Шесть лет назад один русскоязычный исследователь в сфере кибербезопасности получила неожиданное электронное письмо от Кейт С. Милтон.
Милтон написала, что она работает на московскую компанию «Лаборатория Касперского», занимающуюся разработкой антивирусных программ.
В переписке Милтон отметила, что ее впечатлили работы исследователя по эксплоитам – цифровым «отмычкам», которые используют хакеры для взлома уязвимых систем, – и попросила отправлять ей копии новых эксплоитов, которые попадутся исследователю.
Исследователь, которая работает инженером по защите информации и параллельно управляет сайтом по обмену информацией о вредоносном ПО, всегда подозревала, что Милтон была не тем, за кого она себя выдавала.
В июле ее подозрения подтвердились в виде обвинительного заключения ФБР.
Обвинительное заключение, обнародованное 13 июля, приоткрыло завесу над операцией российских хакеров, которая была нацелена против президентских выборов в США в 2016 году.
В документе говорилось, что «Кейт С. Милтон» был псевдонимом офицера военной разведки Ивана Ермакова – одного из 12 российских шпионов, которых обвинили во взломе сетей Национального комитета Демократической партии и публикации его электронных писем в попытке повлиять на выборы 2016 года.
Исследователь, передавшая свою переписку с Милтон Associated Press на условиях анонимности, заявила, что ей было неприятно узнать, что она переписывалась с предполагаемым российским шпионом. С другой стороны, нельзя сказать, что ее это сильно удивило.
Пока неясно, работал ли Ермаков на ГРУ, когда он впервые представился Кейт С. Милтон.
В любом случае, Ермаков не работал в «Лаборатории Касперского», – ни в тот период, ни в другое время, заявила компания.
Но эксперты полагают, что переписку исследователя и Милтон (Ермакова) можно рассматривать под разными углами.
Возможно, она показывает, что ГРУ пыталось выстроить связи с людьми из сферы информационной безопасности с расчетом на получение новейших эксплоитов в самые короткие сроки, говорит специалист по анализу угроз компании FireEye Козимо Мортола.
Также возможно, что Ермаков сначала был независимым хакером, искавшим шпионские инструменты, прежде чем его наняла российская военная разведка.
Эта теория кажется разумной эксперту по оборонной и внешней политике Павлу Фельгенгауэру.
«Для работы в киберпространстве нужно нанимать парней, которые разбираются в компьютерах и во всем остальном, чего старые шпионы в ГРУ не понимают, – говорит Фельгенгауэр. – Вы находите хорошего хакера, вербуете его, даете ему определенную подготовку и звание, например, лейтенанта, и после этого он будет делать то же самое».
Associated Press и другие пытались отыскать следы цифровой жизни людей, которым ФБР предъявило обвинения, и обнаружило ссылки на некоторых из них в научных статьях по вычислительной технике и математики, в списках участников российских конференций по кибербезопасности или – как в случае капитана Николая Козачка по прозвищу «казак» – во вредоносном коде, созданном Fancy Bear. Под этим названием долгое время понимали хакерскую группировку, пока личности ее членов не были, как предполагают, раскрыты ФБР.
Associated Press также обнаружило несколько профилей в социальных сетях, связанных с обвиняемыми коллегами Ермакова. Например, с лейтенантом Алексеем Лукашевым, который якобы стоял за успешной фишинговой атакой на почтовый аккаунт главы предвыборного штаба Хиллари Клинтон Джона Подесты.
Лукашев вел аккаунт в Твиттере под псевдонимом Den Katenberg, как следует из анализа обвинительного заключения и данных, предоставленных фирмой Secureworks, работающей в сфере кибербезопасности, а также функцией «Поиск друзей» в Твиттере.