Кто сказал, что сервер крайний
Компании, отправившей Америку по следу русских хакеров, придется объясняться с Конгрессом под присягой
Во вторник в комитете по разведке Палаты представителей Конгресса США возобновятся слушания, посвященные вопросу о вмешательстве российских властей в американские выборы 2016 года. В качестве свидетеля на сей раз выступит Дмитрий Альперович — глава IT-компании CrowdStrike, первой заявившей о том, что почтовые серверы Демократической партии США взломали хакеры из ФСБ и ГРУ. Между тем на днях CrowdStrike была вынуждена внести существенные изменения в один из своих посвященных российским хакерам докладов — это произошло после того, как журналисты и эксперты уличили компанию в подтасовке фактов. Как это прокомментирует под присягой Дмитрий Альперович, общественность, однако, может не узнать: в последний момент было решено сделать слушания закрытыми.
Изначально было заявлено, что второй раунд слушаний по вопросу о «российском следе» в американских президентских выборах будет открытым, то есть пройдет в том же формате, что и первый (см. “Ъ” от 22 марта). Однако в минувшую пятницу председатель комитета по разведке Палаты представителей Конгресса Девин Нуньес неожиданно заявил, что слушания будут закрытыми. Между тем на них помимо бывших и нынешних глав спецслужб США должен выступить и глава частной IT-компании CrowdStrike Дмитрий Альперович — выходец из России, чья компания за год приобрела мировую славу.
Напомним, именно к CrowdStrike в мае 2016 года обратились представители Демократической партии США, когда стало ясно, что кто-то взломал их почтовые серверы и скачал всю переписку. По итогам расследования CrowdStrike обнародовала доклад, где и было объявлено: за взломом почтовых ящиков и обнародованием компрометирующей соратников тогдашнего кандидата в президенты США Хиллари Клинтон информации стоят российские спецслужбы — ФСБ и ГРУ.
На выводы CrowdStrike впоследствии неоднократно ссылались и официальные лица, и журналисты. При этом, кроме сотрудников CrowdStrike, никто с компьютерами демократов не работал (включая спецслужбы США).
Теперь же выяснилось: второй — опубликованный в декабре прошлого года — доклад CrowdStrike о российских хакерах содержит данные и выводы, не соответствующие действительности.
В декабрьском докладе IT-компании утверждалось, что хакеры из российского ГРУ при помощи фишинговой программы под названием X-Agent, задействованной при атаке на серверы демократов, взломали и приложение для украинской армии «Укроп», повышающее точность стрельбы артиллерии. «Это программное обеспечение эксклюзивно используется только группировкой Fancy Bear (“Модный мишка”.— “Ъ”), которая постоянно занимается усовершенствованием продукта и, вероятно, связана со службой российской военной разведки ГРУ»,— говорилось в документе. Из доклада следовало: взлом приложения привел к большим потерям. «За два года конфликта украинские вооруженные силы потеряли более 50% своей артиллерии, в том числе более 80% гаубиц Д-30»,— утверждали специалисты CrowdStrike.
Информацию о взломе приложения для украинских артиллеристов российскими спецслужбами подхватили ведущие американские СМИ, а глава ФБР Джеймс Коми дал работе компании высокую оценку.
Между тем сразу после выхода доклада разработчик приложения «Укроп» Ярослав Шерстюк на своей странице в Facebook назвал содержащиеся в документе выводы «бредовыми», отметив, что никакого взлома не было, а из CrowdStrike к нему никто не обращался.
6 января с опровержением выводов CrowdStrike выступило Министерство обороны Украины. В специальном заявлении ведомства говорилось: «Потери вооружения артиллерии за время проведения антитеррористической операции в разы меньше упомянутых (в докладе.— “Ъ”) и не связаны с указанной причиной».
А на прошлой неделе в интервью радиостанции Voice of America представители авторитетного британского Международного института стратегических исследований (IISS) сообщили, что CrowdStrike неверно истолковала их данные о состоянии вооруженных сил Украины, отметив при этом, что и к ним никто из этой IT-компании не обращался.
После появления в СМИ ряда критических материалов Дмитрий Альперович перестал общаться с журналистами, хотя ранее весьма охотно раздавал интервью. При этом в минувший четверг в декабрьский доклад о взломе «Укропа» были внесены изменения (на сайте CrowdStrike). В частности, из документа исчезло упоминание о том, что потеря 80% гаубиц Д-30 связана с хакерской атакой.
По словам американского эксперта, автора книги «Кибервойна изнутри» Джеффри Карра, CrowdStrike «раскрутилась в большей степени не посредством своих докладов, которые можно назвать разве что карикатурными, а при помощи найма на работу бывших сотрудников ФБР и АНБ (Агентства национальной безопасности США.— “Ъ”)». «У меня и их доклад о взломе серверов Демократической партии вызвал множество вопросов,— заявил эксперт “Ъ”.— Но их доклад по ГРУ и Украине явно претендует на звание самого провального в истории киберразведки. Он подтверждает: этой компании нельзя доверять без дотошной перепроверки фактов и их независимой оценки».
Российский эксперт по информационной безопасности Алексей Лукацкий в беседе с “Ъ” отметил, что изначально у многих экспертов как в России, так и на Западе вызывала удивление «та маниакальность, с которой компания, основанная бывшим москвичом Дмитрием Альперовичем, обвиняла Россию в атаках на американские ресурсы». «Остается только гадать, что заставило Дмитрия Альперовича делать это — нелюбовь к бывшей родине, заказ Демократической партии США, желание присосаться к государственным бюджетам на борьбу с русскими хакерами или банальная некомпетентность»,— отметил собеседник “Ъ”.
Между тем руководитель проекта Securitylab Александр Антипов, специально перепроверявший доклад компании господина Альперовича, пояснил “Ъ”, что «нельзя утверждать, что CrowdStrike жульничала с данными» по гаубицам. По его словам, из отчетов IISS, на которые ссылалась CrowdStrike, на самом деле следует: количество гаубиц Д-30, имевшихся у украинской армии, в последние годы действительно уменьшилось. Часть из них была снята с вооружения, часть уничтожена во время боевых действий. Но то, что к этим потерям могли быть причастны хакеры и этот факт не получил огласки в украинских СМИ, эксперт считает «маловероятным».
«В свою очередь, внедрение в Android-приложение какого-то импланта (вредоносной программы-закладки.— “Ъ”) вполне могло произойти, учитывая уязвимость смартфонов под управлением Android, а также раскрытые WikiLeaks данные об активном использовании закладок ЦРУ. И если подобные импланты есть у ЦРУ, то они наверняка есть и у ГРУ»,— пояснил эксперт. Однако теорию об уничтожении гаубиц через вредоносную программу, отслеживающую местоположение телефона артиллериста, Александр Антипов назвал «притянутой за уши».
В CrowdStrike не ответили на запрос “Ъ” о комментарии. Впрочем, у корреспондента “Ъ” была возможность попросить Дмитрия Альперовича разъяснить противоречивые данные, содержащиеся в декабрьском докладе его компании: вопрос был задан в ходе закрытой сессии Мюнхенской конференции по безопасности. Дмитрий Альперович тогда ушел от ответа. Формат слушаний в Конгрессе, предполагающий дачу показаний под присягой, не позволит ему уклоняться от аналогичных вопросов. Однако закрытый характер слушаний не позволит дать публичную оценку качеству и полноте ответов.