Виступає Володимир Фоменко, єдиний росіянин, який має відомі посилання на політичний злом США

На знімку, зробленому 17 жовтня 2016 року, видно, як працівник набирає текст на клавіатурі комп’ютера за адресою. [+] штаб-квартира гіганта Інтернет-безпеки Касперського в Москві./AFP/Кирило КУДРЯВЦЕВ/ПОВІДАТИ ІСТОРІЮ AFP ТІБО МАРЧАНД (Фотографія повинна бути прочитана КІРИЛЛОМ КУДРЯВЦЕВОМ/AFP/Getty Images)

посиланнями

Нещодавно зі мною зв’язався Володимир Фоменко з Бійська, Сибір. Він скаржився на те, що його та його хостингову компанію King-Servers звинувачують у глибокій участі у російському злому політичних інституцій США. Ми вступили в листування з метою дозволити Фоменку розповісти свою сторону історії. Ось.

Розповідь про Фоменка розпочалася з публікації в серпні 2016 року рекомендації ФБР про "невідомий актор, який сканує веб-сайт виборчої комісії штату (Арізона) на наявність вразливостей". Шість із восьми IP-адрес ФБР, пов’язаних із серверами, розміщеними компанією Фоменка, King-Servers. Стривожений, Фоменко зв’язався з медіа-організаціями, і згодом з ним взяв інтерв’ю Ендрю Крамер з New York Times. Фоменко пояснив мені, що вдячний Крамеру за те, що він відвідав його рідне місто, і що "якби я не писав Times, ніхто б не запитував мене про мою сторону історії. Я навіть не думав, що вони навернуть мої слова проти мене ".

Замість того, щоб бути виправданим Times, Крамер описав Фоменка як "єдину особу, до цього часу причетну до шквалу російських хакерів Демократичного національного комітету та інших політичних сайтів". Крамер базував цей опис на звіті ThreatConnect, компанії з кібербезпеки, найнятої DNC, яка (якби Крамер уважно читав) прив’язувала Фоменка лише до можливих атак на системи голосування в Арізоні та Іллінойсі. Проте на основі цього звіту Крамер широко характеризував Фоменка як "менеджера" інформаційного зв'язку ".... використовується хакерами, підозрюваними у роботі над російською державною безпекою під час кібератак на кілька країн, включаючи Німеччину, Туреччину та Україну, а також США ». Завдяки Крамеру Фоменко став натхненником російських операцій з кібербезпеки у всьому світі завдяки контролю над величезним "інформаційним зв’язком". П’янкі речі для молодого ділової людини з віддаленого міста Сибіру.

Побоюючись втрати репутації та можливого бізнесу, Фоменко зв’язався з ThreatConnect, запропонувавши поділитися інформацією та поскаржитися на те, що його назвали «менеджером інформаційного зв’язку» для російської кіберрозвідки. Фоменко поділився зі мною відповіддю ThreatConnect, яка переклала вину за претензію на "замовників" на Крамера з "New York Times". Вони писали:

Беручи до уваги характер діяльності та зловживання вашими ресурсами невстановленим зловмисником, ми можемо запропонувати вам також поділитися цією інформацією безпосередньо з російськими та американськими органами влади, щоб ми могли налагодити цей діалог прозоро і відкрито. Стосовно статті, яку ви посилаєтесь на New York Times. Термін "інформаційна зв'язок" - це слова автора [Крамера], а не наші. Пропонуємо звернутися до автора/New York Times, якщо їм потрібно щось пояснити чи виправити. У рамках нашого опублікованого дослідження наші посилання на King-Servers просто підкреслюють додатковий контекст до IP-адрес [мої курсиви], перелічених у Консультативній інформації ФБР. Що вони зареєстровані для вас і вашої компанії (King Servers). Будь ласка, повідомте нам, як ми можемо вам допомогти.

Як зазначається у їхньому звіті та у вищезазначеній відповіді, справа ThreatConnect проти "натхненника" Фоменка спирається на той факт, що "шість із [восьми] IP-адрес, визначених у звіті ФБР, належать King-Servers". Отже, «використання російської служби хостингу VPS передбачає, але остаточно не вказує, що особи, які стоять за діяльністю, визначеною у звіті ФБР, є росіянами». (Примітка: ThreatConnect пов’язує сервери Фоменка лише зі справами Арізони/Іллінойсу.)

Фоменко пояснив мені, що «жодна хостингова компанія не може нести відповідальність за сторонніх клієнтів, але вона повинна підкорятися законодавству країн, де вона працює, і це ми робимо. Доказом цього є той факт, що ми працювали з 2008 року в різних країнах, США, Нідерландах та Росії ".

Фоменко охарактеризував аматорське використання IP-адрес ThreatConnect для звинувачення у кібератаках:

"Невже вони думають, що російські агенти працюють настільки погано, що вони використовують своє власне обладнання, яке так легко можна простежити?"

Він зазначає, що якби він справді був російським агентом, він би пішов на "офшорний" сервер ", а не в Європу чи США, де фахівці ФБР або ЦРУ мали б легкий доступ". Більше того: «Будь-хто може визначити, кому належить IP-адреса. Все, що потрібно - це скористатися такою послугою, як whois.domaintools.com. Логіка ThreatConnect, схоже, полягає в тому, що якщо компанія російська, це означає, що це російські агенти ". Фоменко запитує: «Чому всі пишуть про наші сервери, а не про інші два сервери (89.188.9.91 - Duocast B.V., Нідерланди та 204.155.30.81 - Гарден-Сіті - Джексон Коул), ідентифіковані ФБР? Можливо, вони не дали жодних російських слідів?

У власному технічному звіті ThreatConnect висловлює свою недоуменність щодо того, чому російські хакери не використовують власне обладнання, а замість цього покладаються на інструменти з відкритим кодом, які залишають за собою такі очевидні сліди: ThreatConnect припускає, що, можливо, хакер не має досвіду (це виключає Росію) або вирішує використовувати інструменти з відкритим кодом. У Фоменко є інша відповідь: "Не було б логічним для нас використовувати наші власні сервери, в які ми вклали значні кошти і маємо середню ціну 1500 доларів, коли в цьому та інших центрах обробки даних є сотні наших власних серверів".

З цікавості я запитав Фоменка, чи може він визначити національність чи інші характеристики потенційних хакерів за допомогою його серверів. Його відповідь: «Ми не в змозі, а отже, ми не знаємо національності хакерів і чи справді вони хакери, оскільки ніхто не бере участі у реальних дослідженнях. Ми знаємо, що хакери не мають громадянства ".

ThreatConnect стверджує, що його дослідження не покладається лише на IP-адреси. Він поєднує в собі "інструменти і тактику, прийоми та процедури", щоб припустити, що злом іноземних політичних інститутів "може бути пов'язаний з російською діяльністю APT", і що час може передбачати "непрямий зв'язок між" серверними системами. У їхній доповіді закінчується нота невизначеності: у нас «залишається більше питань, ніж відповідей».

TheatConnect широко цитувались у засобах масової інформації (разом із двома іншими фірмами з кібербезпеки, найнятими DNC), як встановлення російської вини у злому американських політичних інституцій. Незважаючи на попередні та мізерні висновки ThreatConnect, засновані на непрямих доказах, ЗМІ оголосили ці дослідження доказом того, що Росія хакувала на користь Трампа. Ці висновки поставили тоді кандидата Трампа під сильний тиск, щоб пояснити хакерство Росії.

Засоби масової інформації будують свою російську розповідь про боротьбу з Трампом шляхом повторення неперевірених звітів, таких як файл Orbis, непрямих доказів (звіти про кібербезпеку за замовленням DNC), навмисного неправильного тлумачення власних зауважень (хитрість Трампа про те, що росіяни повинні оприлюднити повідомлення про знищення Гілларі), та його новий золотий стандарт (витік інформації від “інформованих сторін”). Ці звіти не продовжуються, але залишаються крутитися на вітрі ЗМІ як євангельська правда. Через кілька місяців після золотого дощу Орбіса », схоже, жоден репортер не зацікавлений знайти свого« супершпигуна »британського автора.

Подібним чином, через півроку Фоменко, призначений «керівником інформаційного зв’язку» російської кібервійни, чекає в Бійську, Сибір. Російськими чи західними правоохоронними органами його ні в чому не звинувачували. Жоден іноземний чиновник не прийняв його пропозицію надати журнали сервера, платіжну інформацію та інші дані, які можуть допомогти ідентифікувати хакерів, російських чи інших. Я підозрюю, що його очікування буде довгим.