Обвинение Минюста США в адрес 12 предполагаемых сотрудников ГРУ
Полный перевод документа на русский язык и комментарии экспертов
Власти США в пятницу, 13 июля, предъявили заочные обвинения 12 предполагаемым сотрудникам Главного управления Генерального штаба Вооруженных сил РФ в рамках расследования предполагаемого вмешательства в ход президентских выборов в 2016 году. В обнародованном обвинительном акте впервые подробно описывается, как были взломаны ресурсы Демократической партии и как распространяли выкраденную оттуда информацию по интернету. В нем фигурируют имена предполагаемых хакеров, их должности в конкретных частях российской военной разведки (в документе используется прежнее название «Главное разведывательное управление — ГРУ»), псевдонимы, которыми якобы они пользовались, и другие подробности операции, которая в значительной степени усилила конфронтацию между Москвой и Вашингтоном. “Ъ” приводит полный перевод обвинительного акта Минюста США.
Что нужно знать о расследовании связей президента США с Россией
Какие еще расследования ведутся, их основные участники и первые результаты
Обвинительный акт
Большое жюри округа Колумбия обвиняет:
Статья первая
(Сговор с целью совершения преступления против Соединенных Штатов)
1. В районе 2016 года в Российской Федерации («Россия») действовало военное разведывательное ведомство, которое называлось Главным разведывательным управлением Генерального штаба («ГРУ»). У ГРУ есть множество подразделений, в том числе части 26165 и 74455, которые занимались кибероперациями, связанными с поэтапной публикацией документов, украденных путем проникновения в компьютеры. Эти подразделения осуществили крупномасштабные кибероперации, чтобы вмешаться в ход выборов президента США в 2016 году.
2. Ответчики ВИКТОР БОРИСОВИЧ НЕТЫКШО, БОРИС АЛЕКСЕЕВИЧ АНТОНОВ, ДМИТРИЙ СЕРГЕЕВИЧ БАДИН, ИВАН СЕРГЕЕВИЧ ЕРМАКОВ, АЛЕКСЕЙ ВИКТОРОВИЧ ЛУКАШЕВ, СЕРГЕЙ АЛЕКСАНДРОВИЧ МОРГАЧЕВ, НИКОЛАЙ ЮРЬЕВИЧ КОЗАЧЕК, ПАВЕЛ ВЯЧЕСЛАВОВИЧ ЕРШОВ, АРТЕМ АНДРЕЕВИЧ МАЛИШЕВ, АЛЕКСАНДР ВЛАДИМИРОВИЧ ОСАДЧУК и АЛЕКСЕЙ АЛЕКСАНДРОВИЧ ПОТЕМКИН были офицерами ГРУ, которые сознательно и преднамеренно вступили в сговор друг с другом, а также с лицами, известными и неизвестными Большому жюри («Сообщники»), чтобы получить несанкционированный доступ («взломать») к компьютерам американских граждан и структур, задействованных в президентских выборах в США в 2016 году, украсть документы с этих компьютеров и организовать публикацию похищенных документов с целью вмешательства в выборы президента США в 2016 году.
3. Начиная по меньшей мере с марта 2016 года Сообщники использовали различные средства для взлома электронной почты волонтеров и сотрудников предвыборного штаба Хиллари Клинтон («Штаб Клинтон»), в том числе электронной почты председателя предвыборного штаба Клинтон.
4. Примерно к апрелю 2016 года Сообщники также взломали компьютерные сети
Комитета по выборам в Конгресс Демократической партии («DCCC») и Национального комитета Демократической партии («DNC»). Сообщники скрыто контролировали компьютеры десятков сотрудников DCCC и DNC, внедрили сотни файлов, содержащих вредоносный компьютерный код («вредоносное ПО»), а также украли у DCCC и DNC электронные письма и другие документы.
5. Примерно в апреле 2016 года Сообщники начали планировать публикацию материалов, украденных в штабе Клинтон, у DCCC и DNC.
6. Начиная с июня 2016 года или примерно в это время Сообщники обнародовали десятки тысяч похищенных электронных писем и документов. Они сделали это, используя фиктивные аккаунты, в том числе «DCLeaks» и «Guccifer 2.0».
7. Сообщники также использовали аккаунт Guccifer 2.0 для публикации документов, украденных через веб-сайт, поддерживаемый организацией («Организация 1»), которая ранее размещала документы, похищенные у американских граждан, организаций и правительства. Сообщники продолжали свою деятельность по вмешательству в выборы примерно до ноября 2016 года.
8. Чтобы скрыть свои связи с Россией и российским правительством, Сообщники использовали фальшивые имена и приводили ложные данные о себе. Чтобы не допустить обнаружения, Сообщники использовали сеть компьютеров, расположенных по всему миру, в том числе в Соединенных Штатах, и платили за эту инфраструктуру в криптовалюте.
Ответчики
9. Ответчик ВИКТОР БОРИСОВИЧ НЕТЫКШО — российский офицер, руководитель части 26165, расположенной по адресу: Комсомольский проспект, 20, Москва, Россия. Часть 26165 несет основную ответственность за взлом компьютеров DCCC и DNC, а также электронной почты лиц, связанных с предвыборным штабом Клинтон.
10. Ответчик БОРИС АЛЕКСЕЕВИЧ АНТОНОВ — майор российской армии, приписанный к части 26165. АНТОНОВ курировал отдел в составе части 26165, занимавшийся мошенническими рассылками сообщений (spearphishing) в военные, политические, правительственные и неправительственные организации и совершавший другие виды действий по проникновению в компьютерные сети. АНТОНОВ занимал должность начальника отдела. В 2016 году или около того времени АНТОНОВ руководил другими участниками сговора с целью противозаконных действий в отношении DCCC, DNC и отдельных лиц, связанных с предвыборным штабом Клинтон.
11. Ответчик ДМИТРИЙ СЕРГЕЕВИЧ БАДИН — российский офицер, приписанный к части 26165, занимал должность заместителя начальника отдела. В 2016 году или около того времени БАДИН вместе с АНТОНОВЫМ руководил другими Сообщниками, которые совершали противозаконные действия в отношении DCCC, DNC и отдельных лиц, связанных с предвыборной кампанией Клинтон.
12. Ответчик ИВАН СЕРГЕЕВИЧ ЕРМАКОВ — российский офицер, приписанный к отделу АНТОНОВА в части 26165. Приблизительно с 2010 года ЕРМАКОВ использовал разные онлайн-псевдонимы, в том числе Kate S. Milton, James McMorgans и Karen W. Millen, для проведения хакерских операций для части 26165. Примерно в марте 2016 года ЕРМАКОВ участвовал во взломе как минимум двух учетных записей электронной почты, с которых через DCLeaks были опубликованы документы, связанные с кампанией. В мае 2016 года или около того времени ЕРМАКОВ также участвовал во взломе почтового сервера DNC и краже электронных писем DNC, которые были позже опубликованы через «Организацию 1».
13. Ответчик ЛУКАШЕВ АЛЕКСЕЙ ВИКТОРОВИЧ был старшим лейтенантом российской армии и прикреплен к подразделению Антонова в войсковой части 26165. Лукашев использовал различные онлайн-псевдонимы, включая Den Katenberg и Yuliana Martynova. В 2016 году или приблизительно в этот период Лукашев использовал адресный фишинг против членов предвыборного штаба Клинтон и связанных с ним лиц, включая главу штаба.
14. Ответчик МОРГАЧЕВ СЕРГЕЙ АЛЕКСАНДРОВИЧ был подполковником российской армии в войсковой части 26165. Моргачев заведовал подразделением 26165, отвечающим за разработку и управление вредоносного программного обеспечения, включая хакерское средство, использовавшееся ГРУ и известное как X-Аgent. Во время взлома сетей DCCC и DNC Моргачев руководил действиями соучастников, которые разработали и контролировали внедрение X-Аgent в вышеупомянутые компьютеры.
15. Ответчик КОЗАЧЕК НИКОЛАЙ ЮРЬЕВИЧ был капитан-лейтенантом в российской армии и прикреплен к подразделению Моргачева в войсковой части 26165. Козачек использовал различные псевдонимы, включая kazak и blablabla1234565. Козачек разрабатывал, настраивал и контролировал работу с вредоносным программным обеспечением X-Agent, которое использовалось для взлома сетей DCCC и DNC в апреле 2016 года или приблизительно в этот период.
16. Ответчик ЕРШОВ ПАВЕЛ ВЯЧЕСЛАВОВИЧ был офицером российской армии и прикреплен к подразделению Моргачева в воинской части 26165. Приблизительно в 2016 году Ершов помогал Козачеку и другим соучастникам в тестировании и настройке вредоносного ПО X-Agent до его ввода в действие и применения.
17. Ответчик МАЛЫШЕВ АРТЕМ АНДРЕЕВИЧ был младшим лейтенантом российской армии и прикреплен к подразделению Моргачева в воинской части 26165. Малышев использовал различные псевдонимы, включая djangomagicdev и realblatr. Приблизительно в 2016 году Малышев контролировал внедрение вредоносного ПО X-Agent в сети DCCC и DNC.
18. Ответчик ОСАДЧУК АЛЕКСАНДР ВЛАДИМИРОВИЧ был полковником российской армии и командиром воинской части 74455. Воинская часть 74455 располагалась по адресу: улица Кирова, 22, Химки, Москва, в здании, которое в ГРУ называли Башней. Воинская часть 74455 содействовала публикации украденных документов через пользователей DCLeaks и Guccifer 2.0, продвижению этих релизов и публикации контента против Клинтон в соцсетях с помощью аккаунтов, управляемых ГРУ.
19. Ответчик ПОТЕМКИН АЛЕКСЕЙ АЛЕКСАНДРОВИЧ был офицером российской армии, прикрепленным к воинской части 74455. Потемкин был руководителем подразделения в воинской части 74455, отвечавшего за управление компьютерным оборудованием, использовавшимся во время киберопераций. Оборудование и аккаунты в социальных сетях, которыми управляло подразделение Потемкина, использовались, среди прочего, для публикации украденных документов через пользователей DCLeaks и Guccifer 2.0.
Объект сговора
20. Объектом сговора были взлом компьютеров американских граждан и предприятий, участвовавших в президентских выборах 2016 года, кража документов с данных компьютеров и публикация украденных документов с целью оказать влияние на президентские выборы 2016 года в США.
Методы и средства сговора
Адресный фишинг
21. Антонов, Бадин, Ермаков, Лукашев и другие участники сговора использовали прием, известный как адресный фишинг, чтобы украсть пароли жертв или как-то иначе получить доступ к их компьютерам. Начиная по крайней мере с марта 2016 года участники сговора атаковали более 300 человек, связанных с предвыборной кампанией Клинтон, DCCC и DNC.
а. Например, примерно 19 марта 2016 года Лукашев и его сообщники создали и отправили фишинговое письмо председателю предвыборного штаба Клинтон. Лукашев использовал учетную запись john356g в онлайн-службе, которая сокращает длинные адреса веб-сайтов (называемую услугой сокращения URL-адресов). Лукашев использовал учетную запись, чтобы замаскировать ссылку, содержащуюся в фишинговом письме, которая направила адресата на сайт, созданный ГРУ. Лукашев изменил внешний вид адреса электронной почты отправителя, чтобы он выглядел так, будто электронное письмо было уведомлением безопасности от Google (метод, известный как спуфинг), дав указание пользователю изменить пароль, кликнув по встроенной ссылке. Эти рекомендации были выполнены. Примерно 21 марта 2016 года Лукашев, Ермаков и их сообщники украли содержимое учетной записи электронной почты председателя штаба, в которой было более 50 тыс. писем.
б. Начиная с 19 марта 2016 года Лукашев и его сообщники отправляли фишинговые электронные письма на персональные адреса других лиц, связанных с предвыборной кампанией Клинтон, включая ее менеджера по проведению кампании и старшего советника по внешней политике. Примерно 25 марта 2016 года Лукашев использовал ту же учетную запись john356gh, чтобы маскировать дополнительные ссылки внутри фишинговых электронных писем, отправленных многочисленным лицам, связанным с кампанией Клинтон, включая жертв 1 и 2. Лукашев отправил эти письма с российского аккаунта электронной почты hi.mymail@yandex.com, которые он замаскировал под письма от Google.
в. Примерно 28 марта 2016 года Ермаков изучал имена Жертв 1 и 2, а также их связь со штабом Клинтон через несколько соцсетей. Благодаря фишинговым письмам Лукашев, Ермаков и их сообщники украли учетные данные почтовых адресов и тысячи писем от многочисленных лиц, имевших отношение к избирательной кампании Клинтон. Многие из украденных писем, в том числе от Жертв 1 и 2, были позднее опубликованы Сообщниками через аккаунт DCLeaks.
г. Примерно 6 апреля 2016 года Сообщники создали почтовый аккаунт с именем (с расхождением в одну букву от настоящего имени) известного члена предвыборного штаба Клинтон. Сообщники использовали этот аккаунт для рассылки фишинговых писем на почтовые адреса более чем 30 сотрудников предвыборного штаба Клинтон. В фишинговых письмах Лукашев и сообщники вставили ссылку, которая направляла получателя к документу под названием «hillaryclinton—favorable-rating.xlsx». На деле же эта ссылка направляла компьютеры получателей на созданный ГРУ веб-сайт.
22. Летом 2016 года Сообщники атаковали фишинговыми программами лиц, связанных с кампанией Клинтон. Например, примерно 27 июля 2016 года Сообщники в нерабочее время пытались впервые атаковать почтовые ящики на домене, который управлялся провайдером—третьей стороной и использовался личным секретариатом Клинтон. Примерно в это же самое время они также атаковали 26 почтовых ящиков на домене самой кампании Клинтон.
Проникновение в сеть DCCC
23. Начиная примерно с марта 2016 года Сообщники помимо фишинговых атак исследовали компьютерные сети DCCC и DNC на предмет технических спецификаций и уязвимостей. Например, начиная примерно с 15 марта 2016 года, Ермаков осуществил технический запрос о конфигурациях интернет-протокола DNC для идентификации подключенных устройств. Примерно в тот же день Ермаков искал открытую информацию о сети DNC, Демократической партии и Хиллари Клинтон. Примерно 7 апреля 2016 года Ермаков осуществил технический запрос о конфигурациях интернет-протокола DCCC для идентификации подключенных устройств.
24. Примерно в апреле 2016 года, спустя несколько дней поисков Ермаковым информации о DCCC, Сообщники проникли в компьютерную сеть DCCC. Получив доступ, они установили и управляли различными типами вредоносных программ для изучения сети DCCC и кражи данных.
а. Примерно 12 апреля 2016 года Сообщники использовали украденные данные сотрудника DCCC (далее «Сотрудник DCCC №1») для доступа в сеть DCCC. Сотрудник DCCC №1 получил фишинговое письмо от Сообщников примерно 6 апреля 2016 года и ввел свой пароль, кликнув по ссылке в этом письме.
б. Примерно между апрелем и июнем 2016 года Сообщники установили многочисленные версии своего вредоносного программного обеспечения X-Agent на минимум десять компьютеров DCCC, что позволило им следить за действиями сотрудников, их работой на компьютере и сохранять свой доступ к сети DCCC.
в. Вредоносное программное обеспечение X-Agent, установленное в сети DCCC, передавало информацию с компьютеров жертв на арендованный ГРУ сервер в Аризоне. Сообщники обращались к этому серверу как серверу поддержки (AMS). Козачек, Малышев и их сообщники заходили на этот сервер для использования кейлогов программы X-Agent и скриншотов для слежки за деятельностью компьютеров DCCC. Функция кейлога позволила Сообщникам узнавать нажатия клавиш на компьютерах сотрудников DCCC. Функция скриншота позволила Сообщникам получать изображения с экранов компьютеров сотрудников DCCC.
г. Примерно 14 апреля 2016 года Сообщники несколько раз активировали функции кейлогов и скриншотов X-Agent для слежки за деятельностью в компьютере Сотрудника DCCC №1 примерно в течение 8 часов. За это время Сообщники проследили за коммуникациями Сотрудника DCCC №1 с его коллегами и паролями, которые она вводила при работе по сбору средств на кампанию и по проектам по работе с избирателями. Таким же образом примерно 22 апреля 2016 года Сообщники активировали функции кейлога и скриншота программы X-Agent для отслеживания обсуждений другого сотрудника DCCC (далее «Сотрудник DCCC №2») о финансах DCCC, а также о ее личной банковской информации и других личных темах.
25. Примерно 19 апреля 2016 года Козачек, Ершов и их сообщники в удаленном режиме установили на компьютере, находившемся за рубежом, конфигурацию, позволявшую ретранслировать взаимодействие между вредоносным ПО X-Agent и сервером поддержки (AMS), а затем тестировали возможности X-Agent для подключения к данному компьютеру. Сообщники обозначили этот компьютер как «промежуточный сервер». Этот промежуточный сервер работал как посредник для маскировки взаимодействия между вредоносным ПО в DCCC и сервером злоумышленников AMS. Примерно 20 апреля 2016 года Сообщники направили ПО X-Agent на компьютеры DCCC для подключения к промежуточному серверу и получению указаний от Сообщников.
Взлом сети DNC
26. Примерно 18 апреля 2016 года Сообщники взломали компьютеры DNC через свой доступ к сети DCCC. Затем Сообщники установили и управляли разными типами вредоносного ПО (как они делали в сети DCCC) для изучения сети DNC и кражи документов.
а. Примерно 18 апреля 2016 года Сообщники активировали кейлог программы X-Agent и функции скриншота для кражи данных сотрудника DCCC, у которого имелся доступ в сеть DNC. Сообщники взломали сеть DNC через сеть DCCC, используя похищенные данные. Примерно к июню 2016 года они получили доступ приблизительно к 30–33 компьютерам DNC.
б. Примерно в апреле 2016 года Сообщники установили вредоносное ПО X-Agent в сеть DNC, включая те же самые версии этого ПО, установленные в сети DCCC. Малышев и его сообщники контролировали работу X-Agent через сервер поддержки AMS и собирали данные с компьютеров жертв. Сервер собирал тысячи кейлогов и скриншотов с компьютеров DCCC и DNC, таких как, например, скриншоты и нажатия клавиш сотрудника DCCC 2, который просматривал информацию об онлайн-банковских операциях DCCC.
Кража документов DCCC и DNC
27. Сообщники искали и идентифицировали компьютеры в сетях DCCC и DNC, на которых хранилась информация, относящаяся к президентским выборам 2016 года. Например, в районе 15 апреля Сообщники провели поиск во взломанном компьютере DCCC по словам «хиллари», «круз» и «трамп». Сообщники также копировали некоторые папки DCCC, включая «расследование Бенгази». Целью поисков Сообщников были также исследования оппозиции и планы по проведению агитационно-предвыборных мероприятий в 2016 году.
28. Для кражи большого количества документов и сокрытия этого Сообщники использовали программное средство из открытого доступа, которое помогает собирать и сжимать многочисленные документы в сетях DCCC и DNC. Затем Сообщники использовали вредоносное ПО ГРУ, известное как X-Tunnel, для перемещения через зашифрованные каналы украденных документов за пределы сетей DCCC и DNC.
а. Например, в районе 22 апреля Сообщники сжали гигабайты данных с компьютеров DNC, включая исследования оппозиции. Затем Сообщники переместили сжатые данные DNC через X-Tunnel на арендованный ГРУ сервер, находящийся в Иллинойсе.
б. Примерно 28 апреля 2016 года Сообщники подключились и протестировали один и тот же компьютер, находящийся в Иллинойсе. В тот же день Сообщники использовали X-Tunnel для подключения к тому компьютеру для кражи новых документов из сети DCCC.
29. Примерно между 25 мая и 1 июня 2016 года Сообщники взломали сервер DNC Microsoft Exchange Server и украли тысячи адресов электронной почты с рабочих аккаунтов сотрудников DNC. В это время Ермаков исследовал команды PowerShell, относящиеся к доступу и управлению Microsoft Exchange Server.
30. Примерно 30 мая 2016 года Малышев обратился к серверу поддержки AMS для апгрейда определенного ПО на этом сервере. В тот же день сервер поддержки получил обновления из примерно 13 различных компьютеров DCCC и DNC, где был установлен X-Agent.
31. Во время взлома сетей DCCC и DNC Сообщники скрывали свои следы путем преднамеренного удаления логов и компьютерных файлов. Например, в районе 13 мая 2016 года Сообщники стерли журнал событий с компьютера DNC. Примерно 20 июня 2016 года 11 Сообщников удалили логи с сервера поддержки AMS, который документировал их действия, включая историю использования логинов.
Деятельность по сохранению пребывания в сетях DCCC и DNC
32. Несмотря на деятельность Сообщников по сокрытию своей деятельности, начиная примерно с 26 мая 2016 года, и в DCCC, и в DNC стало известно о взломе. Была нанята компания, занимающаяся компьютерной безопасностью (далее «Компания 1») для поиска источника взлома. Примерно к июню 2016 года Компания 1 приняла меры по исключению взломщиков из сетей. Несмотря на эти усилия, Linux-версия программы X-Agent, запрограммированная для коммуникации с зарегистрированным ГРУ доменом linukal.net, оставалась в сети DNC примерно до октября 2016 года.
33. В ответ на усилия Компании 1 Сообщники предприняли контрмеры для поддержания доступа к сетям DCCC и DNC.
a. Примерно 31 мая 2016 года Ермаков искал информацию о Компании 1 в открытых источниках и ее отчетах о X-Agent и X-Tunnel. Примерно 1 июня 2016 года Сообщники попытались удалить следы их присутствия в сети DCCC, используя программу CCleaner.
б. Примерно 14 июня 2016 Сообщники зарегистрировали домен actblues.com, который имитировал домен платформы для сбора пожертвований политическим организациям, на которой была и страница сбора пожертвований в пользу DCCC. Вскоре после этого Сообщники использовали украденные учетные данные DCCC, чтобы внести изменения на сайт DCCC и перенаправить пользователей на домен actblues.com.
в. Примерно 20 июня 2016 года, после того как Компания 1 нейтрализовала X-Agent в сети DCCC, Сообщники потратили более семи часов на безуспешные попытки подсоединиться к X-Agent. Сообщники также пытались получить доступ к сети DCCC, используя украденные до этого учетные данные.
34. Примерно в сентябре 2016 года Сообщники также успешно получили доступ к компьютерам сети DNC, чьи сервера располагались на облачном сервисе третьей стороны. Эти компьютеры содержали тестовые приложения, связанные с аналитикой DNC. После проведения разведки Сообщники собрали данные, создав резервные копии, или снимки, облачных систем DNC с использованием собственной технологии облачного провайдера. Затем Сообщники переместили снимки в облачные учетные записи, которые они зарегистрировали с помощью того же сервиса, тем самым украв данные из DNC.
Распространение похищенных документов через DCLeaks
35. За более чем месяц до распространения любых документов Сообщники создали искусственный онлайн-образ DCLeaks для распространения и продвижения похищенных документов, относящихся к выборам. Примерно 19 апреля 2016 года после попытки зарегистрировать домен electionleaks.com Сообщники зарегистрировали домен dcleaks.com, используя сервис, который делает регистрирующее лицо анонимным. Средства, использованные для оплаты домена dcleaks.com, поступили с аккаунта одного из онлайновых криптовалютных сервисов, которые Сообщники использовали, кроме того, для финансирования аренды виртуального частного сервера, зарегистрированного с операционного аккаунта электронной почты dirbinsaabol@mail.com. Электронный адрес dirbinsaabol использовался также для регистрации аккаунта уменьшения единого указателя ресурса john356gh, которым пользовался ЛУКАШЕВ для фишинга против председателя предвыборной кампании Клинтон и других лиц, имеющих отношение к кампании.
36. Примерно 8 июня 2016 года Сообщники запустили публичный веб-сайт dcleaks.com, который они использовали для распространения похищенных электронных посланий. До того как примерно в марте 2017 года он был закрыт, сайт получил более миллиона просмотров. Сообщники лживо заявляли на сайте, что DCLeaks был учрежден группой «американских хактивистов», в то время как на самом деле он был запущен Сообщниками.
37. Начиная примерно с июня 2016 года и вплоть до окончания президентских выборов 2016 года Сообщники использовали DCLeaks для распространения электронных сообщений, похищенных у лиц, связанных с предвыборным штабом Клинтон. Сообщники, кроме того, распространяли документы, которые были похищены в ходе других фишинговых операций, включая те, что были проведены в 2015 году, которые собирали электронные послания лиц, связанных с Республиканской партией.
38. Примерно 8 июня 2016 года и примерно в то же время, когда был запущен сайт dcleaks.com, Сообщники создали страницу DCLeaks на Facebook, используя существовавший ранее аккаунт социальной сети на фиктивное имя Alice Donovan. В дополнение к странице DCLeaks на Facebook Сообщники использовали другие аккаунты социальных сетей на имена несуществующих граждан США, такие как Jason Scott и Richard Gingrey, для продвижения сайта DCLeaks. Сообщники получали доступ к этим аккаунтам с компьютеров, управляемых ПОТЕМКИНЫМ и его сообщниками.
39. Примерно 8 июня 2016 года Сообщники создали аккаунт в Twitter @dcleaks_. Сообщники управляли Twitter-аккаунтом @dcleaks_ с того же компьютера, который использовался для других попыток вмешательства в предвыборную кампанию 2016 года в США. Например, Сообщники использовали тот же компьютер для управления Twitter-аккаунтом @BaltimoreIsWhr, через который они призывали американскую аудиторию «(п)рисоединиться к нашему флешмобу» против Клинтон и распространять изображения с хештегом #BlacksAgainstHillary.
Похищенные документы, распространенные через Guccifer 2.0
40. Примерно 14 июня 2016 года DNC через Компанию 1 публично сообщил о том, что был взломан лицами, действовавшими по поручению правительства России. В ответ Сообщники создали онлайн-образ Guccifer 2.0 и лживо объявили себя румынским хакером-одиночкой, чтобы подвергнуть сомнению обвинения в ответственности России за вмешательство.
41. Примерно 15 июня 2016 года Сообщники залогинились в расположенный в Москве сервер, используемый частью 74455, и в период между 16.19 и 16.56 по стандартному московскому времени проводили поиск определенных слов и фраз, включая:
Some hundred sheets (примерно сотня листов.— “Ъ”)
Some hundreds of sheets (несколько сотен листов.— “Ъ”)
dcleaks
illuminati (иллюминаты.— “Ъ”)
worldwide known (всемирно известный.— “Ъ”)
think twiсe about (подумай дважды о.— “Ъ”)
company’s competence (компетентность компании.— “Ъ”)
42. Позже в тот же день, в 19:02 по московскому времени, онлайн-образ Guccifer 2.0 выпустил свой первый пост в блоге, созданном через WordPress. В озаглавленном «Серверы DNC взломаны хакером-одиночкой» посте использовались многочисленные английские слова и фразы, которые Сообщники в тот день ранее искали (выделены жирным шрифтом):
Всемирно известная компания по кибербезопасности [Компания 1] j,] объявила, что серверы Демократического национального комитета (DNC) были взломаны «высоко организованными» группами хакеров.
Я рад, что компания так высоко оценила мои способности ))))) […]
Вот лишь несколько документов из многих тысяч, которые я добыл, взламывая сеть DNC […]
Около тысячи листов! Это серьезное дело, не так ли? […]
Думаю, клиенты [Компании 1] должны дважды подумать о компетентности компании
… Иллюминатов и их заговоры! … [Компанию 1]!!!!!!!!!
43. Между примерно июнем 2016 года и октябрем 2016 года Сообщники использовали Guccifer 2.0 для распространения документов, которые они украли из DCCC и DNC через WordPress. Сообщники, представляясь Guccifer 2.0, кроме того, передавали похищенные документы некоторым лицам.
а. Примерно 15 августа 2016 года Сообщники, выступая как Guccifer 2.0, получили запрос на похищенные документы от одного из кандидатов в Конгресс США. Сообщники ответили, используя образ Guccifer 2.0, и отправили кандидату похищенные документы, имеющие отношение к его оппоненту.
б. Примерно 22 августа 2016 года Сообщники, представляясь Guccifer 2.0, передали примерно 2,5 гигабайта информации, похищенной из DCCC тогда еще зарегистрированному лоббисту штата и онлайн-источнику политических новостей. Похищенная информация включала данные о пожертвованиях и личную идентифицирующую информацию о примерно 2000 жертвователях Демократической партии.
в. Примерно 22 августа 2016 года Сообщники, представляясь Guccifer 2.0, отправили одному репортеру похищенные документы, имеющие отношение к движению Black Lives Matters. Репортер ответил и вступил в обсуждение того, когда распространить документы и написать заметку об их распространении.
44. Сообщники, представляясь Guccifer 2.0 , кроме того, контактировали с гражданами США по поводу распространения похищенных документов. Примерно 15 августа 2016 года Сообщники, представляясь Guccifer 2.0, написали лицу, которое находилось в регулярном контакте с высокопоставленными членами предвыборного штаба Дональда Дж. Трампа: «Спасибо за ответ… нашли ли вы что-то интересное в документах, которые я вам послал?» Примерно 17 августа 2016 года Сообщники добавили: «Пожалуйста, сообщите мне, могу ли я чем-то помочь вам… я буду очень рад». Примерно 9 сентября 2016 года Сообщники, снова представляясь Guccifer 2.0, говорили о выложенных онлайн похищенных документах DCCC и спрашивали: «Что вы думаете об информации по моделированию явки для всей предвыборной кампании демократов». Лицо ответило: «Вполне стандартная».
45. Сообщники проводили операции как Guccifer 2.0 и DCLeaks, используя пересекающиеся компьютерную инфраструктуру и финансирование.
a. Например, примерно 14 марта 2016 года и 28 апреля 2016 года Сообщники использовали тот же пул биткойновских средств для покупки аккаунта виртуальной частной сети (VPN) и для аренды сервера в Малайзии. Примерно в июне 2016 года Сообщники использовали малайзийский сервер для хостинга веб-сайта dcleaks.com. Примерно 6 июля Сообщники использовали эту же VPN для входа в Twitter-аккаунт @Guccifer_2. Сообщники открыли этот аккаунт VPN с того же сервера, который ранее использовался для регистрации злонамеренных доменов для взлома сетей DCCC и DNC.
б. Примерно 27 июня 2016 года Сообщники, представляясь Guccifer 2.0, вступили в контакт с одним американским журналистом, предложив ему украденную электронную переписку «сотрудников Хиллари Клинтон». Сообщники затем отправили этому журналисту пароль для доступа к непубличной, закрытой паролем части dcleaks.com, в которой содержались электронные письма, украденные у Пострадавшего 1 ЛУКАШЕВЫМ, ЕРМАКОВЫМ и их соучастниками примерно в марте 2016 года.
46. Примерно 12 января 2017 года Сообщники опубликовали в блоге Guccifer 2.0 на WordPress заявление, в котором лживо утверждали, что вмешательство и распространение похищенных документов «совершенно не имело отношения к правительству России».
Использование Организации 1
47. Чтобы расширить свое вмешательство в президентские выборы в США 2016 года, Сообщники передали многие документы, украденные ими в DNC и у руководителя предвыборного штаба Клинтон, в Организацию 1. Сообщники, назвавшиеся Guccifer 2.0, обсуждали публикацию украденных документов и время такой публикации с Организацией 1, чтобы усилить воздействие на американские президентские выборы 2016 года.
а. 22 июня 2016 года или около этой даты Организация 1 послала личное сообщение Guccifer 2.0, чтобы тот «послал новые материалы [украденные у DNC] сюда для нас для рассмотрения и это может иметь намного большее воздействие, чем то, что вы делаете». 6 июля 2016 года или около этой даты. Организация 1 добавила, что «если у вас есть что-то связанное с хиллари, мы хотим это в следующие два дня, потому что приближается DNC и она хочет укрепить позиции среди сторонников берни». Ответ был «ок... я понимаю». Организация 1 объяснила: «Мы думаем, что у трампа только 25-процентная вероятность победы против хиллари... так что конфликт между берни и хиллари был бы интересным вариантом».
б. После неудавшихся попыток передать украденные документы, начавшихся в конце июня 2016 года, 14 июля 2016 года или около этой даты Сообщники, назвавшиеся Guccifer 2.0, послали Организации 1 электронное письмо с вложением под названием «wk dnc link1.txt.gpg». Сообщники объяснили Организации 1, что зашифрованный файл содержит инструкции, как получить доступ к онлайн-архиву украденных в DNC документов. 18 июля 2016 года или около этой даты Организация 1 подтвердила, что у нее есть «архив на 1 Гб или около того» и она опубликует украденные документы «на этой неделе».
48. 22 июля 2016 года или около этой даты Организация 1 опубликовала более 20 тыс. электронных писем и других документов, украденных в DNC Сообщниками. Эта публикация состоялась примерно за три дня до начала Национального съезда Демократической партии. Организация 1 не сообщала о роли Guccifer 2.0 в предоставлении их. Последнее по времени электронное письмо, опубликованное Организацией 1, датировалось 25 маем 2016 года или около этой даты, примерно в этот же день Сообщники взломали Microsoft Exchange Server DNC.
49. 7 октября 2016 года или около этой даты Организация 1 опубликовала первую партию электронных писем главы предвыборного штаба Клинтон, которые были украдены ЛУКАШЕВЫМ и его соучастниками. Между 7 октябрем и 7 ноябрем 2016 года или примерно этими датами Организация 1 опубликовала около 33 порций документов, которые были украдены у главы предвыборного штаба Клинтон. В целом было опубликовано более 50 тыс. украденных документов.
Официальные заявления
50. Параграфы с 1-го по 49-й этого обвинительного акта повторно заявляются и включаются путем отсылки так, как если бы они были указаны здесь.
51. Как минимум с марта 2016 года или около этого времени до ноября 2016 года в округе Колумбия и в иных местах обвиняемые НЕТЫКШО, АНТОНОВ, БАДИН, ЕРМАКОВ, ЛУКАШЕВ, МОРГАЧЕВ, КОЗАЧЕК, ЕРШОВ, МАЛЫШЕВ, ОСАДЧУК и ПОТЕМКИН вместе с другими известными и неизвестными Суду лицами преднамеренно и умышленно действовали сообща для совершения преступлений против Соединенных Штатов, а именно:
а) преднамеренного доступа к компьютеру без авторизации и превышения авторизованного доступа к компьютеру и получения тем самым информации с защищенного компьютера, причем ценность полученной информации превышает $5 тыс., в нарушение Раздела 18 Свода законов США, частей 1030(a)(2)(C) и 1030(c)(2)(B); и
б) преднамеренной передачи программы, информации, кода и команды и в результате этих действий умышленного нанесения ущерба без авторизации на защищенном компьютере, причем нарушение нанесло и, если было завершено, нанесло бы ущерб на общую сумму $5 тыс. по меньшей мере одному лицу в годичный период с соответствующей линией поведения, затрагивающей защищенный компьютер, и ущерб, затрагивающий как минимум десять защищенных компьютеров в течение годичного периода в нарушение Раздела 18 Свода законов США, частей 1030(a)(5)(A) и 1030(c)(4)(B).
52. Для достижения своих незаконных целей Сообщники совершали противоправные действия, изложенные в параграфах с 1-го по 19-й, с 21-го по 49-й, в 55-м и с 57-го по 64-й, которые повторно заявляются и включаются путем отсылки так, как если бы они были указаны здесь.
53. Как изложено в параграфах с 1-го по 19-й, с 21-го по 49-й, в 55-м и с 57-го по 64-й, Сообщники умышленно обманным путем зарегистрировали доменное имя и умышленно использовали это доменное имя при совершении преступления, а именно: Сообщники зарегистрировали домены, включая dcleaks.com и actblues.com, на фальшивые имена и адреса и использовали эти домены при совершении тяжкого преступления с обвинением по Статье 1.
Все в нарушение Раздела 18 Свода законов США, части 371 и 3559(g)(1).
Статьи со второй по девятую
(Кража идентификационных данных с отягчающими обстоятельствами)
54. Пункты с 1-го по 19-й, с 21-го по 49-й и с 57-го по 64-й настоящего обвинительного заключения повторно утверждаются и включаются посредством ссылки, как если бы они были полностью изложены в настоящем документе.
55. В даты, указанные ниже (или приблизительно в эти даты) в округе Колумбия и на территориях другой подсудности ответчики ВИКТОР БОРИСОВИЧ НЕТЫКШО, БОРИС АЛЕКСЕЕВИЧ АНТОНОВ, ДМИТРИЙ СЕРГЕЕВИЧ БАДИН, ИВАН СЕРГЕЕВИЧ ЕРМАКОВ, АЛЕКСЕЙ ВИКТОРОВИЧ ЛУКАШЕВ, СЕРГЕЙ АЛЕКСАНДРОВИЧ МОРГАЧЕВ, НИКОЛАЙ ЮРЬЕВИЧ КОЗАЧЕК, ПАВЕЛ ВЯЧЕСЛАВОВИЧ ЕРШОВ, АРТЕМ АНДРЕЕВИЧ МАЛЫШЕВ, АЛЕКСАНДР ВЛАДИМИРОВИЧ ОСАДЧУК, АЛЕКСЕЙ АЛЕКСАНДРОВИЧ ПОТЕМКИН и АНАТОЛИЙ СЕРГЕЕВИЧ КОВАЛЕВ преднамеренно передавали данные аутентификации другого лица, владели ими и использовали их, не обладая законными полномочиями, во время и в связи с совершением уголовного преступления, перечисленного в Разделе 18, Свода законов США, часть 1028A(c), а именно: различных видов компьютерного мошенничества, совершаемых при нарушении Раздела 18 Свода законов США, части 1030(a)(2)(C) и 1030(c)(2)(B), при этом заведомо зная, что данные аутентификации принадлежали другому реальному лицу:
|
Все это в нарушение Раздела 18 Свода законов США, часть 1028A(a)(1) и 2.
Статья 10
(Заговор с целью отмывания средств, полученных преступным путем)
56. Параграфы 1–19, 21–49 и 55 повторно утверждаются и включаются посредством ссылки, как если бы они были полностью изложены в настоящем документе.
57. С целью облегчить покупку инфраструктуры, используемой при их хакерской деятельности (включая взлом компьютеров лиц и организаций США, вовлеченных в президентские выборы в 2016 году в США, и обнародование украденных документов), Ответчики сговорились совершить отмывание денежных средств на сумму, эквивалентную свыше $95 тыс., через онлайн-трансакции, структура которых была организована таким образом, чтобы можно было извлечь выгоду из предполагаемой анонимности криптовалюты, например биткойна.
58. Хотя Сообщники обеспечивали совершение трансакций в различных валютах, в том числе в долларах США, они в основном использовали биткойн при покупке серверов, регистрации доменов и прочих аспектах при совершении платежей в целях хакерской деятельности. Многие из этих платежей были обработаны компаниями, имеющими местонахождение на территории США, которые предоставляли услуги по обработке платежей хостинговым компаниям, регистраторам доменов и другим поставщикам, как международным, так и американским. Использование биткойна позволило Сообщникам избегать прямых отношений с традиционными финансовыми институтами, что позволило уклониться от полной идентификации их персональных данных и источников денежных средств.
59. Все трансакции биткойнов добавляются в открытый регистр, называемый «блокчейн». Но блокчейн идентифицирует участников трансакции только по буквенно-цифровым кодам, называемым биткойн-адресами. Чтобы оставлять минимум документальных свидетельств о своих покупках, Сообщники приобретали инфраструктуру, используя сотни разных почтовых аккаунтов, порой заводя аккаунт для каждой новой покупки. Сообщники использовали вымышленные имена и адреса с тем, чтобы замаскировать свои личности и связи с Россией и российскими властями. Так, например, домен dcleaks.com был зарегистрирован на имя и оплачен от имени Carrie Feehan, якобы проживающей в Нью-Йорке. В некоторых случаях при оплате Сообщники предоставляли продавцам бессмысленные адреса, такие как usa Denver AZ, gfhgh ghfhgfh fdgfdg WA и 1 2 dwd District of Columbia.
60. Сообщники использовали несколько специальных почтовых адресов, чтобы отслеживать информацию об основных трансакциях биткойнов и осуществлять выплаты платежей продавцам. На один из таких адресов, зарегистрированных на имя gfadel147, поступило несколько сотен запросов на оплату биткойнами с примерно ста разных почтовых адресов. Так, например, 1 февраля 2016 года или в районе этой даты на аккаунт gfadel147 поступило указание «отправить точно 0.026043 биткойна» на определенный 34-значный биткойн-адрес. Вскоре после этого трансакция, соответствующая этим инструкциям, была добавлена в блокчейн.
61. Периодически Сообщники производили оплату биткойнами, используя те же компьютеры, с которых они осуществляли свою хакерскую деятельность, включая создание и тестирование фишинговых писем.
Кроме того, один из этих специализированных счетов использовался Сообщниками в 2015 году или примерно в это время для обновления или регистрации домена (linuxkrnl.net), встроенного во вредоносную программу Х-Agent, установленную в сеть DNC.
62. Сообщники частично финансировали покупку компьютерной инфраструктуры для их хакерской активности путем майнинга биткойнов. Частные лица или организации могут заниматься майнингом биткойнов, позволяя использовать их компьютерные мощности для того, чтобы проверять или записывать платежи на биткойн-кредиторе, услуге, позволяющей им получать новообразованные биткойны.
Пул биткойнов, создаваемый майнинговой активностью ГРУ, использовался, например, для того, чтобы платить румынской компании для регистрации домена dcleaks.com через компанию, осуществляющую проводку платежей, которая находится в США.
63. Помимо майнинга биткойнов Сообщники получали биткойны, используя различные средства, чтобы скрыть источники финансирования. Так, в частности, ими использовались покупки биткойнов путем одноранговых обменов, перемещение средств с помощью электронных валют, использование предоплаченных карт. Они также прибегали к помощи одного или более обменников третьей стороны, которые позволяли осуществлять многоуровневые трансакции с помощью платформ обмена электронных валют, что обеспечивало повышенную анонимность.
64. Сообщники использовали одну и ту же структуру финансирования и в некоторых случаях один и тот же пул средств для того, чтобы покупать ключевые счета, серверы, домены, используемые в хакерской активности, имеющей отношение к выборам.
а. Операция майнинга биткойнов, которая позволяла вносить регистрационный платеж за dcleaks.com, также направляла новые биткойны на адрес биткойнов, контролируемый Daniel Farell, персоной, которая использовалась для обновления домена linuxkrnl. net. Операция майнинга биткойнов также оплачивалась путем использования одного и того же адреса биткойна, покупки серверов и доменов, используемых в фишинговых атаках ГРУ, включая счета qooqle.com и account-gooogle.com.
б. 14 марта 2016 года или в районе этой даты Сообщники, используя биткойн-кошелек, приобрели аккаунт VPN, который впоследствии использовали для того, чтобы залогиниться в Twitter как @Guccifer_2. Остающиеся средства в биткойн-кошельке позднее использовались 28 апреля 2016 года или в районе этой даты для аренды малайзийского сервера, размещавшего сайт dcleaks.com.
в. Сообщники использовали разные наборы вымышленных имен (включая Ward DeClaur Mile Long), чтобы отправлять биткойны в американскую компанию для аренды сервера, используемого для внедрения вредоносной программы Х-Tunnel в сети DCCC и DNC, и для аренды двух серверов, используемых для взлома облачной сети DNC.
Нормативные утверждения
65. Начиная с 2015 года или по крайней мере примерно в это время и в течение 2016 года в округе Колумбия и в других местах ответчики ВИКТОР БОРИСОВИЧ НЕТЫКШО, БОРИС АЛЕКСЕЕВИЧ АНТОНОВ, ДМИТРИЙ СЕРГЕЕВИЧ БАДИН, ИВАН СЕРГЕЕВИЧ ЕРМАКОВ, АЛЕКСЕЙ ВИКТОРОВИЧ ЛУКАШЕВ, СЕРГЕЙ АЛЕКСАНДРОВИЧ МОРГАЧЕВ, НИКОЛАЙ ЮРЬЕВИЧ КОЗАЧЕК, ПАВЕЛ ВЯЧЕСЛАВОВИЧ ЕРШОВ, АРТЕМ АНДРЕЕВИЧ МАЛЫШЕВ, АЛЕКСАНДР ВЛАДИМИРОВИЧ ОСАДЧУК и АЛЕКСЕЙ АЛЕКСАНДРОВИЧ ПОТЕМКИН совместно с другими лицами, известными или неизвестными Большому жюри, занимались сознательными и умышленными операциями сговора для того, чтобы доставлять, передавать или переводить денежные инструменты и средства для того, чтобы размещать их в определенном месте в Соединенных Штатах из места или посредством места за пределами Соединенных Штатов и из места в Соединенных Штатах в место за пределами Соединенных Штатов с целью поощрения или осуществления определенной незаконной деятельности, в частности, в нарушение Раздела 18 Свода законов США, часть 1030 и в нарушение Раздела 18 Свода законов США, часть 1956(а)(2)(А).
Все это было нарушением Раздела 18 Свода законов США, часть 1956(h).
Статья 11
66. Параграфы с 1-го по 8-й этого обвинительного акта переформулированы или включают в себя ссылки, полностью изложенные в настоящем документе.
Ответчики
67. Параграф 18 этого обвинительного акта, относящийся к АЛЕКСАНДРУ ВЛАДИМИРОВИЧУ ОСАДЧУКУ, переформулирован или включает в себя ссылки, полностью изложенные в настоящем документе.
68. Ответчик АНАТОЛИЙ СЕРГЕЕВИЧ КОВАЛЕВ является военнослужащим российской армии, входящим в подразделение 74455, который работал в ГРУ в здании (Башне) по адресу: улица Кирова, 22.
69. Ответчики ОСАДЧУК и КОВАЛЕВ были офицерами ГРУ, которые сознательно и умышленно занимались сговором между собой и с другими лицами, известными или неизвестными Большому жюри, для того, чтобы заниматься хакерскими атаками на компьютеры в Соединенных Штатах, принадлежащие лицам или организациям, отвечающим за организацию и проведение выборов 2016 года в США, таких как государственные избирательные советы, государственные секретари и американские компании, которые поставляли компьютеры и другие технологии, связанные с проведением выборов в США.
Предмет сговора
70. Предметом сговора было хакерское внедрение в защищенные компьютеры лиц или организаций, занимавшихся проведением выборов 2016 года в США, для того, чтобы получить доступ к этим компьютерам и осуществить кражу информации об избирателях и другой информации, хранящейся в этих компьютерах.
Способы и средства сговора
71. В июне 2016 года или в районе этой даты КОВАЛЕВ и другие лица, которые совместно с ним участвовали в сговоре, исследовали домены, используемые государственными избирательными советами, государственными секретарями и другими организациями, занимающимися проведением выборов, чтобы нарушить работу веб-сайтов. КОВАЛЕВ и другие лица, которые совместно с ним участвовали в сговоре, также изучали электронные адреса политической партии, включая фильтрующие запросы для электронных адресов, находящихся на веб-сайтах Республиканской партии.
Предусмотренные законом обвинения
72. Между или в районе с июня 2016 года по ноябрь 2016 года в округе Колумбия и других местах обвиняемые Осадчук и Ковалев совместно с другими лицами, известными и неизвестными Большому жюри, с преднамеренным умыслом вступили в сговор с целью совершения преступления против Соединенных Штатов, а именно:
• С преднамеренным умыслом получить доступ к компьютеру без прав на то, превысить полномочия по доступу к компьютеру и таким образом получить информацию с защищенного компьютера с общей ценностью полученной таким образом информации, превышающей $5 тыс., что нарушает Раздел 18 Свода законов США, части 1030 (a)(2)(C) и 1030 (c)(2)(B).
• С преднамеренным умыслом передать программу, информацию, код и команду, что в результате привело к неправомерному нанесению ущерба защищенному компьютеру. Это действие, если оно было совершено и нанесло совокупный вред на более чем $5 тыс. как минимум одному лицу в течение одного года и нанесло ущерб, затронувший как минимум десять защищенных компьютеров в течение одного года, нарушает Раздел 18 Свода законов США, части 1030 (a)(5)(А) и 1030 (c)(4)(B).
73. Для осуществления преступных действий по предварительному сговору и для достижения своих преступных целей Осадчук, Ковалев и их сообщники открыто совершили действия, обозначенные в пунктах с 67-го по 69-й и с 71-го по 76-й, которые повторно утверждены и включены посредством ссылки, как если бы они были полностью изложены здесь.
Все это нарушает Раздел 18 Свода законов США, часть 371.
Утверждение о конфискации
74. В соответствии с федеральным правилом уголовного судопроизводства 32.2 обвиняемые настоящим уведомлены о том, что Соединенные Штаты будут добиваться конфискации имущества как части любого приговора в случае, если обвиняемые будут осуждены по статьям 1, 10 и 11 данного обвинительного акта. В соответствии с Разделом 18 Свода законов США, частями 982 (а)(2) и 1030 (i) при вынесении обвинительного приговора по статьям 1 и 11 данного обвинительного акта обвиняемые Нетыкшо, Антонов, Бадин, Ермаков, Лукашев, Моргачев, Козачек, Ершов, Малышев, Осадчук, Потемкин и Ковалев будут лишены в пользу США любого имущества, движимого и недвижимого, которое было получено в результате данных нарушений, и любого движимого имущества, которое было использовано или предназначалось для использования с целью совершения преступления. В соответствии с Разделом 18 Свода законов США, частью 982 (а)(1) при вынесении обвинительного приговора по статье 10 обвиняемые Нетыкшо, Антонов, Бадин, Ермаков, Лукашев, Моргачев, Козачек, Ершов, Малышев, Осадчук и Потемкин будут лишены в пользу США любого движимого или недвижимого имущества, вовлеченного в подобные правонарушения, а также любой собственности, связанной с вышеупомянутой собственностью. Настоящим доводится до сведения, что в случае вынесения обвинительного приговора США намерены добиваться решения по каждому обвиняемому в части сумм, составляющих описанную в этом параграфе собственность.
Замещаемые активы
75. Если какая-либо собственность, описанная выше как подлежащая конфискации, в результате любых действий или отсутствия обвиняемого
• не может быть обнаружена для надлежащей оценки статуса
• была передана, продана или отдана на хранение третьей стороне
• была размещена за пределами юрисдикции суда
• была существенно удешевлена вследствие каких-то действий
• была консолидирована с другой собственностью таким образом, что не может быть от нее отделена без существенных трудностей
то в этом случае намерением США в соответствии с Разделом 18 Свода законов США, частью 982 (b) и Разделом 28 Свода законов США, параграфом 2461 (с), включая Раздел 21 Свода законов США, Раздел 853, является конфискация любой собственности вышеупомянутых обвиняемых.
В соответствии с Разделом 18 Свода законов США, частями 982 и 1030(i), Разделом 28 Свода законов США, частями 2461 (с).
Роберт С. Мюллер
Специальный прокурор
Министерство юстиции США
Ведущий научный сотрудник Института США и Канады РАН Павел Шариков
В представленном 29-страничном документе расписаны мельчайшие детали того, каким образом предполагаемые сотрудники ГРУ осуществляли взлом паролей электронной почты сервера Национального демократического комитета, а затем - публикации архива через сайт Wikileaks. Подобно предыдущим обвинениям в документе не представлены практически никакие доказательства. При этом характер описанных деталей свидетельствует о том, что они получены не через технические средства, а агентурной разведкой. Если представленные обвинения реальны, это свидетельствует о том, что в Кремле существует утечка на самом высоком уровне. Такую версию уже выдвинула газета NY Times. Подобные доказательства вряд ли будут представлены в открытом суде. Учитывая общественный резонанс вряд ли процесс по данному делу будет закрытый. Если же представленные обвинения - вымысел, то очевидно, что доказательства также представлены не будут. В любом случае тема российского вмешательства не теряет актуальности.
Очевидно, что сценарий при котором 12 обвиняемых российских граждан предстанут перед американским правосудием исключен. Но даже если гипотетически предположить что такое произойдет, и они понесут наказание - нет сомнений в том, что это не повлияет на общий негативный фон российско-американских отношений. Таким образом, публикация обвинительного акта накануне встречи Дональда Трампа и Владимира Путина не направлено на решение проблемы кибербезопасности, а преследует иные цели, скорее всего внутриполитические.
Эксперт по информационной безопасности Алексей Лукацкий
Как и в прошлые разы, американская сторона не предоставила главного доказательства — связи между названными фамилиями и учетными записями и адресами, с которых осуществлялись атаки. Без этого обвинение российских спецслужб выглядит неполным. Описание цепочки действий обвиняемых (подставные сайты, похожие на настоящие, фишинговые рассылки, социальный инжиниринг, заражение компьютеров и т.п.) не представляет собой ничего уникального — так действуют практически все хакерские группировки в мире, которые атакуют не только государственные организации, но и банки, ритейл, медицинские учреждения и др. Интересным является тот факт, что приглашенная для расследования взлома и защиты Демократической партии американская компания Crowdstrike в течение четырех-пяти месяцев не могла обнаружить и блокировать работу обвиняемых, что говорит о сложности методов, используемых современными киберпреступниками.
Американский эксперт в области информационной безопасности, автор книги «Кибервойна изнутри» Джеффри Карр
Часть информации, очевидно, добыта стороной обвинения при помощи технических средств. Однако не представляется возможным определить, какая информация получена при помощи кейлоггеров (клавиатурных шпионов) и иных вредоносных программ, а какая является лишь предположением.
Эксперт Центра военно-политических исследований МГИМО Виталий Каберник
Документ производит очень противоречивое впечатление. Описание «состава преступления» позволяет сделать выводы о том, что:
- Следователи активно сотрудничали с представителями крупнейших IT-корпораций, базирующихся в США, предположительно Google, Microsoft и Amazon;
- Предполагаемые «заговорщики» активно пользовались онлайн-службами, предоставленными этими корпорациями, причем без попыток анонимизации, либо с бессистемной анонимизацией, которая использовалась лишь на определенных этапах предполагаемой операции;
- В интересах фишинга использовались публично доступные службы электронной почты, они же использовались для обмена чувствительной информацией, хотя и в зашифрованном виде — что является нетипичным поведением для любого злоумышленника и противоречит нормативам информационной безопасности, которыми руководствуются отечественные государственные службы.
Текст не дает никакого ответа на естественный вопрос о способах идентификации «заговорщиков». Непонятно, на каком основании они ассоциируются с конкретным подразделением ГРУ. При этом не удается избавиться от ощущения, что перечень имен составлялся отдельной группой. В дальнейшем, возможно, этот перечень имен был приложен к материалам технического расследования без адекватного обоснования. Допустимость такого обвинения должны комментировать юристы, но безаппеляционность идентификации не может не бросаться в глаза.
В лучшем случае, с использованием технических средств для осуществления расследования, возможно установить лишь конкретную рабочую станцию, с которой осуществлялась атака, но ни в коем случае не ассоциировать ее с именем оператора. Чаще всего невозможно отследить и рабочую станцию, но можно идентифицировать выходной узел локальной сети. Но уже при минимальных принятых мерах по обеспечению анонимизации с грамотным использованием непубличных средств ее обеспечения (публичные сервисы могут предоставлять информацию спецслужбам) невозможно в точности идентифицировать и выходные узлы. Не говоря уже о том, что при необходимости не представляет большой сложности фальсификация выходных узлов для их локализации в иных организациях или государствах.
В свете сказанного рисуется противоречивый образ «группы заговорщиков», которые используют продвинутые средства взлома, но при этом не владеют основами анонимизации, некомпетентны в использовании инструментов администрирования (вынуждены искать инструкции по использованию Power Shell в открытых поисковых системах), используют публично доступные средства зачистки следов, заведомо непригодные для адекватного выполнения задачи (в тексте упоминается свободно распространяемая утилита CCleaner), демонстрируют незнание английского и плохо координируют свои действия. Для обывателя описанный «состав преступления» может выглядеть действительно как «заговор», но у специалистов должен вызвать вопросы странным сочетанием проявленной некомпетентности одновременно с глубоким владением специальными средствами. Некоторые фрагменты текста, кроме того, воспринимаются как подогнанные друг к другу, либо произвольно включенные в описание предполагаемого преступления из-за нарушения логических связей в предполагаемой последовательности осуществления «заговора». На этом фоне опубликованные материалы не вызывают доверия.