На чем прокололись обвиненные США ГРУшники

13 июля Минюст США предъявил официальные обвинения 12 сотрудникам ГРУ РФ по делу о вмешательстве России в выборы президента США в 2016 году.

Главное, что обсуждалось по следам опубликованного документа с обвинением — упоминания о том, как российские разведчики сохраняли свою анонимность при помощи платежей с использованием биткоина.

Чтобы скрыть их связь с РФ и российским правительством, Заговорщики (так называют группу в документе — прим. ред.) использовали поддельные личности и изготавливали поддельные документы для своих личностей. Чтобы избежать дальнейшего обнаружения, Заговорщики использовали сеть компьютеров по всему миру, включая США, и платили за эту инфраструктуру при помощи криптовалюты.

Группа шпионов прибегала к разным мерам безопасности, чтобы избежать обнаружения. После того, как они через фишинговое письмо получили доступ к компьютеру сотрудника Демократической партии США, они установили на него программу для слежки и снятия скриншотов экрана и пересылали на арендованный сервер в Аризоне — но позднее стали использовать прокси-сервер за рубежом, чтобы скрыть связь между взломанным компьютером и своим сервером. Для публикации украденных документов Демпартии разведчики зарегистрировали домен dcleaks.com (изначально они пытались зарегистрировать electionleaks.com, но почему-то отказались от этой идеи) через румынский сервис, который позволяет скрыть личность владельца домена.

За аренду домена разведчики расплатились при помощи криптовалюты с биткоин-кошелька, привязанного к почте dirbinsaabol@mail.com. Кроме того, биткоинами они расплатились и за хостинг-сервер в Малайзии. По данным из обвинения, всего группа попыталась отмыть (то есть скрыть источник средств) порядка 95 тысяч долларов.

Участники группировки соблюдали некоторые меры предосторожности: например, изначально криптовалюта была куплена на бирже, где были возможны peer-to-peer переводы, во время которых сама биржа не получала данных, откуда и куда уходят деньги. Кроме того, некоторые биткоины были получены через майнинг, то есть полностью анонимно. Однако оказалось, что почта dirbinsaabol@mail.com использовалась ими и в сервисе сокращения ссылок, через который один из участников группы пропустил ссылку в изначальном фишинговом письме.

Тот факт, что блокчейн хранит в себе все произведённые транзакции, позволил расследованию во всех подробностях изучить связи между ними — и сделать соответствующие выводы, пишет The New York Times. И хотя биткоин даёт определённую степень анонимности, из-за сложности операции и большого количества участников было трудно не допустить определённых ошибок, которые и привели к деанонимизации, пишет TechCrunch.

Были и другие проколы: например, Твиттер-аккаунт @dcleaks_ был зарегистрирован с того же компьютера, что и @BaltimoreIsWhr. Последний использовался в 2016 году для призывов к протестам чернокожего населения против Клинтон со слоганом «Blacks against Hillary».

После того, как 14 июня 2016 года специалисты сообщили о взломе Демпартии США, разведчики создали вымышленную личность Guccifer 2.0, взявшего ответственность за атаку — он представлялся хакером из Румынии. Перед тем, как Guccifer 2.0 опубликовал своё первое обращение, разведчики через расположенный в Москве сервер искали в интернете несколько английских фраз (в том числе перед фразы «широко известный»), которые вошли в обращение Guccifer 2.0. Помимо этого, аккаунт Guccifer_2 в Твиттере был зарегистрирован разведчиками через VPN-сервер, за аренду которого они также расплатились биткоинами.