США обвиняют российских офицеров ГРУ в международной хакерской деятельности и сопутствующих операциях по распространению влияния и дезинформации
Министерство юстиции
Управление по связям с общественностью
Для Немедленного Распространения
Четверг, 4 октября 2018 г.
В состав группы злоумышленников входила российская разведывательная хакерская команда «внутреннего доступа», которая выезжала за границу с целью взлома компьютерных сетей, используемых антидопинговыми и спортивными функционерами, а также организациями, расследующими использование Россией химического оружия
Большое жюри Западного округа Пенсильвании предъявило обвинение семи обвиняемым, все из которых являются офицерами российского Главного разведывательного управления (ГРУ), организации военной разведки при Генеральном штабе Министерства вооруженных сил Российский Федерации, в организации хакерских атак, электронном мошенничестве, краже личных данных и отмывании денег.
В соответствии с обвинением, приблизительно начиная с декабря 2014 г. и, по крайней мере, до 2018 г., преступная группа осуществляла постоянные и изощренные компьютерные вторжения, которые затрагивали граждан США, юридические лица, международные организации, а также их сотрудников, находящихся в разных странах мира по причине их стратегического интереса к правительству России.
Одной из целей преступной группы была публикация похищенной информации, являющаяся частью кампании по распространению влияния и дезинформации, направленной на подрыв, противостояние или какую-либо иную делегитимизацию усилий, предпринимаемых международными антидопинговыми организациями и их сотрудниками, которые предали гласности программу употребления допинга спортсменами, поддерживаемую Россией на государственном уровне, и на подрыв репутации спортсменов по всему миру посредством предъявления им ложных обвинений в употреблении запрещенных или стимулирующих препаратов.
Обвинения были озвучены на пресс-конференции Помощником Генерального прокурора по нацбезопасности Джоном С. Демерсом, Федеральным прокурором Западного округа Пенсильвании Скоттом У. Брейди, заместителем помощника Директора ФБР по кибер-подразделению Эриком Уэллингом, а также Генеральным директором Королевской канадской конной полиции Марком Флинном.
«Поддерживаемые на государственном уровне хакерские и дезинформационные кампании представляют серьезную угрозу нашей безопасности и нашему открытому обществу. Однако Министерство юстиции надежно защищает от них», – сказал Генеральный прокурор Джефф Сешнз. «Сегодня мы предъявляем обвинения семи офицерам ГРУ за многочисленные преступления, совершенные каждым из них и включающие хакерские атаки, направленные на обнародование личных данных сотен сотрудников антидопинговых организаций и спортсменов и являющиеся частью усилий по отвлечению внимания от допинговой программы, поддерживаемой Россией на государственном уровне. В данном случае целью хакерских атак, совершенных обвиняемыми, предположительно являлись многочисленные американские граждане и американские компании, начиная с нашего национального антидопингового агентства и заканчивая расположенной неподалеку от Питтсбурга энергетической компанией Westinghouse. Мы твердо намерены добиться справедливости по этим делам, и мы будем продолжать защищать американский народ от хакеров и дезинформации».
«Расследование, результатом которого стали предъявленные сегодня обвинения, является результатом блестящей работы ФБР», – сказал Директор ФБР Кристофер Рэй. «Действия этих семи хакеров, официально работавших на Российское правительство, являются преступными и мстительными; они наносят вред ни в чем не повинным жертвам и экономике Соединенных Штатов, а также международным организациям. Их деяния переходят все границы, но и расследование ФБР ничем не было ограничено. Мы тесно сотрудничали с нашими международными партнерами, чтобы установить фигурантов и помешать их преступной кампании. И сегодня мы отправляем следующее сообщение: ФБР не позволит никакому правительству, группе или лицу угрожать нашему народу, нашей стране, нашим партнерам. Мы будем неустанно работать над тем, чтобы найти, остановить их и привлечь к ответственности».
«Мы хотим, чтобы сотни жертв этих российских хакеров знали, что мы сделаем все возможное, чтобы эти преступники ответили за свои преступления», – сказал Федеральный прокурор Брейди. «Государственные субъекты, целью которых являются американские граждане и компании, ничем не отличаются от обычных преступников: их деятельность будет расследоваться, а сами они будут преследоваться по всей строгости закона».
Обвиняемые – все граждане и жители России – Алексей Сергеевич Моренец 41 года, Евгений Михайлович Серебряков 37 лет, Иван Сергеевич Ермаков 32 лет, Артем Андреевич Малышев 30 лет и Дмитрий Сергеевич Бадин 27 лет, каждый из которых приписан к воинской части 26165, а также Олег Михайлович Сотников 46 лет и Алексей Валерьевич Минин 46 лет, которые также являются офицерами ГРУ.
В обвинительном заключении утверждается, что обвиняемые Ермаков, Малышев, Бадин, а также неустановленные члены преступной группы, часто используя фиктивные имена и прокси-серверы, занимались поиском жертв, отправляли фишинговые электронные сообщения, а также создавали, использовали и контролировали вредоносные программы и серверы управления.
Когда попытки удаленно завладеть входными учетными данными не увенчались успехом, или если учетные записи, которые были успешно взломаны, не имели необходимых привилегий доступа для получения требуемой информации, команды офицеров технической разведки ГРУ, включающие Моренца, Серебрякова, Сотникова и Минина, отправлялись по местам фактического нахождения целей. Используя специализированное оборудование и получая удаленную поддержку сообщников в России, в частности от Ермакова, эти команды внутреннего доступа взламывали компьютерные сети, используемые организациями-целями или их сотрудниками, через Wi-Fi-соединения, подключаясь к Wi-Fi-сетям отелей. После успешной хакерской операции команда внутреннего доступа передавала этот доступ сообщникам в России для эксплуатации.
Что касается других случаев, в обвинительном заключении указывается, что по результатам ряда громких независимых расследований, начавшихся в 2015 г., в результате которых была предана гласности систематическая подрывная деятельность России в процессе тестирования препаратов до, во время и по окончании Олимпийских игр 2014 г. в Сочи (в соответствии с одним из докладов, известным как доклад Макларена), преступники начали охоту за системами, используемыми международными антидопинговыми организациями, и их должностными лицами. После взлома этих систем преступники похищали учетные данные, медицинские карты и другие данные, включавшие информацию об исключениях для терапевтического использования (TUEs), в соответствии с которыми спортсменам разрешается принимать запрещенные в иных случаях вещества.
Используя учетные записи в социальных сетях и другую инфраструктуру, приобретенную и обслуживаемую подразделением 74455 ГРУ в России, преступная группа затем предала гласности отдельные фрагменты похищенной информации, во многих случаях в форме, не отражающей в точности форму оригинала, при фальшивом содействии группы хактивистов, называющими себя Fancy Bears (Хакерская группа «Модный мишка»). В качестве части усилий по распространению влияния и дезинформации хакерская группа Fancy Bears предпринимала скоординированные усилия по привлечению внимания СМИ к утечкам посредством заранее продуманной информационной кампании. Члены преступной группы обменивались электронными письмами и сообщениями частного характера приблизительно с 186 репортерами, предпринимая явную попытку усилить воздействие и эффект их сообщения.
Каждый обвиняемый обвиняется по одному эпизоду компьютерного мошенничества и злоупотребления, что подразумевает максимальное наказание в виде пяти лет тюремного заключения, в одном эпизоде совершения электронного мошенничества и в соучастии в отмывании денег, что подразумевает максимальное наказание в виде приговора к 20 годам лишения свободы. Обвиняемые Моренец, Серебряков, Ермаков, Малышев и Бадин каждый также обвиняются по двум эпизодам похищения персональных данных, что влечет за собой приговор к двум годам тюрьмы. Обвиняемый Ермаков обвиняется также по пяти эпизодам электронного мошенничества, что предусматривает максимальный срок — 20 лет лишения свободы.
Обвиняемые Ермаков, Малышев и Бадин также проходят обвиняемыми по федеральному обвинительному заключению номер CR 18-215 в округе Колумбия и обвиняются в попытке получить незаконный доступ к компьютерам граждан и организаций США, принимавших участие в выборах Президента США в 2016 г., похитить документы из этих компьютеров, а также организовать разглашение этих документов с целью вмешательства в выбора Президента США в 2016 г.
В соответствии с этим обвинением:
Контекст взлома и связанных с ним попыток распространения влияния и дезинформации
В июле 2016 г. был опубликован независимый доклад Всемирного антидопингового агентства (ВАДА) (первый доклад Макларена), в котором описывалась систематическая подрывная деятельность России в процессе тестирования препаратов до, во время и по окончании Олимпийских игр 2014 г. в Сочи. Это расследование получило поддержку защитников чистых видов спорта, в том числе Антидопингового агентства США (USADA), Канадского центра по этике в спорте (CCES, антидопинговым агентством Канады). В конце концов, в некоторых случаях только после арбитражных решений Международного спортивного арбитражного суда (TAS/CAS) около 111 российских спортсменов были отстранены от участия в Олимпийских играх 2016 года в Рио-де-Жанейро (Бразилия); ряд международных федераций легкой атлетики, включая Международную ассоциацию легкоатлетических федераций (ИААФ), Международный паралимпийский комитет (МПК) также ввели полный запрет на участие российских спортсменов в Паралимпийских играх 2016 г., которые также проводились в Рио.
Деятельность по вмешательству в Рио-де- Жанейро, Бразилия
Через несколько дней после выхода первого доклада Макларена и последовавших за ним решений Международного олимпийского комитета и МПК, касающихся исключения российских спортсменов, члены преступной группы начали готовиться ко взлому компьютерных сетей ВАДА, Антидопингового агентства США (USADA) и Международного спортивного арбитражного суда TAS/CAS. Преступники, включая, в частности, обвиняемых Ермакова и Малышева, закупали поддельные домены (которые имитировали законные домены WADA и TAS/CAS) и другую инфраструктуру, исследовали сети этих организаций и занимались фишингом сотрудников WADA и USADA. Хотя Ермаков и Малышев предположительно готовили отправку фишинговых сообщений в TAS/CAS, обвинительное заключение не содержит фактов, что сеть этой организации была взломана.
Вероятно, из-за неспособности злоумышленников завладеть необходимыми учетными данными или из-за того, что те учетные записи, которые были успешно взломаны, не имели необходимых привилегий доступа для запрашиваемой информации, обвиняемые Моренец и Серебряков, по крайней мере, в одном случае с удаленной поддержкой Ермакова, направились в Рио, чтобы осуществить хакерские операции для доступа к сетям Wi-Fi, используемым должностными лицами антидопинговых агентств. В результате этих действий в августе 2016 г. преступники завладели учетными данными официального лица МОК, а затем использовали их, а также другие учетные данные, принадлежащие тому же должностному лицу, для получения несанкционированного доступа к учетной записи в базе данных ADAMS ВАДА, а также содержащейся в ней информации медицинского и антидопингового характера (Более широкая база данных ADAMS не была взломана в ходе вторжения.)
Также в 2016 г. высокий чиновник USADA отправился в Рио-де-Жанейро на Олимпиаду и Паралимпийские игры. Находясь там, официальный представитель USADA использовал Wi-Fi в отеле и другие точки доступа Wi-Fi в Рио, чтобы дистанционно получить доступ к компьютерным системам USADA и заниматься служебным делами. Пока официальный представитель USADA находился в Рио, злоумышленники успешно взломали учетные данные его или ее учетной записи электронной почты USADA, которая включала резюме результатов анализов спортсменов и рецептурных препаратов.
Деятельность по вторжению в Лозанне, Швейцария
В середине сентября 2016 г. ВАДА принимала антидопинговую конференцию в Лозанне (Швейцария). 18 сентября 2016 г. подсудимые Моренец и Серебряков отправились в Лозанну с оборудованием, используемым при взломе Wi-Fi с внутренним доступом. 19 сентября 2016 г. Моренец и Серебряков взломали Wi-Fi-сеть отеля, принимавшего конференцию, и использовали этот доступ для взлома ноутбука и учетных данных высокопоставленного представителя CCES, проживавшего в отеле. Затем другие злоумышленники использовали украденные учетные данные для взлома сетей CCES в Канаде с помощью инструмента, используемого для извлечения хешированных паролей, метаданные которого указывали, что он был создан Бадиным.
Вторжение, направленное против должностных лиц антидопинговых агентств в спортивных федерациях
В декабре 2016 г. и в январе 2017 г. злоумышленники успешно взломали сети ИААФ и Международной федерации футбольных ассоциаций (ФИФА), а также нацелились на компьютеры и учетные записи, используемые высшим должностным лицом по антидопингу в каждой организации. Среди данных, похищенных у таких должностных лиц, были ПО килогов, файловые каталоги, антидопинговая политика и стратегии, результаты лабораторных исследований, медицинские отчеты, контракты с врачами и лабораториями медицинского тестирования, информация о процедурах медицинского обследования и исключениях для терапевтического использования (TUE).
Сопутствующие операции ГРУ по распространению влияния и дезинформации
12 сентября 2016 г., вскоре после взлома учетных данных ADAMS официального представителя МОК, но до взлома сетей USADA и CCES, злоумышленники заявляющие, что они являются группой хакеров-активистов Fancy Bears, использовали онлайн-счета и другую инфраструктуру, приобретенную и обслуживаемую подразделением 74455, а также веб-сайт fancybears.net, чтобы придать гласности TUE, другую медицинскую информацию и электронные письма, украденные у должностных лиц антидопинговых агентств ВАДА, USADA, CCES, ИСААФ, ФИФА, а также у около 35 других антидопинговых агентств или спортивных организаций. В некоторых случаях документы ВАДА были изменены относительно их первоначальной формы. В конечном итоге команда Fancy Bears обнародовала похищенную информацию, которая включала частную или медицинскую информацию о примерно 250 спортсменах из почти 30 стран.
Обнародование злоумышленниками похищенной информации в некоторых случаях сопровождалось постами и другими сообщениями, в которых обсуждались или поддерживались темы, которые российское правительство использовало в своем официальном нарративе в отношении выводов расследования антидопинговых агентств. С 2016 по 2018 год злоумышленники проводили активную кампанию по распространению информации, используя Twitter и электронную почту, чтобы сообщить примерно 186 журналистам о похищенной информации. После публикации статей преступники использовали учетные записи социальных сетей Fancy Bears, чтобы привлечь внимание к статьям в попытке усилить воздействие и эффект их сообщения.
Другие цели преступной группы
Предполагается, что целью преступной группы были и другие организации в Западном округе Пенсильвании и за рубежом, которые представляли интерес для российского правительства. Например, уже 20 ноября 2014 г. Ермаков провел разведку сетей и персонала энергетической компании Westinghouse (WEC). В последующие месяцы Ермаков и его сообщники создали поддельный домен WEC и отправили фишинговые электронные сообщения, предназначенные для сбора входных учетных данных сотрудников, на рабочие и личные электронные адреса сотрудников WEC.
Совсем недавно, в апреле 2018 г. Моренец, Серебряков, Сотников и Минин, имея дипломатические паспорта, отправились в Гаагу (Нидерланды) в рамках еще одной операции по осуществлению внутреннего доступа, нацелившись, через Wi-Fi, на компьютерные сети Организации по запрещению химического оружия (ОЗХО). Все четыре сотрудника ГРУ намеревались отправиться в Шпиц (Швейцария), для того чтобы совершить атаку на Швейцарскую химическую лабораторию в Шпиц, аккредитованную лабораторию ОЗХО, которая анализировала военные химические вещества, включая химический агент, который власти Соединенного Королевства связывают с отравлением бывшего офицера ГРУ в этой стране. Однако операция по взлому ОЗХО, которую пытались осуществить Моренец, Серебряков, Сотников и Минин, была сорвана Службой военной разведки и безопасности Нидерландов (MIVD). В рамках этого срыва Моренец и Серебряков бросили оборудование для взлома Wi-Fi, которое они разместили в багажнике арендованного автомобиля, припаркованного рядом с объектом ОЗХО. Данные, полученные по крайней мере из одного предмета этого оборудования, подтвердили его оперативное использование во многих местах по всему миру, включая соединения с сетью Wi-Fi отеля в Швейцарии, где останавливался чиновник CCES (даты, когда злоумышленники осуществили взлом Wi-Fi ноутбука высокого должностного лица CCES в том же отеле), а также в другом отеле в Куала-Лумпур (Малайзия) в декабре 2017 г.
* * *
В связи со снятием секретности с обвинительного заключения и в целях ограничения дальнейшего воздействия на частную жизнь потерпевших спортсменов, в соответствии с судебными распоряжениями, выпущенными 3 октября 2018 года, в Западном округе Пенсильвании ФБР арестовало домены fancybears.net и fancybears.org Обвинения, содержащиеся в обвинительном заключении, являются лишь обвинениями, а обвиняемые считаются невиновными, если и до тех пор, пока их вина не будет доказана. Более того, максимально возможные приговоры в этом случае назначаются Конгрессом и упоминаются здесь только в информационных целях, поскольку любой приговор обвиняемому выносится назначенным судьей.
ФБР, в лице оперативных отделов Питтсбурга и Филадельфии, провело расследование, результатом которого стали объявленные сегодня обвинения. Расследованию ФБР способствовало параллельное независимое расследование Королевской канадской конной полиции. Преследование по этому делу осуществляется Федеральной прокуратурой Западного округа Пенсильвании и Отделом контрразведки и экспортного контроля Отдела национальной безопасности. Уголовный отдел Управления по международным делам оказывал помощь на протяжении всего этого расследования, равно как и MIVD, правительство Нидерландов, канцелярия Генерального прокурора Швейцарии, национальные службы безопасности и разведки Великобритании и многие юридические атташе ФБР, а также другие иностранные ведомства по всему миру.
Примечание: более подробную информацию можно найти на https://www.justice.gov/opa/documents-and-resources-october-4-2018-press-conference