Путин и Трамп. Как Путин заставил себя слушать - Дэвид Корн

Хокинсу, как человеку усердному, имевшему привычку документировать каждый телефонный звонок и каждую встречу, было поручено предупредить некоторые мишени. Одной из них в его списке и был DNC.

Самый первый контакт Хокинса с DNC, однако, стал первым в целой серии проваленных контактов и случаев недопонимания между ФБР и партией; все это привело к раздражению, злобным обвинениям и, что было гораздо важнее, — к утрате возможности расстроить российскую атаку на выборы. Со временем возникло огромное количество вопросов. Насколько настойчиво пыталось ФБР предупредить DNC о том, что их компьютеры подверглись нападению со стороны иностранного государства? Почему Бюро не попыталось поднять этот вопрос перед руководством DNC? И почему айтишники DNC — Тамин и его коллеги — не приняли предостережения ФБР более серьезно и не сообщили об этом руководству?

В том первом телефонном разговоре Тамин, которому показалось, что Хокинс слишком шифровался и не был настроен на общение, постарался не дать агенту никакой конкретной информации о сети DNC. Хокинс велел Тамину искать вирус The Dukes (что было на самом деле названием группы хакеров). Агент попросил, чтобы Тамин не обсуждал возможную кибератаку или этот разговор, используя телефоны или сети DNC. Тамин пообещал, но по-прежнему думал, не фейковый ли это звонок. Хокинс не упоминал Россию или иное иностранное государство.

Тамина не встревожило это туманное предупреждение. Он быстренько поискал в сети информацию о The Dukes — фирма по кибербезопасности Symantec недавно обвиняла их в связи с резонансными кибератаками из России. Он также сделал беглую проверку лог-файлов системы DNC в поисках каких-нибудь следов атаки вируса на сеть своего клиента. Ничего не нашел. Рассказал о телефонном звонке Эндрю Брауну, директору по технологии, и отчитался, что не видит никаких доказательств взлома сетей.

Казалось бы, дело сделано.

В октябре Хокинс несколько раз снова звонил Тамину и оставлял голосовые сообщения. Тамин их проигнорировал. «Я не отвечал на его звонки, потому что мне нечего было сказать», — написал он о своих контактах с агентом ФБР в объяснительной.

Хокинс не сдавался. В ноябре он снова позвонил. На этот раз Тамин ответил и сообщил агенту ФБР, что он не нашел в сетях DNC ничего такого, что могло бы подкрепить утверждения Хокинса.

Тогда Хокинс сообщил новые сведения: как минимум один компьютер в сети Комитета был заражен и «звонил домой» в Россию — обращался к IP-адресу в этой стране. А это, подчеркнул Хокинс, может быть признаком кибератаки на сети DNC, причем спонсированной государством. Он попросил Тамина посмотреть, нет ли каких-нибудь признаков такого IP-адреса в журналах межсетевого экрана.

И тут Тамин задумался. Он пообещал поискать IP-адрес и рассказал о звонке Брауну. Ему стало интересно, не пропустил ли он в своих проверках какого-нибудь признака взлома. Он снова провел тесты и не обнаружил ничего, что могло бы помешать обнаружению следов кибервторжения.

В январе 2016 года, когда DNC был целиком поглощен полным раздоров соперничеством на первичных выборах, где Хиллари Клинтон натравливали на Берни Сандерса, Хокинс снова позвонил Тамину. Он попросил о личной встрече. Несколько дней спустя Тамин с двумя коллегами приехали в офис ФБР в Ашберне, штат Вирджиния — маленьком городке в тридцати милях от Вашингтона. Хокинс встретил их, показал свой значок агента ФБР, раздал всем свои визитки. Это окончательно убедило Тамина и его коллег в том, что никакого подвоха в этой истории не было.

Хокинс передал айтишникам журнал регистрации трафика с одного IP-адреса в DNC на некий скрытый адрес. Журнал доказывал, что сеть демократов взломали и один из их компьютеров действительно «звонил домой» на этот скрытый адрес. Хокинс попросил Тамина и других, в случае если они смогут обнаружить эту несанкционированную деятельность в своей сети, не пресекать ее. Они могли предпринять любые необходимые шаги для того, чтобы уменьшить риск внедрения, сказал Хокинс, но им не следовало обнаруживать себя. (Такова была стандартная практика идентификации противника в сетях.)

И еще раз Тамин и его коллеги стали просматривать информацию, ища признаки проникновения в их сеть. Но в сетевых журналах не было трафика, обозначенного в документе, с которым их познакомил Хокинс. Неужели хакеры каким-то образом обманули их систему, чтобы скрыть свои следы?

В середине февраля Хокинс прислал Тамину письмо по электронной почте (на адрес Тамина в другой сети, не в сети DNC), в котором сообщил ему конкретный IP-адрес пункта назначения, который надо было искать в журналах. То есть это был адрес «дома», к которому обращался зараженный компьютер. Впервые агент ФБР делился столь значимой информацией. Но, даже зная этот адрес, Тамин и его команда не смогли обнаружить никаких данных в подтверждение взлома. К концу месяца Хокинс прислал еще одно письмо Тамину: его коллеги из кибербезопасности по-прежнему видели активность, подтверждающую факт проникновения в сеть DNC. Тамин ответил, что его команда постоянно мониторит сеть, но ничего нового не обнаружено.

С момента первого контакта Хокинса и Тамина прошло уже пять месяцев. В случае, о котором идет речь, используемый вредоносный код был связан с Россией. Однако удивительным образом никто не рассматривал потенциальную угрозу взлома как проблему насущную, требующую немедленной реакции. В сети Комитета демократов бушевал киберпожар, а воя пожарных сирен не слышали.

В субботу, 19 марта 2016 года, в 4:34 утра Джон Подеста, председатель предвыборной кампании Хиллари Клинтон, получил электронное письмо, которое на первый взгляд казалось отправленным службой поддержки Google. Речь шла о персональном аккаунте Подесты на Gmail.

«Привет, Джон! Кто-то только что воспользовался твоим паролем для того, чтобы попытаться войти в твой Google-аккаунт», — говорилось в письме от «команды Google». Дальше отмечалось, что попытка проникновения была совершена с IP-адреса в Украине. И далее: «Google прервал попытку входа. Ты должен немедленно сменить пароль». Команда Google предусмотрительно дала ссылку, перейдя по которой, Подеста смог бы сменить пароль, как ему было рекомендовано.

Подеста переслал письмо руководителю своего аппарата Саре Лэтэм, которая в свою очередь отправила его Чарлзу Дэлавану, молодому IT-специалисту кампании Клинтон. В 9:54 Дэлаван ответил: «Это легитимное сообщение. Джон должен сменить пароль немедленно. И убедиться в том, что включил для своего аккаунта двухфазное подтверждение… Совершенно необходимо, чтобы он сделал это как можно быстрее».

Позднее Дэлаван пытался убедить своих коллег, что просто допустил опечатку. Он намеревался написать «это нелегитимное сообщение». Не все в штабе Клинтон поверили ему. Но существовало доказательство в пользу Дэлавана: в своем письме Саре Лэтэм он дал подлинную ссылку, которой должен был воспользоваться Подеста для смены пароля.

Но по какой-то причине Подеста кликнул на ссылку, присланную в поддельном письме, и сменил пароль на липовом сайте. Русские получили ключ к его почте и доступ к самым приватным посланиям Хиллари Клинтон за долгие годы.