Обвинительное заключение, судебные иски оживляют историю Трампа с Альфа-банком

В октябре 2016 года СМИ сообщили, что данные, собранные самыми известными в мире экспертами по кибербезопасности, выявили частые и необъяснимые переписки между сервером электронной почты, используемым организацией Трампа, и Альфа-банком, одним из крупнейших российских финансовых учреждений. Эти публикации породили спекуляции о возможном секретном обратном канале связи, а также серию судебных исков и расследований, кульминацией которых стало предъявление на прошлой неделе обвинения тому же бывшему федеральному прокурору по киберпреступлениям, который пять лет назад привлек внимание ФБР к этим данным.

Первая страница жалобы “Альфа-банка” за 2020 год.

С 2018 года доступ к исчерпывающему отчету, подготовленному по заказу Комитета по вооруженным силам Сената США, о данных, которые побудили этих экспертов обратиться в ФБР, был ограничен несколькими руководителями комитета Сената, Альфа-банком и специальными прокурорами, назначенными для расследования истоков расследования ФБР о предполагаемых связях между Трампом и Россией.

Теперь этот отчет стал публичным, по иронии судьбы, благодаря паре судебных исков, поданных Альфа-банком, который не оспаривает напрямую информацию, собранную исследователями. Скорее, он утверждает, что найденные им данные были результатом “очень сложных кибератак против него в 2016 и 2017 годах”, направленных на “фабрикацию видимых коммуникаций” между Альфа-банком и организацией Трампа.

Данные, о которых идет речь, относятся к коммуникациям, проходящим через систему доменных имен (DNS) – глобальную базу данных, которая сопоставляет удобные для компьютера координаты, такие как интернет-адреса (например, 8.8.8.8), с более удобными для человека доменными именами (example.com). Каждый раз, когда пользователь Интернета выходит в сеть, чтобы посетить веб-сайт или отправить электронное сообщение, его устройство посылает запрос через систему доменных имен.

Многие различные организации фиксируют и записывают эти данные DNS по мере их прохождения через общедоступный Интернет, что позволяет исследователям впоследствии вернуться назад и посмотреть, какие интернет-адреса разрешились в какие доменные имена, когда и как долго. Иногда метаданные, генерируемые этими поисками, можно использовать для определения или вывода о постоянных сетевых соединениях между различными узлами Интернета.

Странности DNS были впервые выявлены в 2016 году группой экспертов по безопасности, которые заявили журналистам, что были встревожены взломом Демократического национального комитета и обеспокоены тем, что те же злоумышленники могут атаковать лидеров и учреждения республиканцев.

Исследователи, изучая сетевой след Trump Organization, установили, что в течение нескольких месяцев весной и летом 2016 года на интернет-серверы Альфа-банка в России, Spectrum Health в Мичигане и Heartland Payment Systems в Нью-Джерси приходилось почти все несколько тысяч DNS-поисков конкретного сервера Trump Organization (mail1.trump-email.com).

Эта диаграмма из судебного документа от 14 сентября 2021 года показывает основные источники трафика на сервер электронной почты Trump Organization в течение четырех месяцев весной и летом 2016 года. Большую часть запросов составляли DNS-запросы от Альфа-банка.

Исследователи заявили, что они не могут точно сказать, какие именно коммуникации между этими серверами вызвали поиск DNS, но пришли к выводу, что эти данные было бы крайне сложно сфабриковать.

Как рассказывается в этой статье 2018 года в журнале New Yorker, журналист New York Times Эрик Лихтблау встретился с представителями ФБР в конце сентября 2016 года, чтобы обсудить выводы исследователей. Бюро попросило его придержать статью, поскольку публикация может нарушить ход расследования. Как сообщается, 21 сентября 2016 года Лихтблау поделился данными DNS с B.G.R., вашингтонской лоббистской фирмой, которая работала с Альфа-банком.

Репортаж Лихтблау о результатах расследования DNS был в итоге замят в статье от 31 октября 2016 года под названием “Расследуя дело Дональда Трампа, ФБР не видит явной связи с Россией”, в которой говорилось, что ФБР “в конечном итоге пришло к выводу, что может существовать безобидное объяснение, например, маркетинговая электронная почта или спам”, которое могло бы объяснить необычные соединения DNS.

Однако в тот же день Франклин Фоер из Slate опубликовал статью, основанную на его общении с исследователями. Фоер отметил, что примерно через два дня после того, как Лихтблау поделился данными DNS с B.G.R., домен сервера электронной почты Trump Organization исчез из Интернета – его домен фактически отделился от адреса в Интернете.

Фоер написал, что The Times еще не успела связаться с кампанией Трампа по поводу данных DNS, когда домен электронной почты Трампа внезапно отключился. Странно, но через четыре дня Trump Organization создала новый хост – trump1.contact-client.com – и самый первый DNS-поиск этого нового домена произошел с серверов Альфа-банка.

Исследователи пришли к выводу, что новый домен позволял осуществлять связь с тем же сервером по другому маршруту.

“Когда создается новое имя хоста, первая связь с ним никогда не бывает случайной, – пишет Фоер, – Чтобы связаться с сервером после сброса имени хоста, отправитель первого входящего письма должен сначала каким-то образом узнать это имя. Случайно попасть на переименованный сервер просто невозможно”.

“У этой стороны должно было быть какое-то исходящее сообщение через SMS, телефон или другой канал, не связанный с Интернетом, который они использовали для передачи [новой конфигурации]”, – сказал Фоеру эксперт по DNS Пол Викси. “Первая попытка поиска измененного имени хоста пришла от Альфа-банка. Если бы это был публичный сервер, мы бы увидели другие следы. Единственные попытки поиска исходили от этого конкретного источника”

ТЕОРИИ

И организация Трампа, и Альфа-банк отрицают использование или создание какого-либо секретного канала связи и предлагают различные объяснения того, как данные, собранные экспертами, могли быть подделаны или неверно истолкованы.

В последующем материале Фоера организация Трампа предположила, что поиск DNS может быть результатом спама или электронной почты, рекламирующей различные объекты недвижимости Трампа, и заявила, что маркетинговая фирма Cendyn, расположенная во Флориде, зарегистрировала и управляла сервером электронной почты, о котором идет речь.

Однако компания Cendyn сообщила CNN, что ее контракт на оказание услуг по маркетингу электронной почты для Организации Трампа закончился в марте 2016 года – за несколько недель до того, как начали появляться обнаруженные исследователями DNS-запросы. Компания Cendyn сообщила CNN, что другой клиент общался с Альфа-банком, используя коммуникационные приложения Cendyn, – это утверждение Альфа-банк опроверг.

Впоследствии Альфа-Банк нанял фирмы Mandiant и Stroz Friedberg, занимающиеся компьютерной экспертизой, для изучения данных DNS, представленных исследователями. Обе компании пришли к выводу об отсутствии доказательств переписки по электронной почте между Альфа-банком и организацией Трампа. Однако обе компании также признали, что Альфа-Банк не делился данными DNS за соответствующий четырехмесячный период времени, указанный исследователями.

Другая версия странностей DNS, описанная в отчете Mandiant, заключается в том, что серверы Альфа-банка выполняли повторяющиеся DNS-поиски сервера Trump Organization, поскольку внутренний антивирусный продукт Trend Micro регулярно проверял домены в электронных письмах на наличие признаков вредоносной активности – и входящие маркетинговые письма, рекламирующие недвижимость Трампа, могли объяснить этот трафик.

Исследователи утверждают, что это не объясняет аналогичные и повторяющиеся DNS-запросы к серверу электронной почты Trump Organization, сделанные компанией Spectrum Health, которая тесно связана с семьей ДеВос (Бетси ДеВос впоследствии будет назначена президентом Трампом министром образования).

РЫБОЛОВНАЯ ЭКСПЕДИЦИЯ

В июне 2020 года Альфа-банк подал два иска “неизвестного”, один в Пенсильвании, другой во Флориде. Их заявленная цель – выявить анонимных хакеров, стоящих за “очень сложными кибератаками”, которые, по их утверждению, ответственны за таинственный поиск DNS.

На данный момент Альфа-Банк вызвал в суд по меньшей мере 49 человек или организаций, включая всех экспертов по безопасности, упомянутых в вышеупомянутых материалах СМИ 2016 года, а также тех, кто просто высказал свою точку зрения по этому вопросу в социальных сетях. По меньшей мере 15 из этих физических и юридических лиц уже были допрошены. Последняя повестка Альфа-банка была выдана 26 августа 2021 года.

L. Жан Кэмп, профессор Школы информатики и вычислительной техники Университета Индианы, одним из первых опубликовал некоторые данные DNS, собранные исследовательской группой. В 2017 году Альфа-банк направил Кэмп серию писем с угрозами, в которых утверждалось, что она является “центральной фигурой” в “злонамеренной кибердеятельности, направленной на ее компьютерную сеть”. Письма и ответы ее адвокатов опубликованы на ее сайте.

Адвокаты Кэмп и Университет Индианы сумели удержать ее от допроса как Альфа-банком, так и Джоном Х. Даремом, специальным советником, назначенным администрацией Трампа для выяснения истоков российского расследования (хотя, по словам Кэмп, Альфа-банку удалось получить некоторые электронные письма в рамках школьной политики запроса открытых документов).

“Если бы в MIT была та приверженность академической свободе, которую проявил Университет Индианы на протяжении всего этого процесса, Аарон Шварц был бы жив”, – сказала Кэмп.

По словам Кэмп, ее беспокоит, что расследования Альфа-банка и специального советника Трампа выставили исследователей в таком зловещем свете, в то время как многие из тех, кого вызвали в суд, потратили всю жизнь на то, чтобы сделать Интернет более безопасным.

“Не считая меня, они вызвали в суд некоторых людей, которые вносят значительный, последовательный и важный вклад в обеспечение безопасности американских сетей от атак, исходящих из России”, – сказал Кэмп. “Я думаю, что они используют правоохранительные органы для атаки на сетевую безопасность и определения способов, с помощью которых их предыдущие атаки были и обнаруживаются”.

Николас Уивер, преподаватель кафедры компьютерных наук Калифорнийского университета в Беркли, сообщил KrebsOnSecurity, что он удовлетворил запросы на получение конкретных электронных писем, которые он отправлял коллегам по поводу данных DNS, отметив, что Альфа-Банк мог бы получить их иным способом в соответствии с политикой открытых документов, принятой в университете.

По словам Уивера, иск Альфа-банка не имеет ничего общего с раскрытием правды о данных DNS, а скорее направлен на запугивание и принуждение к молчанию исследователей, которые высказались по этому поводу.

“Это явное злоупотребление, поэтому я готов назвать его таким, какой он есть, а именно иском от неизвестного лица с целью поиска рыбы”, – сказал Уивер.

ИГРА ПО-ЧЕСТНОМУ

Среди тех, кто был вызван в суд и опрошен Альфа-банком, был Дэниел Джонс, бывший следователь ФБР и Сената США, который, возможно, наиболее известен своей ролью в руководстве расследованием применения Центральным разведывательным управлением США пыток после терактов 11 сентября.

Джонс руководит The Democracy Integrity Project (TDIP), некоммерческой организацией в Вашингтоне, округ Колумбия, чья заявленная миссия включает в себя изучение, расследование и помощь в смягчении последствий иностранного вмешательства в выборы в США и их союзников за рубежом. В 2018 году следователи Сената США попросили TDIP подготовить и опубликовать подробный анализ данных DNS, что и было сделано без оплаты. Этот объемный отчет так и не был опубликован ни комитетом, ни кем-либо еще.

Так было до 14 сентября 2021 года, когда Джонс и TDIP подали собственный иск против Альфа-банка. Согласно жалобе Джонса, Альфа-Банк заключил соглашение о конфиденциальности в отношении определенной конфиденциальной и личной информации, которую Джонс был вынужден предоставить в рамках выполнения повестки в суд.

Однако 20 августа адвокаты Альфа-банка направили письменное уведомление о том, что они оспаривают некоторые части соглашения о конфиденциальности. В жалобе Джонса утверждается, что Альфа-банк намерен публично обнародовать часть этих конфиденциальных доказательств, что может поставить под угрозу его безопасность.

Это не первый случай, когда показания Джонса, данные им в рамках соглашения о конфиденциальности, становятся достоянием общественности. В жалобе TDIP отмечается, что перед тем, как Джонс встретился с сотрудниками ФБР в 2017 году для обсуждения российских кампаний по дезинформации, два агента ФБР заверили его, что его личность будет защищена от раскрытия и что любая информация, которую он предоставит ФБР, не будет связана с ним.

Тем не менее, в 2018 году Постоянный специальный комитет Палаты представителей по разведке опубликовал отредактированный отчет о российских активных мерах. В докладе имя Джонса было вычеркнуто, но в ряде сносок в докладе был указан его работодатель и содержались ссылки на сайт его организации. В жалобе Джонса на нескольких страницах подробно описаны тысячи угроз убийством, которые он получил после публикации этого доклада в Интернете.

ОТЧЕТ ТДИП

В рамках своего иска против “Альфа-банка” Джонс опубликовал 40 страниц из 600 с лишним страниц отчета, который он представил в Сенат США в 2018 году. Судя по оглавлению, оставшаяся часть неопубликованного отчета глубоко посвящена истории “Альфа-банка”, его владельцам и их связям с Кремлем.

В докладе отмечается, что в отличие от других доменов, использовавшихся Организацией Трампа для массовой рассылки маркетинговых писем, домен, о котором идет речь – mail1.trump-email.com – был настроен таким образом, что не позволял эффективно рассылать маркетинговые или массовые письма. Или, по крайней мере, большинство писем, отправленных через этот домен, не могли пройти через спам-фильтры.

Домен не был настроен так же, как и другие домены Trump Organization, которые, очевидно, отправляли коммерческую электронную почту, показал анализ Джонса. Кроме того, домен mail1.trump-email.com ни разу не был отмечен как рассылающий спам ни в одном из 57 различных списков блокировки спама, опубликованных в Интернете в то время.

“Если бы с mail1.trump-email.com исходило большое количество маркетинговых писем, вполне вероятно, что некоторые получатели этих писем пометили бы их как спам, – говорится в отчете Джонса за 2018 г. – Спам не является чем-то новым в Интернете, и массовые рассылки создают легко наблюдаемые явления, такие как широкое рассеивание запросов обратного рассеивания от спам-фильтров. В логах таких свидетельств не обнаружено”.

Тем не менее, в отчете Джонса было обнаружено, что mail1.trump-email.com был настроен на прием входящей электронной почты. Джонс приводит результаты тестирования, проведенного одним из исследователей, который обнаружил, что mail1.trump-email.com отклоняет сообщения с автоматическим ответом, говорящим, что сервер не может принять сообщения от данного конкретного отправителя.

“Этот тест показывает, что либо сервер был настроен на отклонение писем от всех, либо сервер был настроен на прием писем только от определенных отправителей”, – пишет TDIP.

В отчете также уточняются обстоятельства исчезновения почтового домена Trump Organization всего через два дня после того, как The New York Times поделилась данными DNS с представителями Альфа-банка.

“После удаления записи mail1.trump-email.com 23 сентября 2016 года Альфа-банк и Spectrum Health продолжали осуществлять поиск DNS по адресу mail1.trump-email.com”, – говорится в отчете. “В случае Альфа-банка такое поведение продолжалось до позднего вечера пятницы 23 сентября 2016 года (по московскому времени). В этот момент Альфа-Банк прекратил DNS-поиск mail1.trump-email.com”.

Менее чем через десять минут сервер, принадлежащий “Альфа-банку”, стал первым источником в изученном наборе данных DNS (37 миллионов записей DNS с 1 января 2016 года по 15 января 2017 года), который выполнил поиск DNS для имени сервера ‘trump1.contact-client.com‘. Полученный ответ был 66.216.133.29 – тот же IP-адрес, который использовался для mail1.trump-email.com и который был удален через несколько дней после того, как The New York Times обратилась в “Альфа-банк” с вопросом о необычных подключениях к серверу.

“Ни один сервер, связанный с Альфа-банком, больше никогда не проводил поиск DNS для trump1.contact-client.com, а следующий поиск DNS для trump1.contact-client.com произошел только 5 октября 2016 года”, – говорится далее в отчете. “Три из этих пяти поисков в октябре 2016 года происходили из России”.

Копия жалобы, поданной Джонсом против Альфа-банка, доступна здесь (PDF).

ОБВИНИТЕЛЬНОЕ ЗАКЛЮЧЕНИЕ ПО ДЕЛУ СУССМАННА

Человеком, который первым обратил внимание ФБР на данные DNS в сентябре 2016 года, был Майкл Сассманн, 57-летний юрист по кибербезопасности и бывший прокурор по компьютерным преступлениям, который представлял интересы Демократического национального комитета и президентской кампании Хиллари Клинтон.

На прошлой неделе специальный адвокат Дарем предъявил Сассманну обвинения в даче ложных показаний ФБР. По сообщению The New York Times, обвинения касаются встречи Сассманна 19 сентября 2016 года с Джеймсом А. Бейкером, главным юристом ФБР в то время. Сообщается, что Сассманн встретился с Бейкером, чтобы обсудить данные DNS, обнаруженные исследователями.

“В обвинительном заключении говорится, что г-н Сассманн ложно сказал юристу ФБР, что у него нет клиентов, но на самом деле он представлял интересы руководителя технологического подразделения и кампании Хиллари Клинтон”, – пишет The Times.

Сассманн не признал себя виновным в предъявленных обвинениях.

АНАЛИЗ

В обвинительном заключении Сассманн называет различных исследователей, которые связывались с ним в 2016 году, условными именами, такими как Tech Executive-1, Researcher-1 и Researcher-2. Тон обвинительного заключения звучит так, как будто в нем описывается обширная сеть гнусной или незаконной деятельности, хотя в нем не делается попыток рассмотреть достоверность каких-либо конкретных проблем, поднятых исследователями. Вот один из примеров:

“Однако, начиная с июля 2016 года или около него и по крайней мере с февраля 2017 года или около него, Originator-I, Researcher-I и Researcher-2 также использовали данные Internet Company-1 и другие данные, чтобы помочь Tech Executive-I в его усилиях по проведению исследований, касающихся потенциальных связей Трампа с Россией”.

Цитируя электронные письма между Tech Executive-1 и исследователями, обвинительное заключение ясно показывает, что г-н Дарем вызвал в суд многих из тех же исследователей, которые были вызваны в суд и давали показания по параллельным искам Джона Доу от российского Альфа-банка.

На сегодняшний день Альфа-банк еще не назвал ни одного ответчика в своих исках. Тем временем обвинительное заключение по делу Суссманна анализируют многие пользователи социальных сетей, которые внимательно следят за расследованием администрации Трампа в отношении России. Большинство этих сообщений в социальных сетях, похоже, представляют собой краудсорсинговую попытку установить реальные личности, скрывающиеся за условными именами в обвинительном заключении.

С одной стороны, неважно, какому объяснению данных DNS вы верите: Существует вполне реальная возможность того, что то, как было проведено все это расследование, может негативно повлиять на способность ФБР собирать важные и чувствительные следственные подсказки на годы вперед.

В конце концов, кто в здравом уме будет добровольно предоставлять конфиденциальную информацию ФБР, если он опасается, что существует хоть малейшая вероятность того, что в будущем из-за смены политических ветров его могут привлечь к ответственности, угрожать физической расправой или смертью в социальных сетях и/или подвергнуть дорогостоящим судебным издержкам и допросам со стороны частных компаний?

Такое восприятие может привести к своего рода “охлаждающему эффекту”, отбивающему у честных и благонамеренных людей желание высказываться, когда они подозревают или знают о потенциальной угрозе национальной безопасности или суверенитету.

Это был бы не самый лучший результат в контексте сегодняшней главной киберугрозы для большинства организаций: Ransomware. За редким исключением правительство США беспомощно наблюдало за тем, как организованные банды киберпреступников – многие из членов которых являются выходцами из России или бывших советских республик, дружественных Москве, – вымогали у жертв миллиарды долларов и нарушили работу или разрушили бесчисленные предприятия.

Чтобы помочь изменить ситуацию в борьбе с теми, кто занимается рассылкой выкупных программ, Министерство юстиции и другие федеральные правоохранительные органы пытаются побудить жертв выкупных программ больше рассказывать о своих атаках. Правительство США даже предложило до 10 миллионов долларов за информацию, позволяющую арестовать и осудить киберпреступников, причастных к распространению программ-выкупов.

Но учитывая то, как правительство, по сути, расправилось со всеми посланниками, рассматривая дело Суссманна, кто может винить тех, у кого есть полезные и достоверные советы, если они предпочтут хранить молчание?

Оставьте комментарий