Как Германия разоблачила хакера из российского ГРУ.
"Российская служба военной разведки ГРУ, вероятно, несет ответственность за кибератаку на немецкий бундестаг в 2015 году. Теперь федеральная прокуратура добилась выдачи ордера на арест одного из хакеров", - сообщает немецкое издание Süddeutsche Zeitung (перевод - inopressa.ru).
"Белокурый юноша смотрит в камеру. У него короткие волосы, серьезное выражение лица. Когда было сделано это достаточно расплывчатое фото, неизвестно. Но на нем Дмитрий Сергеевич Бадин выглядит очень юным. Сегодня ему должно быть 29 лет. Он родился 15 ноября 1990 года в Курске, в России. Это значится в объявлении о розыске американского ФБР", - повествуют журналисты Флориан Фаде и Георг Масколо.
"Молодой россиянин, который выглядит таким безобидным на фотографии, - солдат. Он не водит танк, он не управляет боевым самолетом и он, вероятно, даже не носит оружие. Когда Дмитрий Бадин идет в бой, он делает это на клавиатуре, - пишет издание. - Вероятно, он является хакером, состоящим на государственной службе, киберсолдатом, действующим по поручению Владимира Путина. Бадин является членом печально известного подразделения российской службы военной разведки ГРУ, которое известно под названием Fancy Bear, "модный мишка".
"ФБР разыскивает Бадина в связи с двумя впечатляющими хакерскими атаками. Одна из них была направлена против Всемирного антидопингового агентства WADA, но даже в США эту атаку скорее считают пустяком. Намного важнее другой случай: речь идет о манипуляции американскими выборами в 2016 году, теми выборами, на которых победил и стал 45-ым президентом Соединенных Штатов Дональд Трамп. Сообщается, что Бадин был одним из тех людей, которые помогли Трампу, похитив электронные сообщения его соперницы Хиллари Клинтон и Демократической партии и целенаправленно опубликовав их".
"Розыск Дмитрия Бадина продолжается уже два года. Но сегодня россиянина ищут не только США - но и федеральная прокуратура ФРГ. На этой неделе главный прокурор Германии добился выдачи международного ордера на арест Бадина. Его обвиняют в "тайной агентурной деятельности" и "незаконном выведывании компьютерных данных". Следователи уверены, что он был одним из лидеров в осуществлении самой впечатляющей кибератаки, которую когда-либо переживала и от которой когда-либо пострадала Германия: атаки на немецкий бундестаг. Об ордере на арест был проинформирован и председатель бундестага Вольфганг Шойбле", - сообщает издание.
"С точки зрения правоохранителей, выданный ордер на арест хакера - большой успех. (...) Ведь выявить отдельных хакеров не удается почти никогда (...)", - отмечается в публикации.
"Не в последнюю очередь в расследовании помогли и США. Одной из причин этого было то, что в Вашингтоне многие считают атаку на бундестаг, произошедшую весной 2015 года, случаем номер один, моментом, когда Россия начала вести против крупных западных демократий то, что сегодня называется гибридной войной. В спецслужбах США давно были убеждены в том, что у Владимира Путина нет более заветного желания, чем избавиться от Ангелы Меркель - например, путем влияния на выборы", - говорится в статье.
"Атака на бундестаг началась 30 апреля 2015 года, - повествует издание. - (...) Несколько депутатов бундестага почти одновременно получили электронное письмо, адрес отправителя в котором заканчивался на "@un.org". Оно выглядело как настоящее письмо от ООН, в теме письма значилось: "Конфликт Украины с Россией разрушит украинскую экономику". В письме была ссылка якобы на сайт ООН. Но на самом деле сайт был сделан с помощью вредоносного программного обеспечения, которое незаметно устанавливалось на компьютер, как только человек нажимал на ссылку".
"Так хакеры оказались в сети бундестага - тогда она охватывала более 5,6 тыс. компьютеров, в ней было зарегистрировано около 12 тыс. пользователей", - отмечает издание.
"Федеральная прокуратура убеждена, что сможет не только доказать доказать, что Дмитрий Бадин лично участвовал во взломе сети бундестага - но и подтвердить, когда и как он это делал. Так, сообщается, что сначала Бадин 7 мая 2015 года в 13:29 установил вредоносную программу под названием VSC.exe, а затем в 13:31 запустил и стал управлять ею. Эта программа должна была украсть данные для получения доступа в систему".
"Лишь 11 мая 2015 года, спустя почти две недели после начала атаки, в Федеральное ведомство по защите конституции (BfV) обратилась с предостережением компания, специализирующаяся на IT-безопасности. (...) Такой цифровой битвы Германия не переживала еще никогда. Работа всей системы бундестага была остановлена. Лишь 20 мая 2015 года атака была остановлена - к этому моменту утекло как минимум 16 гигабайт данных, в том числе десятки тысяч электронных писем депутатов".
"Атаку на бундестаг удалось остановить, но кто несет за нее ответственность? (...) Подозрения быстро пали на APT28, группировку, известную также под названием Fancy Bear, которая в прошлом неоднократно брала на прицел государственные объекты в нескольких странах. Органы безопасности исходят из того, что за ней стоит "войсковая часть 26165" российской военной спецслужбы ГРУ. Она должна располагаться по адресу Комсомольский проспект, дом 20 в Москве. В неприметном здании на территории вооруженных сил".
"Большую роль в расследовании Федерального управления уголовной полиции сыграла и привлекшая всеобщее внимание операция в Нидерландах. В апреле 2018 года контрразведка Нидерландов обнаружила группу россиян, которые, вероятно, являлись членами подразделения ГРУ 26165 или же Fancy Bear. Четверо мужчин прибыли в Амстердам с дипломатическими паспортами и затем поехали на арендованном автомобиле в Гаагу. Вероятно, их целью было заметное круглое здание - штаб-квартира Организации по запрещению химического оружия (ОЗХО)".
"За несколько недель до этого в Великобритании ядом нервно-паралитического действия "Новичок" были отравлены бывший российский шпион Сергей Скрипаль и его дочь - правительство Великобритании возложило ответственность за покушение на Москву. ОЗХО участвовала в расследовании, в лабораториях изучался использованный яд. Органы безопасности Нидерландов исходят из того, что задачей группы российских хакеров был взлом компьютеров ОЗХО и хищение информации".
"13 апреля 2018 года вмешались местные правоохранители, они вытащили россиян из автомобиля и незамедлительно выдворили из страны - в связи с дипломатическим статусом их нельзя было арестовать. Однако их багаж - в том числе ноутбуки, мобильные телефоны - был изъят. Это было настоящим сокровищем - в том числе и для следователей в Германии. Сообщается, что так они получили ценную информацию о московских кибершпионах. О "войсковой части ГРУ 26165" и о Дмитрии Бадине".
"Наконец, следователи из Федерального управления уголовной полиции представили прокурорам в Карлсруэ результат своей многолетней работы. Были идентифицированы два российских хакера, и в отношении них можно доказать участие в кибератаках в Германии. В итоге - по крайней мере пока - доказательств хватило только в отношении одного: Дмитрия Бадина. Поджимало и время. Через несколько недель дело об атаке на бундестаг утратит силу за давностью", - пишет Süddeutsche Zeitung.