Кибератака США на ФАН: подробности неудачной операции US Cyber Command

Детали атаки киберкомандования США, полученные в ходе специального расследования Федерального агентства новостей, показали, что сотрудники подразделения военного ведомства США действуют непрофессионально и непродуктивно. При этом персонал US Cyber Command широко использует в своей работе глобальные инструменты слежки и доступа Агентства национальной безопасности (АНБ) США и технические возможности американских компаний, в том числе Apple и Amazon.

Как и зачем киберкомандование ВС США атаковало сервер российского СМИ — в специальном материале Федерального агентства новостей.

Во вторник, 26 февраля, The Washington Post сообщила, что киберкомандование вооруженных сил США (US Cyber Command) заявило об отключении от сети Интернет некого «Агентства интернет-исследований» — IRA в классификации Пентагона, или «Фабрики троллей» в классификации западной прессы, создание которой некоторые СМИ приписывают бизнесмену Евгению Пригожину.

Утверждалось, что отключение произошло накануне выборов в США в ноябре 2018 года, при этом никаких доказательств атаки, как и официальных подтверждений от киберкомандования ВС США, предоставлено не было. 

Заметим, что в западной прессе постоянно увязывается IRA (т.н. «Фабрика троллей») и Федеральное агентство новостей (ФАН), чему нет ни официальных подтверждений, ни каких-либо иных оснований.

Федеральное агентство новостей (ФАН) является легальным публичным информационным коммерческим предприятием, действующим в полном соответствии с законами Российской Федерации. ФАН не занимается вмешательством в выборы или иной незаконной деятельностью.

Однако обвинения в отношении ФАН и дочерних проектов агентства становятся поводом и основанием для незаконных атак на нас – как информационных, дискредитирующих издание в публичной сфере, так и кибератак на наши сайты и сервера. 

Федеральное агентство новостей еще осенью 2018 года сообщало, что его сотрудники подвергаются информационным атакам со стороны киберкомандования ВС США, однако тогда все это выглядело непрофессиональным троллингом. Журналистам ФАН рассылались угрожающие СМС-сообщения на ломаном русском языке с африканских мобильных номеров и электронные письма на ломаном русском языке, призывающие журналистов «задуматься о своей деятельности».

С момента создания в 2014 году ФАН регулярно подвергается атакам, в том числе ДДОС атакам со стороны украинских спецслужб, поэтому атака в ноябре 2018 года не вызвала у IT-департамента редакции удивления. Однако сам метод и способ проникновения в офисную локальную сеть отличался от предыдущих атак.

Редакцией ФАН было проведено полноценное внутреннее расследование, в ходе которого были выявлены пути проникновения и способы атаки. И если осенью прошлого года кто-то из наших коллег в СМИ еще мог сомневаться в том, что за этим стояло именно киберкомандование ВС США, после опубликованной 26 февраля информации в американских СМИ можно утверждать однозначно: атака на российское СМИ была произведена американскими военными. 

Цели атаки

По информации из открытых источников, в 2018 году подразделение киберкомандования запрашивало у американского правительства увеличение своего финансирования на 16% для проведения операций против «врагов США». Об этом заявлял адмирал Майкл Роджерс, одновременно возглавляющий и киберкомандование, и Агентство национальной безопасности (АНБ).

Годовой бюджет АНБ является государственной тайной США, однако в 2014-м году, по словам директора Национальной разведки Джеймса Клэппера, составлял примерно 45 миллиардов долларов. Сейчас эта сумма, учитывая инфляцию и другие объективные макроэкономические процессы, значительно больше. 

Однако вместо того, чтобы тратить эти деньги американских налогоплательщиков по целевому назначению, в том числе на борьбу с международным терроризмом, США проводят кибератаки на сервера легальных законопослушных российских СМИ.

Примечательно, что основной целью кибератак США был дочерний проект ФАН USA Really. Зачем американским военным потребовалось проводить атаку на легальное средство массовой информации, которое рассказывает правду о том, что происходит в Соединенных Штатах, остается неясным. 

Редакция ФАН предполагает, что поводом является содержание публикаций нашего проекта, ведущегося на английском языке. ФАН направлял своих сотрудников в США для наблюдения за выборами и выводы о том, насколько честно, демократично и без нарушений проводятся выборы в США, не нравятся правящим там элитам.

ФАН публиковал подробные отчеты о том, какие именно нарушения и манипуляции были выявлены в результате работы проекта USAReally в США в ноябре 2018 года.

Что было атаковано

Редакция ФАН приняла решение о раскрытии данных о проведенной кибератаке со стороны властей США. Начнем с того, к чему американцы получили доступ и что именно они сделали, используя этот доступ.

5 ноября 2018 года около 22 часов по московскому времени был уничтожен RAID контроллер на внутриофисном сервере ФАН и выведено из строя 2 жестких диска из четырех. Были также отформатированы винчестеры на арендованных в Швеции и Эстонии серверах, использовавшихся для хранения данных портала USA Really.

При этом атака киберкомандования США полностью провалилась: работа офиса ФАН не была «парализована», как сообщалось в американских СМИ, а проект USAReally продолжил свою работу в штатном режиме.

Как US Cyber Command получили доступ

За несколько дней до атаки на личную почту одного из сотрудников Федерального агентства новостей пришло письмо вложением. Название вложения указывало на некую важную информацию о выборах в США, назначенных на 6 ноября 2018 года.
Исходя из прилагаемого к вложению текста, следовало, что нам отправлены документы, касающиеся возможных нарушений на американских выборах. Сотрудник редакции открыл письмо и вложения, прикрепленные к нему. 

После распаковки архива в нем не обнаружилось ничего, кроме базовой информации о том, где и какие выборы будут проходить в США. Как выяснилось позднее, один из файлов был «трояном», который без ведома пользователя использовал скрытые возможности операционной системы Windows и получил полный удаленный контроль над компьютером в редакции ФАН. 

Именно с этого компьютера была осуществлена первая попытка получить доступ к серверу.

Однако вследствие грамотно настроенных внутрисетевых политик безопасности, попытка взлома не удалась и за пределы конкретного зараженного компьютера злоумышленники не вышли.

После обнаружения атаки IT-департамент ФАН провел аудит Wi-Fi сетей офиса. Были выявлены неидентифицированные подключения, однако и эти подключения не позволили киберкомандованию ВС США получить доступ к локальной сети офиса, поскольку локальная и Wi-Fi сети офиса физически разделены. Спецагенты US Cyber Command довольствовались возможностью выходить в Интернет с IP-адреса офисной Wi-Fi сети ФАН. Для чего это делалось, неясно – возможно, для последующей дискредитации ФАН в ходе публикаций запрещенного контента.

Подвел Apple iPhone

Основным источником атаки явился редко используемый способ, который потребовал значительное время на выявление источника заражения и итогового проникновения в локальную сеть офиса. Источником заражения явился мобильный телефона сотрудника, который был подключен кабелем к USB разъему компьютера, не имевшего выхода в Интернет, но имевшего доступ в локальную сеть с довольно широкими правами доступа.

После подключения мобильного устройства Apple iPhone 7 Plus к персональному компьютеру был произведен не только автоматический запуск iTunes и синхронизация данных пользователя, но и получен доступ в интернет со стороны ОС Windows и загружены некоторые файлы обновления системы, которые установились автоматически.
После этого компьютер стал по факту управляем удаленно и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН. Стоит отметить, что вторжение в локальную сеть было проведено с IP-адресов, подконтрольных американским компаниям, в том числе, с серверов компании Amazon, которые обычно используются хакерами для заметания своих следов и скрытия настоящего источника атаки.

Таким образом, киберкомандование ВС США воспользовалось своими административными возможностями и использовало коммерческую компанию в своих интересах. Данный факт лишний раз подтверждает, что американские компании всегда следят за своими пользователями и передают всю информацию американским спецслужбам. ФАН ранее писало о том, как Google передает полный доступ к личной информации граждан РФ в правоохранительные органы США. Также все данные с устройств Apple передаются на сервера компании на территории США вне зависимости от настроек телефона.

После данного инцидента политикой безопасности компании было запрещено использовать телефоны компании Apple для подключения к персональным компьютерам. 

Никакая не кибероперация

Доступ к серверам в Европе был получен самым примитивным способом – это была по сути даже не кибероперация, а исполнение требование персонала US Cyber Command о предоставлении полного доступа к управлению определенными серверами в дата-центрах. В Швеции и Эстонии находились сервера для обслуживания зеркал сайта USAReally, которые были специально созданы на случай блокировки основного сервера российского СМИ.

ФБР подключается к атаке

После неудачной попытки заблокировать работу сайта USAReally, который писал о нарушениях на американских выборах, в аэропорту США 8 ноября был задержан гражданин России и главный редактор портала Александр Малькевич. Позднее он был освобожден в связи с отсутствием в его работе каких-либо нарушений американских законов. Однако персонал US Cyber Command участвовал и в задержании – более 10 спецагентов, снабженных самым современным оборудованием, пытались получить секретную информацию с телефона и компьютера Малькевича, однако и тут кибервойска США ждал провал – никакой интересной для себя информации они не получили.

Напомним, что позднее предпринимались попытки приостановить работу сайта путем отзыва https-сертификата безопасности, выданного на домен usareally.com.

Тем не менее, несмотря на тотальную информационную цензуру со стороны властей США, (о которой ФАН готовит отдельный материал), американцам не удалось приостановить работу сайта usareally ни на один день. В связи с этим проект и его главный редактор были внесены в санкционный список США в декабре 2018 года, который призван ограничить возможности развития проекта на территории Америки.

Выводы 

Несмотря на то, что западные СМИ подают кибероперацию США как успешную кампанию по отключению «Фабрики троллей» от интернета, по факту это была не увенчавшаяся успехом попытка хакерской атаки на техническую инфраструктуру Федерального агентства новостей. В редакции ФАН полагают, что отсутствие официальной информации и деталей операции от US Cyber Command свидетельствуют о том, что там понимают – операция была провалена и желаемый американцами результат достигнут не был.

Руководитель проекта ФАН о результатах кибератаки США на ФАН 

«Власти США и персонал US Cyber Command показали свою некомпетентность – используя все возможности Агентства национальной безопасности США, о которых рассказывал еще Сноуден, они атакуют законопослушные легальные российские СМИ, ФАН и USAReally. То есть пытаются уничтожить свободу слова. Американцы считают, что «есть их мнение, а есть неправильное». Как мне объяснили сотрудники IT-департамента ФАН, атака США не привлекла внимания на первом этапе, так как их действия US Cyber Command были больше похожи на работу хакеров-самоучек, а не профессионалов. Ущерб ФАНу практически не был нанесен – выведенные из строя части сервера были оперативно заменены, для USAReally созданы новые зеркала и работа продолжилась в штатном режиме. Сотрудники ФАН и USAReally благодаря слаженной работе IT-департамента ни на минуту не прекращали свою работу. Видимо, командованию US Cyber Command стоит готовиться к отставкам за бездарно проведенную атаку», — заявил генеральный директор ФАН Евгений Зубарев.

Редакции ФАН и USAReally продолжат свою работу, несмотря на любые атаки. Так, на портале USAReally в ближайшее время готовится к публикации очередная серия материалов о цензуре в американских СМИ и социальных сетях.