Український хакер створив програму, якою росіяни "зламували" вибори у США. Історія найважливішого свідка

Український хакер на прізвисько Profexer цілком може "спалити" цілу російську спецконтору, відповідальну за ведення кібервійни. Як з'ясувала газета The New York Times, агенти ФБР отримали свідчення молодого спеціаліста, автора програми, яку використали росіяни під час втручання в президентські вибори у США в 2016 році.

Злий геній

Наразі виглядає так, що український фрілансер свідомо чи ні виконав роботу для російських спецслужб. Він написав код, який використала команда проплачених урядом РФ хакерів для впливу на перебіг американських виборів. Коли стало відомо, як і хто використав розробку українця, він сам прийшов у поліцію.

Наприкінці грудня Міністерство внутрішньої безпеки США оприлюднило звіт про хакерську атаку на сервери Національного комітету Демократичної партії. У документі наводився маленький зразок коду, який мав би вказувати на російський слід.

Компанія Wordfence дослідила цей зразок і знайшла автора шкідливої програми. Називається вона P.A.S. web shell. Веб-шелл - це інструмент, який дозволяє отримати дистанційний контроль за сайтом чи сервером. А створив її чоловік, який відомий наразі лише під ніком Profexer.

Українські слідчі зберігають його анонімність. З їхніх описів зрозуміло лише, що це молодий хлопець з провінційного міста України.

Він, як пишуть американські журналісти, "авторитетний технічний експерт поміж хакерами, про якого говорять з благоговінням та повагою в Києві". Його програма P.A.S. була створена ще в 2011 році. У 2014 році її радили як гарний інструмент для зламу баз даних на одному з російських форумів.

Програму можно було безкоштовно завантажити з власного сайту автора. Він просив лише зробити добровільну пожертву - від $3 до $250. Як пише The New York Times, реальні гроші автор заробляв на продажах адаптованих версій програми та консультаціях клієнтів-хакерів щодо її використання.

Скріншоти, зроблені Wordfence з уже закритого сайту Profexer та текстового файлу його програми

Видання пише, що український хакер не працював на російські спецслужби. Але також воно зазначає, що невідомою лишається інтенсивність його взаємодії з російською хакерською командою.

Окрім американських виборів P.A.S. web shell засвітилась під час цьогорічної атаки вірусів Petya, NotPetya та Nyetya. Про це писав керівник компанії Wordfence. На його думку, програму використали через зручність інтерфейсу.

Читайте також: Petya.A-вимагач. Все про найбільшу кібератаку в Україні

Заради справедливості слід зазначити, що на момент атаки вірусу Petya та його родичів автор програми вже співпрацював із кіберполіцією, тож не має відношення до атаки. Вочевидь, зловмисники використали отриману заздалегідь модифікацію.

Здався поліції

Після того, як Міністерство внутрішньої безпеки США прямо вказало на програму Profexer'а, він закрив свій сайт (profexer.name). На хакерському форумі Exploit він написав, що зважаючи на тісні стосунки України та США його "можуть арештувати на кухні по першому запиту".

В іншому повідомленні він писав таке: "Не знаю, що трапиться. Це не буде щось приємне. Але я все ще живий". Згодом він припинив спілкування на хакерських форумах. Останнє повідомлення датується 9 січня 2017 року.

Схоже, що приблизно в той же час він почав спілкування з кіберполіцією. Про те, що Profexer добровільно пішов на співпрацю з правоохоронцями, журналістам The New York Times розповів керівник Кіберполіції Сергій Демедюк. За його словами, український хакер дав свідчення агентам ФБР, які перебувають у Києві.

Читайте також: Поплачемо? Як вірус-вимагач шантажує весь світ і як вберегти себе

Що саме він розповів невідомо. Та цілком можливо, що українець може допомогти американцям вийти на своїх колишніх клієнтів. Навіть якщо він не знає їхніх справжніх імен, він знайомий з їхніми мережевими псевдонімами. А вони, як не дивно, цілком можуть допомогти вийти і на реальних живих людей.

Хакера не арештували, оскільки його діяльність відбувалась у "сірій зоні": він написав код, але не використовував його для злочинів. За словами радника міністра внутрішніх справ Антона Геращенко, Profexer спілкувався з російськими замовниками онлайн або телефоном. Йому заплатили за написання специфічного коду, але він не знав, з якою метою його застосують.

Чорнова робота руками українців

Як пише The New York Times, уся ця історія з українцем допомогла з'ясувати, як організована робота російських кремлівських хакерських команд, які дуже люблять додавати в назву слово "ведмідь". Так, відповідальними за хакерські атаки на виборчу систему вважаються групи Fancy Bear (вона ж Advanced Persistent Threat 28 чи просто APT28) та її двійник Cozy Bear.

Замість того, щоб тренувати, озброювати та розміщувати хакерів для виконання певних специфічних місій, згадані команди, схоже, працюють як центри з організації та фінансування. "Більшість важкої роботи, як от кодування, віддається на аутсорс приватним і часто криміналізованим розробникам", - пише газета.

Використання програми Profexer'а - далеко не єдиний випадок, коли росіяни виконують чорнову роботу руками українських компьютерних спеціалістів. Російський журналіст Олексій Ковальов, досліджуючи тему корупції московської мерії виявив, що дизайн сайтів для районних газет (префектур) замовляли українському дизайнеру.

Україна як полігон

Також The New York Times висунула теорію про те, що наша держава слугує для російських спецслужб своєрідним полігоном для відпрацювання хакерських атак. За її твердженням, перед атакою на європейську чи американську ціль спершу відбувається атака на українську.

Видання наводить як приклад атаку на сайт Центральної виборчої комісії під час президентських виборів у 2014 році. Російські хакери хотіли завантажити на нього картинку, яка свідчила б про нібито перемогу лідера "Правого сектору" Дмитра Яроша. Атаку вдалося нейтралізувати, картинка на сайті так і не з'явилась, але російський " Первый канал" видав її в ефір. Ще й стверджував, що взяв її з офіційного сайту ЦВК.

Залишки коду нападників засвідчили, що використовувалась програма Sofacy. Її ж сліди були знайдені в 2016 році після атаки на сервери Національного комітету Демократичної партії США. Її результатом стала публікація на Wikileaks листування співробітників комітету, що сильно вдарило по передвиборчій кампанії Хілларі Клінтон.

У американських слідчих нарешті з'явився цінний свідок у справі про спроби Росії втрутитися в американські вибори. Дуже цікаво тепер буде відстежити, як це вплине на стосунки України та США.

Адміністрація Трампа і він сам стверджували весь цей час, що прямих доказів російського втручання немає. За словами американського президента, хакери могли бути як із Росії, так і з Китаю. І ось тепер у спецслужб з'явився живий свідок, який цілком може вказати пальцем на конкретних виконавців хакерської атаки, і навряд чи це будуть китайці.

Невдоволення Трампа цією темою зрозуміле: адже втручання у перебіг виборів ставить під сумнів чистоту його перемоги. Насправді, американські спецслужби ніколи не говорили, що російським хакерам вдалося вплинути на результат. Навпаки, вони це заперечували. Тим не менш, були зафіксовані атаки на виборчі системи в 39 штатах. Це якщо не згадувати про атаку на сервер Національного комітету Демпартії.

Але не йти на співпрацю з американською правоохоронною системою заради симпатій Трампа - неприпустимий шлях. Тим більше, що мова йде про докази проти Росії.