Украинский хакер создал программу, которой россияне "взламывали" выборы в США. История важнейшего свидетеля

Украинский хакер по прозвищу Profexer вполне может "спалить" целую российскую спецконтору, ответственную за ведение кибервойны. Как выяснила газета The New York Times, агенты ФБР получили свидетельство молодого специалиста, автора программы, которую русские использовали во время вмешательства в президентские выборы в США в 2016 году.

Злой гений

Пока все выглядит так, что украинский фрилансер сознательно или нет выполнил работу для российских спецслужб. Он написал код, который использовала команда проплаченных правительством РФ хакеров для влияния на ход американских выборов. Когда стало известно, как и кто использовал разработку украинца, он сам пришел в полицию.

В конце декабря Министерство внутренней безопасности США обнародовало отчет о хакерской атаке на сервера Национального комитета Демократической партии. В документе приводился маленький пример кода, который должен был бы указывать на российский след.

Компания Wordfence исследовала этот образец и нашла автора вредоносной программы. Называется она P. A. S. web shell. Веб-шелл - это инструмент, позволяющий получить дистанционный контроль над сайтом или сервером. А создал ее человек, который известен пока только под ником Profexer.

Украинские следователи хранят его анонимность. Из их описаний ясно только, что это молодой парень из провинциального города Украины.

Он, как пишут американские журналисты, "авторитетный технический эксперт в хакерской среде, о котором говорят с благоговением и уважением в Киеве". Его программа P. A. S. была создана еще в 2011 году. В 2014 году ее советовали как хороший инструмент для взлома баз данных на одном из российских форумов.

Программу можно было бесплатно скачать с сайта автора. Он просил лишь сделать добровольное пожертвование - от $3 до $250. Как пишет The New York Times, реальные деньги автор зарабатывал на продаже адаптированных версий программы и консультациях клиентов-хакеров относительно ее использования.

 

Скриншоты, сделанные Wordfence с уже закрытого сайта Profexer и текстового файла его программы

Издание пишет, что украинский хакер не работал на российские спецслужбы. Но также оно отмечает, что неизвестной остается интенсивность его взаимодействия с российской хакерской командой.

Кроме американских выборов P. A. S. web shell засветилась во время нынешней атаки вирусов Petya, NotPetya и Nyetya. Об этом писал руководитель компании Wordfence. По его мнению, программу использовали из-за удобства интерфейса.

Читайте также: Petya.A-вымогатель. Все о крупнейшей кибератаке в Украине

Ради справедливости следует отметить, что на момент атаки вируса Petya и его сородичей автор программы уже сотрудничал с киберполицией, поэтому не имеет отношения к атаке. Очевидно, злоумышленники использовали полученную заранее модификацию.

Сдался полиции

После того, как Министерство внутренней безопасности США прямо указало на программу Profexer'а, он закрыл свой сайт (profexer.name). На хакерском форуме Exploit он написал, что несмотря на тесные отношения Украины и США его могут арестовать на кухне по первому запросу".

В другом сообщении он писал следующее: "Не знаю, что случится. Это не будет что-то приятное. Но я все еще жив". Впоследствии он прекратил общение на хакерских форумах. Последнее сообщение датируется 9 января 2017 года.

Похоже, что примерно в то же время он начал общение с киберполицией. О том, что Profexer добровольно пошел на сотрудничество с правоохранителями, журналистам The New York Times рассказал руководитель Киберполиции Сергей Демедюк. По его словам, украинский хакер дал показания агентам ФБР, которые находятся в Киеве.

Читайте также: Поплачем? Как вирус-вымогатель шантажирует весь мир и как уберечь себя

Что именно он рассказал неизвестно. И вполне возможно, что украинец может помочь американцам выйти на своих бывших клиентов. Даже если он не знает их настоящих имен, он знаком с их сетевыми псевдонимами. А они, как не странно, вполне могут помочь выйти и на реальных живых людей.

Хакера не арестовали, поскольку его деятельность проходила в "серой зоне": он написал код, но не использовал его для преступлений. По словам советника министра внутренних дел Антона Геращенко, Profexer общался с российскими заказчиками онлайн или по телефону. Ему заплатили за написание специфического кода, но он не знал, с какой целью его применят.

Черновая работа руками украинцев

Как пишет The New York Times, вся эта история с украинцем помогла выяснить, как организована работа российских кремлевских хакерских команд, которые очень любят добавлять в название слово "медведь". Так, ответственными за хакерские атаки на избирательную систему считаются группы Fancy Bear (она же Advanced Persistent Threat 28 или просто APT28) и ее двойник Cozy Bear.

Вместо того, чтобы тренировать, вооружать и размещать хакеров для выполнения определенных специфических миссий, упомянутые команды, похоже, работают как центры по организации и финансированию. "Большинство тяжелой работы, такой как кодирование, отдается на аутсорс частным и часто криминализированным разработчикам", - пишет газета.

Использование программы Profexer'а - далеко не единственный случай, когда россияне выполняют черновую работу руками украинских компьютерных специалистов. Российский журналист Алексей Ковалев, исследуя тему коррупции московской мэрии обнаружил, что дизайн сайтов для районных газет (префектур) заказывали украинскому дизайнеру.

Украина как полигон

Также The New York Times выдвинула теорию о том, что наше государство служит для российских спецслужб своеобразным полигоном для отработки хакерских атак. По ее утверждению, перед атакой на европейскую или американскую цель сначала происходит атака на украинскую.

Издание приводит в пример атаку на сайт Центральной избирательной комиссии во время президентских выборов в 2014 году. Российские хакеры хотели загрузить на него картинку, которая свидетельствовала бы о якобы победе лидера "Правого сектора" Дмитрия Яроша. Атаку удалось нейтрализовать, картинка на сайте так и не появилась, но российский "Первый канал" выдал ее в эфир. Еще и утверждал, что взял ее с официального сайта ЦИК.

Остатки кода нападавших показали, что использовалась программа Sofacy. Ее же следы были найдены в 2016 году после атаки на серверы Национального комитета Демократической партии США. Ее результатом стала публикация на Wikileaks переписки сотрудников комитета, что сильно ударило по предвыборной кампании Хиллари Клинтон.

У американских следователей наконец появился ценный свидетель по делу о попытках России вмешаться в американские выборы. Очень интересно теперь будет проследить, как это повлияет на отношения Украины и США.

Администрация Трампа и он сам утверждали все это время, что прямых доказательств российского вмешательства нет. По словам американского президента, хакеры могли быть как из России, так и из Китая. И вот теперь у спецслужб появился живой свидетель, который вполне может указать пальцем на конкретных исполнителей хакерской атаки, и вряд ли это будут китайцы.

Недовольство Трампа этой темой понятно: ведь вмешательство в ход выборов ставит под сомнение чистоту его победы. На самом деле, американские спецслужбы никогда не говорили, что российским хакерам удалось повлиять на результат. Наоборот, они это отрицали. Тем не менее, были зафиксированы атаки на избирательные системы в 39 штатах. Это если не вспоминать об атаке на сервер Национального комитета Демпартии.

Но не идти на сотрудничество с американской правоохранительной системой ради симпатий Трампу - недопустимый путь. Тем более, что речь идет о доказательствах против России.