Темы расследованийFakespertsПодписаться на еженедельную Email-рассылку
Антифейк

Взломанный Telegram, автомобили-убийцы и другие "сливы" WikiLeaks о ЦРУ, которые оказались фейками

7 марта WikiLeaks начал публикацию Vault 7 - крупнейшего архива, включающего 8761 документ ЦРУ. Как заявил основатель WikiLeaks Джулиан Ассанж, это только 1% из всех документов ЦРУ, находящихся в их распоряжении. Из-за большого количества документов в первые часы после публикации журналисты не могли проверить все утверждения из пресс-релиза WikiLeaks и чаще всего просто переписывали их. В некоторых случаях сенсационные заявления, которые звучали в пресс-релизе и в твиттере WikiLeaks, потом не подтверждались документами, опубликованными ими же. В других случаях СМИ раздували панику, превращая ЦРУ во всесильного монстра, который способен убить человека на расстоянии буквально силой мысли. Вот лишь некоторые примеры:

1. «ЦРУ взламывает электронные системы автомобилей и грузовиков. Для идеальных убийств».

В служебной записке ЦРУ от 23 октября 2014 года перечисляются темы, которые обсуждались на одном из совещаний. Одна из них — разработка способов взлома автомобильных систем. Но в документах ни слова не сказано о том, есть ли у ЦРУ такие возможности. Об убийствах тоже ничего нет. Правда, это не помешало сторонникам теорий заговора связать эту записку с «загадочной» смертью журналиста Майкла Гастингса — «яркого критика администрации Барака Обамы, автора нашумевшей статьи о тотальной слежке за американцами», каким его описывают в сюжете «Первого канала». Погиб он невероятно загадочно — на высокой скорости врезался в дерево. Примечательно, кстати, что автором сюжета Первого канала стал тот самый Иван Благой, который ранее распространил фейковый сюжет об «изнасилованной мигрантами девочке» в Германии, после чего стал объектом уголовного преследования по делу о разжигании розни.

Взлом автомобильных систем действительно возможен. Впрочем, те исследования, на которые ссылается автор с сюжете «Первого канала», относительно безобидны, даже если их финансирует DARPA — одно из подразделений Министерства обороны США: «хакеры» ищут уязвимости в военной технике, чтобы своевременно их устранять, но иногда занимаются и обычными автомобилями. Самый известный случай взлома автомобильной системы — как раз такой: в 2013 году Чарли Миллер и Крис Валасек захватили контроль над Jeep Cherokee после того, как нашли уязвимость в системе Uconnect, и даже смогли отключить у него тормоза — правда, в чисто научных целях. Их эксперименты действительно финансировало DARPA, но сами они на правительство не работали, а результаты их исследований стали доступны всем. После этого компания Fiat Chrysler отозвала 1,4 млн своих автомобилей.

2. «Зашифрованные каналы связи не помогают. ЦРУ перехватывает сообщения с WhatsApp и Telegram».

Похожее утверждение появилось в твиттере WikiLeaks, было распространено журналистами и сперва вызвало панику в социальных сетях. Если спецслужбы получили возможность «обходить», как говорится в одном из твитов, защищенные мессенджеры вроде Telegram и популярного в Америке Signal, в интернете действительно не осталось ни одного места, где можно было бы спрятаться от ЦРУ. Однако разработчики мессенджеров, в том числе Павел Дуров, сразу же уточнили, что речь идет не о взломе самих приложений.

Ни WhatsApp, ни Telegram не упоминаются в файлах ЦРУ. Наоборот, эти документы лишь подтверждают надежность подобных мессенджеров, так как спецслужбы оставили попытки их взломать и переключились на смартфоны. Но для этого им надо взламывать телефоны по одному, устанавливая на них вредоносное программное обеспечение. Вероятно, намного легче было бы взломать мессенджер, чтобы получить доступ к переписке всех пользователей, но ЦРУ этого сделать не удалось.

Спустя четыре часа в WikiLeaks опровергли собственное утверждение и пояснили, что имелось в виду. Все, о чем напоминает нам эта часть документов, — в случае взлома хакер получит доступ к экрану телефону и микрофону, то есть сообщения будут перехватываться без взлома мессенджеров и только в режиме «реального времени», что желает массовую слежку де-факто неосуществимой.

3. «ЦРУ организовало атаку на серверы Демократической партии и оставило после себя «отпечатки» русских хакеров».

В пресс-релизе к документам Vault 7 WikiLeaks пишет следующее: «Одно из подразделений ЦРУ — UMBRAGE — собирает и поддерживает большую библиотеку методов, «украденных» из вредоносных программ, разработанных в других странах, включая Российскую Федерацию. С UMBRAGE и похожими проектами ЦРУ может не только увеличить число типов атак, но и приписать их другим, оставив «отпечатки» групп, у которых были украдены техники кибератак». Компоненты UMBRAGE включают сбор паролей, записи с веб-камер, уничтожение данных, обход антивирусов.

Однако ничто из перечисленного не может оставить «отпечатков», принадлежащих конкретной хакерской группе. Это было бы возможно, только если бы ЦРУ использовало уникальный исходный код, написанный другими хакерами. Но опубликованные WikiLeaks документы этого не подтверждают. «Цель этого хранилища — обеспечить функциональные фрагменты кода, которые можно быстро совместить с конкретными разработками» - так описывает UMBRAGE один из документов. Иными словами, американские спецслужбы всего лишь использовали методы кибератак, которые разрабатывали другие. И это вполне разумно — копировать уже успешные методы, а не разрабатывать их с нуля. Таким образом специалисты ЦРУ просто экономили время и энергию.

Исходные коды в документах WikiLeaks взяты из популярных программ, которые чаще всего находятся в открытом доступе. Ни одна из них не уникальна для российских хакеров. В коллекции UMBRAGE есть Dark Comet — известный троян удаленного действия, который может считывать скриншоты, нажатия клавиш и изображения с веб-камер. Еще одна программа  — это RawDisc, созданный коммерческой компанией Eldos. Драйверы RawDisc  используют системные администраторы, чтобы безопасно удалить информацию с жестких дисков. RawDisc применялся в кибератаке на Sony в 2014 году — хакеры удаляли таким образом данные с серверов компании.

Интересно, что именно из-за RawDisc кибератаку тогда приписали КНДР, ведь в 2011 году хакеры использовали это же приложение в операции «Темный Сеул», когда атаке подверглись три банка и две медиакомпании в Южной Корее. Однако RawDisc ни в коем случае не является «визитной карточкой» северокорейцев: в 2012 году приложение использовали для кибератаки на нефтяную компанию Saudi Aramco, и тогда американские власти обвинили в ней Иран. Именно поэтому нельзя вычислить, кто стоит за кибератаками, основываясь на отдельных методах и фрагментах кода.

Инструменты из коллекции UMBRAGE может использовать кто угодно — Россия, Китай, США. Да, безусловно, побочная цель этих операций — замести следы, однако специалисты не нашли у WikiLeaks ни одного документа, который касался бы России. Вместо этого там есть указания, следуя которым, разработчики вредоносного ПО могут избежать обнаружения — например, удалить метки времени в файлах, чтобы они не совпадали с часами работы в конкретной стране.