Путин и Трамп. Как Путин заставил себя слушать. Майкл Айзикофф
снова позвонил Тамину. Он попросил о личной встрече. Несколько дней спустя Тамин с двумя коллегами приехали в офис ФБР в Ашберне, штат Вирджиния – маленьком городке в тридцати милях от Вашингтона. Хокинс встретил их, показал свой значок агента ФБР, раздал всем свои визитки. Это окончательно убедило Тамина и его коллег в том, что никакого подвоха в этой истории не было.
Хокинс передал айтишникам журнал регистрации трафика с одного IP-адреса в DNC на некий скрытый адрес. Журнал доказывал, что сеть демократов взломали и один из их компьютеров действительно «звонил домой» на этот скрытый адрес. Хокинс попросил Тамина и других, в случае если они смогут обнаружить эту несанкционированную деятельность в своей сети, не пресекать ее. Они могли предпринять любые необходимые шаги для того, чтобы уменьшить риск внедрения, сказал Хокинс, но им не следовало обнаруживать себя. (Такова была стандартная практика идентификации противника в сетях.)
И еще раз Тамин и его коллеги стали просматривать информацию, ища признаки проникновения в их сеть. Но в сетевых журналах не было трафика, обозначенного в документе, с которым их познакомил Хокинс. Неужели хакеры каким-то образом обманули их систему, чтобы скрыть свои следы?
В середине февраля Хокинс прислал Тамину письмо по электронной почте (на адрес Тамина в другой сети, не в сети DNC), в котором сообщил ему конкретный IP-адрес пункта назначения, который надо было искать в журналах. То есть это был адрес «дома», к которому обращался зараженный компьютер. Впервые агент ФБР делился столь значимой информацией. Но, даже зная этот адрес, Тамин и его команда не смогли обнаружить никаких данных в подтверждение взлома. К концу месяца Хокинс прислал еще одно письмо Тамину: его коллеги из кибербезопасности по-прежнему видели активность, подтверждающую факт проникновения в сеть DNC. Тамин ответил, что его команда постоянно мониторит сеть, но ничего нового не обнаружено.
С момента первого контакта Хокинса и Тамина прошло уже пять месяцев. В случае, о котором идет речь, используемый вредоносный код был связан с Россией. Однако удивительным образом никто не рассматривал потенциальную угрозу взлома как проблему насущную, требующую немедленной реакции. В сети Комитета демократов бушевал киберпожар, а воя пожарных сирен не слышали.
В субботу, 19 марта 2016 года, в 4:34 утра Джон Подеста, председатель предвыборной кампании Хиллари Клинтон, получил электронное письмо, которое на первый взгляд казалось отправленным службой поддержки Google. Речь шла о персональном аккаунте Подесты на Gmail.
«Привет, Джон! Кто-то только что воспользовался твоим паролем для того, чтобы попытаться войти в твой Google-аккаунт», – говорилось в письме от «команды Google». Дальше отмечалось, что попытка проникновения была совершена с IP-адреса в Украине. И далее: «Google прервал попытку входа. Ты должен немедленно сменить пароль». Команда Google предусмотрительно дала ссылку, перейдя по которой, Подеста смог бы сменить пароль, как ему было рекомендовано.
Подеста переслал письмо руководителю