Российские хакеры, трояны и наивные депутаты: как "сливают" государственные тайны
Неосторожное использование элементов защиты собственных данных в интернете, особенно известными лицами, может дорого стоить. Иногда - даже должности президента США.
Последние несколько месяцев Белый дом часто становился героем громких заголовков мировых СМИ. И что самое интересное не из-за самого президента США Дональда Трампа, а из-за его уже бывшего советника по национальной безопасности Майкла Волца.
Что такого сделал Уолц? В общем-то ничего необычного. Лишь однажды случайно добавил журналиста Джеффри Голдберга в чат в Signal, где обсуждались детали предстоящего военного удара США по Йемену. И еще однажды - пользовался TeleMessage, модифицированной версией Signal, которая позволяет хранить сообщения, нарушая принципы сквозного шифрования.
Как стало известно позже TeleMessage подвергся хакерской атаке, в результате которой были скомпрометированы данные правительственных агентств, включая Таможенную и Пограничную службу США.
В итоге экс-советник Трампа поплатился своей должностью, нарушив базовые принципы кибербезопасности - от информационной гигиены до правил защиты конфиденциальных данных.
Но в этой истории есть еще один важный момент, который стоит вынести за скобки персоналий. Человек - самое слабое звено в системе кибербезопасности. И когда этим звеном становится чиновник высокого уровня, последствия могут быть масштабными.
ЭП собрала примеры самых громких киберинцидентов в мировой политике, где первопричиной стали именно действия или бездействие топ-чиновников. Часть из них завершилась относительно безболезненно. Другие обернулись катастрофой.
Незваный гость в черной футболке, или как журналист сломал Zoom министров обороны ЕС
В ноябре 2020 года проходила очередная закрытая видеовстреча министров обороны стран ЕС. Из-за карантинных ограничений подобные заседания более полугода проходили в формате видеоконференций.
Во время обсуждения ситуации с безопасностью в регионе к звонку неожиданно присоединился молодой человек в черной футболке. Он улыбнулся министрам и помахал рукой. Некоторые из участников восприняли это с юмором, однако глава дипломатии ЕС, - на тот момент Жозеп Боррель, прервав свой доклад, попросил его немедленно выйти. Незнакомец извинился и покинул конференцию.
Этот инцидент мог бы остаться внутренним делом Евросоюза, если бы не одно "но": посторонним посетителем оказался журналист нидерландского телеканала RTL - Дэниел Верлаан.
Как ему удалось проникнуть на закрытую встречу? Ему помогла министр обороны Нидерландов Анк Бейлевелд. Ее сотрудник нечаянно опубликовал в Twitter фото со ссылкой на конференцию. В URL содержался идентификатор встречи и пять из шести цифр необходимого пин-кода.
Увидев это фото, Верлаан обратился к правительству Нидерландов. Там ему ответили, что все под контролем, мол, перед допуском к звонку личность каждого участника проверяют через вебкамеру.
Журналист решил проверить это самостоятельно. "Я ввел URL, нажал "ОК" и увидел экран с запросом пин-кода. Пять цифр я знал, ввел их, потом добавил "1", потом "2" - и попал на встречу", - рассказывал он.
Хотя ситуация выглядела забавно, она продемонстрировала, насколько легко постороннее лицо может получить доступ к конфиденциальной информации.
Тогда один из высокопоставленных дипломатов назвал этот эпизод "смущающим", другой утверждал, что Совету повезло, что вторжение не было более серьезным. "В следующий раз это может быть хакер, и мы больше не будем смеяться", - сказал он.
Письмо от медведей из ООН
В мае 2020 года Германия официально предъявила обвинения российскому хакеру Дмитрию Бадину. Федеральная прокуратура республики выдала международный ордер на его арест по подозрению в участии в кибератаке на Бундестаг в 2015 году.
Несмотря на выданный ордер, Бадин до сих пор находится на свободе, вероятно, на территории России. Впрочем, история, которой в этом году исполняется десять лет, остается знаковой. Это была одна из самых масштабных и влиятельных кибератак, которым подверглась Федеративная Республика Германия.
В апреле 2015 года депутаты немецкого парламента получили электронные письма, в которых адрес отправителя заканчивался на "@un.org" - якобы от Организации объединенных наций. В теме письма говорилось о военном конфликте между Украиной и Россией.
В сообщении содержалась ссылка на якобы бюллетень ООН. После нажатия на нее пользователь переходил на поддельный сайт, который внешне напоминал официальный ресурс ООН, но фактически устанавливал на компьютер вредоносное программное обеспечение - так называемый "троян".
По информации издания Spiegel Online, первыми зараженными стали компьютеры депутатов Левой партии. Это позволило злоумышленникам получить доступ к учетным данным администратора. Впоследствии атаковали компьютеры фракции ХДС/ХСС.
Из-за неосторожных действий пользователей хакеры смогли оставаться в системе несколько недель, похитив по меньшей мере 16 гигабайтов данных, в том числе электронную почту депутатов и материалы из офиса канцлера Ангелы Меркель.
Однако, Бадин не действовал самостоятельно. В 2018 году нидерландские спецслужбы доказали его связь с российской хакерской группировкой Fancy Bear (APT28), которая, по оценкам западных спецслужб, действует под контролем российского ГРУ.
Тогда в Нидерландах задержали группу граждан России, которые пытались взломать систему Организации по запрещению химического оружия. Именно это учреждение расследовало применение нервно-паралитического вещества против Сергея Скрипаля и его дочери в Великобритании. Из-за наличия у задержанных дипломатических паспортов их не арестовали, но технику изъяли.
На этих устройствах правоохранители обнаружили цифровые следы, указывающие на непосредственное участие Бадина в атаке на Бундестаг. Собранные данные также подтвердили, что эта группа имела непосредственную связь с APT28.
Кибератаку обнаружили лишь в начале мая 2015 года, когда троянская программа уже работала во всей сети Бундестага. Часть систем пришлось отключить, рассматривались планы полной замены оборудования. Вредоносное программное обеспечение оставалось активным еще несколько недель после обнаружения.
Президентам надежные пароли не нужны
В октябре 2020 года нидерландские СМИ сообщили, что хакер Виктор Геверс взломал Twitter-аккаунт 45-го президента США Дональда Трампа, просто угадав пароль. Справедливости ради нужно признать, что сделать это было не сложно, ведь республиканец использовал пароль "maga2020!". Более того, президент даже не имел двухфакторной аутентификации.
Хотя Белый дом и Twitter сначала это отрицали, прокуратура Нидерландов подтвердила факт взлома. Геверсу грозила ответственность, но прокуроры признали его этичным хакером, поскольку он сразу сообщил о проблеме властям, ничего не повредил и не воспользовался этим доступом.
Хотя злонамеренных действий не произошло, случай показал серьезную уязвимость: чужой доступ к соцсети первого лица мог повлечь за собой утечку личных сообщений или публикацию дезинформации от его имени.
А вот уже в 2025 году издание Wired опубликовало материал, в котором говорится, что нынешний директор национальной разведки США Тулси Габбард годами использовала один и тот же слабый пароль для нескольких учетных записей.
Это стало известно из баз утечек данных, которые изучило издание. Один из паролей содержал слово "shraddha", которое связывают с ее возможным прошлым в индийской религиозной организации "Наука идентичности". Габбард отрицает какую-либо связь с этой группой, а ее команда назвала такие предположения индофобией и клеветой.
Хотя нет доказательств, что этот пароль использовался в правительственных системах, факт его многократного применения вызывает серьезные сомнения в цифровой гигиене Габбард, особенно учитывая ее предыдущий доступ к секретной информации в Конгрессе.
Примеры пренебрежения паролями и раньше имели негативные последствия. Так, в 2019 году 20-летний хакер-самоучка взломал аккаунты около 1000 немецких политиков, включая Ангелу Меркель.
Он воспользовался элементарными паролями типа "123456" и "ILoveYou", а также теми, что уже когда-то сливались. Министр внутренних дел Хорст Зеехофер рассказал, что был шокирован тем, насколько простыми были большинство паролей.
Это позволило злоумышленнику без особых технических средств получить доступ к массиву личных данных - телефонных номеров, частных чатов, фотографий, контактов и т.д. - и опубликовать их в открытом доступе через Twitter как "адвент-календарь". Инцидент стал громким унижением для политиков и заставил правительство ФРГ требовать лучшей защиты аккаунтов и обязательного использования двухфакторной аутентификации.
Почта личная и не очень
Наверное, самый известный скандал с нарушением правил кибергигиены случился в 2016 году с Хиллари Клинтон. Во время своей работы госсекретарем США она пользовалась частным электронным сервером, установленным в собственном доме, вместо официальной правительственной почты.
Это означало, что вся ее служебная переписка чаще всего проходила через незащищенный частный канал. Всего на сервере обнаружили более 30 тыс. электронных писем, по меньшей мере 113 из них содержали классифицированную информацию, которая не должна была оказаться за пределами правительственных систем.
Тогда ФБР признало действия Клинтон "крайне небрежными", но не выдвинуло ей обвинений. Сама Клинтон добровольно передала письма следствию и сотрудничала с правоохранителями. Скандал существенно повлиял на ее репутацию и стал центральной темой избирательной кампании 2016 года. Трамп и Республиканская партия активно использовали эту историю против нее.
Пример Клинтон стал символом того, как несоблюдение элементарных правил кибербезопасности даже на самом высоком уровне может обернуться политической катастрофой.
Похожий случай произошел в Польше. Руководитель канцелярии премьер-министра Польши Михал Дворчик вел правительственную переписку через частную электронную почту, которая не имела надлежащей защиты.
В частности, в его личном Gmail-аккаунте оказались рабочие письма по вопросам обороны, закупки вооружений, внутренней политики и тому подобное. В июне 2021 года ящик взломали хакеры, которые, по данным следствия, связаны с российскими или белорусскими спецслужбами.
В результате атаки тысячи электронных писем Дворчика и других чиновников похитили и выложили в открытый доступ через Telegram. Среди них - "совершенно секретная" информация военного характера. В результате произошел скандал в польском правительстве, из-за которого Дворчик в 2022 году ушел в отставку.
Вместо заключения
Все упомянутые выше инциденты имеют один общий знаменатель: их могло не произойти, поскольку виновниками оказались сами жертвы.
Требовало ли это от них сверхусилий? Однозначно нет. Тем более если речь идет о должностных лицах самого высокого уровня. Чему учат нас упомянутые истории? Соблюдение даже базовых правил кибербезопасности позволяет избежать проблем.
В конце концов, о них стоит задумываться всем и сейчас, не дожидаясь когда ваше новое место работы может иметь влияние для целой страны или региона.