизить ее шансы на избрание президентом».

В том докладе не было попыток оценить степень воздействия на выборы. Точно известно только, что «российские спецслужбы получали и поддерживали доступ к различным элементам американских избирательных органов на уровне штатов и на местах». Тогда прозвучало успокаивающее заявление: «Те системы, которые были под угрозой кибератак, не имеют отношения к подсчету голосов на выборах».

Но теперь все по другому и намного серьезнее. АНБ вдруг удалось узнать, российские хакеры, действовавшие от лица государства сосредоточили свои усилия на тех элементах системы, которые непосредственно связаны с регистрацией избирателей. Под подозрением оказался частный изготовитель устройств, ведущих и проверяющих списки учета избирателей.рекламе некоторых устройств этой компании говорится, что они могут подключаться через беспроводной интернет и Bluetooth, которые являются идеальной отправной точкой для дальнейших кибератак.

gru-chart-russia-hacking-election-1496684832

Целевая фишинговая атака

Опять же вернемся к нашему секретному отчету АНБ. План русских хакеров был до безобразия прост. Они представлялись торговцами системами электронного голосования и убеждали сотрудников государственных органов открыть документы Microsoft Word, которые в свою очень были заражены мощнейшими вирусами. В результате этих действий хакеры получали полный доступ к зараженным компьютерам и могли с легкостью их контролировать.

Но такое убедительное прикрытие далось им очень непросто. Чтобы получить такую маскировку, компании, которая торговала программным обеспечением  для голосования. Поэтому, как сообщается в отчете АНБ, 24 августа 2016 года российские хакеры разослали сотрудникам неназванной американской компании по производству программ для выборов поддельные электронные сообщения, якобы от Google. Никто конечно не назовет название той загадочной компании, но есть ссылка на продукт  производства флоридской компании VR Systems. та компания предоставляет услуги по электронному голосованию и торгует оборудованием, используемым в восьми штатах.

В фишинговых сообщениях была ссылка, которая вела на поддельный сайт, якобы принадлежащий Google. Этот сайт просто запрашивал логины и пароли и передавал их точно в руки злоумышленников. АНБ установило семь «потенциальных жертв» таких действий среди сотрудников компании. Почтовый сервер конечно же не пропустил три вредоносных сообщения, но это не спасло как минимум 1 аккаунт сотрудника от взлома.

VR Systems отказалась комментировать что-либо связанное хакерским взломом, о котором говорится  в отчете АНБ.

Исполнительный директор компании Бен Мартин (Ben Martin) в ответ на просьбу The Intercept дать комментарий сделал следующее заявление:

Фишинг и целевой фишинг — это частое явление в нашей отрасли. Мы регулярно участвуем в кибернетических альянсах с государственными органами и представителями правоохранительной системы в рамках противодействия угрозам такого типа. У нас есть соответствующие правила и процедуры по защите наших клиентов и самой компании.

Но АНБ думает иначе. От VR Systems нужны были только логины и пароли, а не доступ к их компьютерам. Но от этого не становится легче.У чредитель фирмы компьютерной безопасности Rendition Infosec Джейк Уильямс (Jake Williams), ранее работавший в хакерской группе АНБ по оперативному проникновению в компьютерные сети противника, сказал, что кража логинов может оказаться еще опаснее, чем зараженный компьютер.

«Данные я бы получал в основном через вредоносные программы, поскольку с помощью логинов сотрудников можно проникать в виртуальные корпоративные сети, в электронную почту, в „облачные” сервисы», — заявил он.

Все это подвергает опасности корпоративную информацию. Риск многократно увеличивается из-за того, что люди часто пользуются одним и тем же паролем в нескольких сервисах.

nsa-russia-hacking-election-3-1496690296-1000x729

 

Как бы то ни было, хакеры получили все что им было необходимо. Прошло два месяца, и 27 октября они завели «оперативный» аккаунт в Gmail, который был похож на почтовый ящик одного из сотрудников VR Systems. В нем использовались документы, которые они получили в ходе фишинга. Они готовились к второму взлому, но уже против местных государственных органов США.

По оценкам АНБ, вторая операция целевого фишинга могла начаться 31 октября или 1 ноября. Когда все было готово,фишинговые сообщения были разосланы по 122 адресам, «связанным с поименованными местными органами власти».  Очевидно, они были отправлены чиновникам, «занимающимся системами регистрации избирателей». В почтовых отправлениях были приложения в формате Microsoft Word, в которых якобы содержалась полезная документация для линейки продуктов VR Systems с базами данных избирателей EViD. Но как вы уже догадались, там были встроены вредоносные команды,  которые начинали делать свое дело каждый раз, когда пользователь открывал документ. Вам наверное интересна техническая сторона вопроса. И вот это самое интересное. В этих зараженных файлах использовался скриптовый язык компании Microsoft PowerShell, предназначенный для системных администраторов и устанавливаемый по умолчанию на компьютерах с Windows, что позволяло хакерам управлять настройками и функциями системы. Это означало примерно следующее – в случае открытия файлов хакеры вполне могли дать зараженному компьютеру команду на начало фоновой загрузки второго пакета вредоносных программ с удаленного сервера, который, как вы уже догадались контролировали тоже они. В докладе говорится, что постоянный доступ к компьютеру жертвы давал возможность постоянно изучать жертву на предмет нужной информации. По сути дела, простенький документ  word отпирает и открывает жертвы и доставляет ей полный “коктейль” из вредоносных программ.

По сути,   благодаря таким изощренным атакам хакеры получали неограниченную возможность для кражи интересующей их информации.

Старший менеджер по исследовательской работе из группы обеспечения безопасности компании Symantec Викрам Такур (Vikram Thakur) рассказал The Intercept, что в таких случаях «количество украденных данных может ограничиваться только мерами контроля, принимаемыми системными администраторами». Вы спросите, а чем в таком случае поможет простой админ?

Все просто. Кража данных такого типа конечно шифруется и администратор не может видеть что именно ворует хакер, но он может видеть что с сетью что-то творится.

ФБР отказалось от комментариев о том, ведет ли оно уголовное расследование кибератак против VR Systems.

На одной и своих последних пресс-конференций Обама сказал, что в сентябре он говорил российскому президенту Владимиру Путину о недопустимости хакерских взломов американской избирательной инфраструктуры.

Я был обеспокоен что к хакерской атаке на Национальный комитет Демократической партии может добавиться друга атака, которая впоследствии способна помешать подсчету голосов и повлиять на сам избирательный процесс, — сказал Обама.  — Поэтому в начале сентября, когда я увиделся с президентом Путиным в Китае, я напрямую поговорил с ним и попросил прекратить данную деятельность. И после этого разговора мы больше не замечали вмешательства в избирательный процесс США.

Слова словами, но как теперь известно вмешательство продолжалось.

В документе АНБ вкратце рассказывается о двух других операциях по вмешательству в выборы с участием русских хакеров. В одном случае российские военные хакеры завели электронный адрес, притворившись другой американской компанией по организации выборов. В документе она названа «американской компанией № 2». С этого адреса они начали рассылать поддельные проверочные сообщения электронной почты, предлагая «относящиеся к выборам продукты и услуги». АНБ не сумело определить, проводились ли с этого адреса какие-то целенаправленные атаки.

В ходе третьей российской операции та же самая группа хакеров рассылала тестовые сообщения электронной почты на адреса избирательной комиссии в Американском Самоа. Предположительно, это делалось для проверки существования данных адресов. После этого была осуществлена еще одна фишинговая атака. Непонятно, каков был ее результат, но по оценке АНБ, русские настойчиво стремились «подражать провайдеру услуг по подсчету отказавшихся от участия в выборах». В отчете не указано, почему русские выбрали в качестве мишени крохотные острова в Тихом океане, где очень мало избирателей, и они не в состоянии хоть как-то повлиять на результат голосования.

HOMEWORTH, OH - NOVEMBER 08: A voter at the Homeworth Fire Depacasts her ballot on an open table in at the Homeworth Fire Department on November 8, 2016 in Homeworth, Ohio. This year, roughly 200 million Americans have registered to vote in this years general election. (Photo by Ty Wright/Getty Images)

Заманчивая цель

«Наша проблема заключается в том, что безопасность на выборах не имеет никакого значения, пока что-нибудь не случится. А когда что-то произойдет, появляется группа людей, которым безопасность не нужна, так как что бы ни случилось, это идет им на пользу, — сказал эксперт по кибербезопасности Брюс Шнейер (Bruce Schneier), работающий в Центре Беркмана при Гарвардском университете и часто пишущий о проблемах безопасности американской избирательной системы. — Поэтому проблема безопасности очень серьезна, в отличие от вашего банковского счета».

По словам Шнейера, описанная АНБ атака это обычная хакерская процедура. «Кража персональных данных, целевой фишинг — это все очень просто” — говорит он.

Все это говорит о том, что безопасность информации на выборах очень важна. Компания VR Systems не продает машины для голосования с сенсорными экранами. Она торгует программным обеспечением и устройствами, проверяющими и заносящими в списки для голосования тех, кому разрешено голосовать, когда они приходят на выборы в день голосования или голосуют досрочно. Такие компании как VR Systems очень важны, потому что «действующая система регистрации имеет центральное значение для американских выборов», — объясняет заместитель директора Центра Бреннана при юридическом факультете Нью-Йоркского университета Лоренс Норден (Lawrence Norden). Это те люди, которые должны быть недосягаемы для взлома хакерами из враждебной чужой страны.

На вебсайте VR Systems сообщается, что у компании есть контракты в восьми штатах: в Калифорнии, Флориде, Иллинойсе, Индиане, Нью-Йорке, Северной Каролине, Виргинии и Западной Виргинии.

«Если у кого-то есть база данных избирателей штата, то это очень соблазнительная цель для хакера, так как он может просто внести  изменения в информацию или удалить ее, — сказала она. — Это может лишить некоторых людей возможности проголосовать, либо от них потребуют проголосовать „условно”. Это значит, что их будут проверять на правомочность голосовать, а уже потом включат в списки избирателей”.

Консультант по цифровой безопасности Марк Графт (Mark Graff), ранее работавший руководителем по вопросам безопасности в Ливерморской национальной лаборатории, назвал такую тактику «по сути дела, сетевой атакой» против избирателей. По словам Графта, есть и более тревожная перспектива, состоящая в том, что хакеры могут выбрать в качестве мишени компанию типа VR Systems, чтобы подобраться как можно ближе к реальному процессу подсчета голосов. Попытка напрямую взломать машины для голосования или внести в них изменения будет заметна, а поэтому она более опасна, чем взлом смежной и менее заметной составной части системы голосования, такой как базы данных по регистрации избирателей. В этом случае ставка делается на то, что такие базы сведены в одну общую сеть. Конечно, VR Systems всячески пытается оправдаться и напоминает о том, что ее линия оборудования EViD подключена к интернету, и что в день выборов «история голосования избирателя немедленно передается в окружную базу данных», причем делается это непрерывно.

По словам директора Центра компьютерной безопасности и общества при Мичиганском университете Алекса Халдермана (Alex Halderman), который является экспертом по электронному голосованию, одна из центральных проблем сценария, описанного в документе АНБ, заключается в том, что электронные книги для подсчета голосов создают те же, кто программирует машины для голосования. Реальные машины для голосования не подключены к сетям типа EViD, но они обновляются вручную, а системные настройки проводят люди на местном уровне или на уровне штата, которые могут отвечать и за первое, и за второе. Если вредоносные программы ГРУ будут нацелены против этих людей, последствия могут оказаться весьма серьезными.

«Обычно на уровне округа есть какая-то компания, которая перед выборами программирует машины для голосования, — рассказал Халдерман изданию The Intercept. — Меня беспокоит то, что хакер, способный взломать электронные книги для подсчета голосов, может воспользоваться программными обновлениями и заразить систему управления избирательным процессом, которая программирует сами машины для голосования. Сделав это, можно легко заставить машину осуществлять подтасовки при подсчете голосов».

По словам Шнейера, главный приз от взлома VR Systems — это возможность собрать достаточный объем информации, чтобы потом проводить атаки против работников избирательной комиссии. Ведь согласитесь, что поддельное электронное письмо будет смотреться намного достоверней, если будет сопровождаться официальным разрешением главного агента избирательной комиссии.

Такой взлом может привести к разрушительным результатам. Один сотрудник американских спецслужб как-то признался, что описанная АНБ российская операция, направленная против программного обеспечения регистрации избирателей, может по идее стать причиной срыва выборов в тех местах, где используется продукция VR Systems. А взломанная система учета голосов может не только привести к хаосу в день голосования, говорит Халдерман.

Да, конечно российская тактика малоэффективна, так как федеральная избирательная система децентрализована, а процессы голосования и подсчета голосов разнятся не только от штата к штату, но и от округа к округу. Да и коллегия выборщиков осложняет прогнозы о том, где следует сконцентрировать усилия.

«Повлиять на выборы хакерскими методами трудно, причем не из-за технологий, подделать которые довольно просто. Трудно понять какой метод наиболее эффективен и где опять же надо сконцентрировать усилия. Если посмотреть на предыдущие выборы, то в 2000 году все решила Флорида, в 2004 году Огайо, а на последних выборах пара округов в Мичигане и Пенсильвании. Так что понять, где надо осуществлять взлом, очень и очень трудно».

Но у децентрализованной системы есть и свои уязвимости. Нет сильного центрального госаппарата, который бы осуществлял надзор за избирательным процессом, за закупкой аппаратуры и избирательным процессом. очно так же отсутствует эффективный контроль на национальном уровне за регистрацией избирателей, за ведением списков голосующих и за подсчетом голосов. Нет единого органа, отвечающего за безопасность выборов. Официальный представитель Федеральной избирательной комиссии Кристиан Хилланд (Christian Hilland) рассказал The Intercept, что вопросы голосования, а также программное и аппаратное обеспечение выборов не входят в сферу компетенции его комиссии. «Это делает Комиссия обеспечения выборов США, можете спросить у них», — сказал он.

Спросить у Комиссии обеспечения выборов оказалось не так-то просто. Она была создана в 2002 году в качестве ответа конгресса на катастрофу с подсчетом голосов. На своем сайте комиссия отмечает, что в ее задачи входит «работа в качестве национального координационного центра информирования избирательной администрации. Да и половина ссылок на этом “полумертвом” сайте  ведут в никуда.

Если бы в США существовал бы такой правительственный орган,  то он мог расследовать  причины сбоя на целом ряде избирательных участков, что вызвало хаос и привело к образованию длинных очередей. Но проблема была решена проще – перешли на бумажные бюллетени, а голосование затянулось до позднего вечера.

Странно конечно, но списки учета избирателей вела компания VR Systems — та самая, которую взломали русские хакеры…..

Но местные чиновники сказали, что сбой был вызван не хакерской атакой.

Заместитель директора наблюдательной комиссии округа Дарем Джордж Маккью (George McCue) также отметил, что с программами VR Systems никаких проблем нет. «Там было проведено некое расследование, и оно не выявило практически никаких признаков, указывающих на дефекты продукта, — сказал он. — Похоже, что были ошибки пользователя на разных этапах процесса от настройки компьютеров до использования их работниками избирательных органов».

Все это наводит на мысль, что обвинения в строну Трампа о его возможного сговоре с российскими представителями,  имеют место быть. Кстати по этому поводу на этой неделе будет давать показания отправленный в отставку директор ФБР Джеймс Коми.

Если факт сговора в конечном итоге будет доказан, то получится, что Россия в своих действиях пошла гораздо дальше предполагаемых взломов электронной почты в интересах своей пропагандистской кампании. Это уже будет нападение на саму инфраструктуру американских выборов.

Но к какому бы выводу ни пришли следователи, изучающие обстоятельства действий штаба Трампа, это ничто по сравнению с угрозой легитимности американских выборов в случае, если нельзя обеспечить надежную защиту инфраструктуры.

«Доклад АНБ демонстрирует, что страны изучают конкретные тактические приемы манипулирования, и мы должны проявлять бдительность в обороне, — сказал Шнейер. — Выборы имеют двоякую цель: выбрать победителя и убедить проигравшего. Если выборы не защищены от хакерских взломов, возникают сомнения в легитимности процесса голосования, даже если реальных хакерских атак в данном случае нет».

Оригинал: https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election