расследования, открытые для каждого

Политическая кибератака российских хакеров против США или обыкновенный спам?

23.04.18

Aric Toler

Язык: English

В марте кандидат в члены Конгресса от Северной Каролины Линда Коулман попала в американские газеты с сенсационным заявлением, что российские хакеры взломали ее старый домен LindaForNC.com, использовавшийся во время предыдущей предвыборной кампании. Коулман видит в случившемся политические мотивы и считает, что это «взлом» и «закулисные игры». В статьях в местных и национальных газетах, посвященных инциденту, постоянно всплывает «Рашагейт», еще один скандал, связанный с вмешательством России в выборы президента США в 2016 году, а также упоминается так называемая петербургская «Фабрика троллей» («Агентство интернет-исследований»), организовавшая в 2016 году митинг в городе Шарлотт в штате Северная Каролина.

Однако даже при беглом взгляде на факты вокруг «российской кибератаки» становится ясно, что сайт Коулман был захвачен обычным спамером, продающим препараты для лечения эректильной дисфункции, и нет абсолютно никаких оснований полагать, что за этим стоят политические мотивы.

LindaForNC.com

Сравнение старой архивной версии предвыборного сайта Линды Коулман с текущей взломанной страницей поможет нам понять, каким образом злоумышленник создал копию сайта.

До 2017 года сайт Линды Коулман использовался для предвыборной кампании на пост вице-губернатора Северной Каролины. Победу в итоге одержал республиканец Дэн Форест. Историю изменений LindaForNC.com можно проследить при помощи Wayback Machine ресурса Internet Archive (о том, как искать, восстанавливать и сохранять архивные материалы, читайте в нашем руководстве). В ноябре 2016 года сайт выглядел обычно (нажмите на изображение, чтобы открыть его в полном размере):

Сайт LindaForNC.com в ноябре 2016 года (архив)

Но в январе 2017 года сайт стал выглядеть немного иначе. Во-первых, отличается шрифт и в целом внешний вид текста, например, изменилось его форматирование (полужирный и обычный шрифт). Кроме того, на взломанной версии сайта отсутствуют кнопки Facebook и Twitter, а также раздел «Обращения», изображение с подписью Коулман заменено печатным текстом «Линда Коулман» и, что самое главное, добавлена фраза на французском: «Acheter cialis pas cher en pharmacie» («Купить сиалис в аптеке недорого»). Текстовая гиперссылка «cialis pas cher» ведет на сайт dimque.com (мы еще вернемся к нему далее в статье). Эта французская фраза написана в стиле списка покупок («Купить помидоры в супермаркете, купить обувь в торговом центре, купить сиалис в аптеке недорого…»), но тем не менее с грамматической точки зрения построена верно.

На скриншоте ниже мы выделили главное изменение.

Сайт LindaForNC.com в январе 2018 года (архив)

На данный момент сайт LindaForNC.com выглядит так же, как показано на изображении выше.

Взглянув на код взломанной страницы, можно понять, за счет чего обеспечено сходство нового сайта со старой версией: его просто скопировали из Wayback Machine. Первые строки кода LindaForNC.com взяты из этой службы с идентичным комментарием (в строке 12 на взломанном сайте и в строке 14 в архивной версии), отсылающим к Wayback Machine (нажмите на изображение, чтобы открыть его в полном размере).

Тот факт, что в текущей версии LindaForNC.com нет раздела «Обращения» внизу страницы, свидетельствует о том, что взломщик использовал предыдущую версию страницы, на которой этого элемента еще не было (например, версия сайта от июля 2016 года не содержит раздел «Обращения»). Злоумышленник, взломавший LindaForNC.com, не утруждал себя точным воссозданием страницы, он просто скопировал первую попавшуюся версию из Wayback Machine и добавил одну строчку текста с рекламой сайта, продающего препараты для лечения эректильной дисфункции (ЭД), включая сиалис и виагру.

Dimque

Судя по рекламе препарата сиалис, добавленной на восстановленный предвыборный сайт Линды Коулман, взломщик продает препараты для лечения ЭД онлайн. Гиперссылка, добавленная на LindaForNC.com, ведет на франкоязычный сайт (dimque.com), продающий три вида подобных препаратов: виагру, сиалис и левитру. Принадлежность сайта на WHOIS установить не удается. Следует отметить, что заголовок сайта, который выдает поиск Google, соответствует тексту, добавленному на LindaForNC.com, с одним отличием — добавлено слово «generique» (дженерик): «Acheter cialis generique pas cher en pharmacie».

Старый предвыборный сайт Линды Коулман — далеко не единственный американский ресурс, на который путем взлома была добавлена реклама Dimque.com, при этом до конца не ясно, было ли это сделано для обмана алгоритмов поисковой оптимизации или для того, чтобы заставить людей пройти по ссылке. На странице Департамента образования Западной Виргинии, посвященной стандартам образования, внизу страницы тоже содержится ссылка на Dimque:

И еще один неактивный сайт был взломан и ссылается на Dimque – это страница ArtworkDownUnder.com, где торгуют предметами австралийского искусства.

Каким образом сайты были взломаны или каким образом злоумышленники подменили домены, точно неизвестно, но можно с уверенностью утверждать, что никакой политики здесь нет, и тем более нет оснований полагать, что Dimque.com каким-то образом связан с «Фабрикой троллей» в Санкт-Петербурге или политическими действиями России, если только Кремль не планирует развернуть бизнес по продаже препаратов для лечения импотенции на сомнительном французском сайте, прибегая к технике поисковой оптимизации.

Кто такой Иван Гусев?

Взлом старого неактивного предвыборного сайта никогда бы не попал в заголовки национальных газет, если бы не один пикантный момент: по данным WHOIS взломанный LindaForNC.com зарегистрирован на «Ивана Гусева», проживающего по адресу Москва, ул. Мясницкая, д. 15.

Это большое здание в Москве, где расположены многочисленные магазины и офисы, а также элитное жилье. Агент по недвижимости с такой же фамилией — Петр Гусев — выставил на продажу квартиру по этому адресу, но сложно сказать, является ли это простым совпадением или какая-то связь с «Иваном Гусевым» действительно имеется.

Вместо того чтобы использовать физический адрес и относительно распространенное имя, имеет смысл попробовать выяснить, кто же такой «Иван Гусев», используя адрес электронной почты, указанный при регистрации домена: gusev.ivanovich@yahoo.com. В результате поиска находим еще несколько сайтов, зарегистрированных на эту электронную почту. Интересно, что указанные здесь адрес (Москва, ул. Пушкина, д. 5) и номер телефона (+7-429-637-98-12) отличаются от сведений по LindaForNC на WHOIS.

Адреса ул. Пушкина, д. 5 в Москве нет. Улицы с таким названием широко распространены в России, это все равно что предположить, что в любом крупном американском городе будет Мейн-стрит или Линкольн-авеню. Скорее всего, фамилия «Гусев» тоже была выбрана наугад. Кроме того, почтовый индекс 120000 и телефонный код «429» в России не существуют – в Москве используются коды «495», «498» и «499». Короче говоря, при регистрации этих двух сайтов «Иван Гусев», излишне себя не утруждая, скопировал эту информацию, хотя индекс и телефонный код, указанные при регистрации LindaForNC.com, в Москве действительно есть.

Два других сайта, зарегистрированных по тому же адресу электронной почты, что и LindaForNC.com, или не работают (grandportfolio.com), или представляют собой тематический блог WordPress (herbanutrition.com) без какого-либо политического подтекста.

«Иван Гусев» зарегистрировал несколько сайтов, не имеющих ни малейшего отношения к политике, и если немного покопаться в сети, то можно сделать вывод, что его настоящее увлечение — продажа таблеток для лечения эректильной дисфункции. На доске объявлений итальянского сайта MedicoCompetente.it есть пользователь по имени «Гусев Иванович» с тем же адресом электронной почты, что по данным WHOIS использовался для регистрации LindaForNC.com. Выбранные «Гусевым» место проживания и профессия предлагаются по умолчанию при регистрации сайта.

Ссылка, указанная в профиле «Гусева», ведет на сайт еще одного продавца препаратов против ЭД, только на этот раз не французского, а итальянского.

Британский номер телефона, указанный вверху страницы, отсылает нас к еще одному сайту по продаже препаратов против ЭД, на этот раз испанскому, а второй (американский) номер используется сомнительной интернет-аптекой. Ни один из этих сайтов не содержит ссылок на российские ресурсы или граждан, не считая «Ивана Гусева».

Выводы

Десятиминутное интернет-расследование «российской кибератаки» на неактивный предвыборный сайт Линды Коулман не подтверждает наличия политических или международных мотивов или цели порушить американскую демократию. Наоборот, становится абсолютно очевидным, что домен был взломан продавцом виагры, а само наполнение LindaForNC.com просто скопировано из архива Internet Archive с добавлением ссылки на французский сайт интернет-аптеки. Без сомнения, заголовок в духе «Политическая кибератака российских хакеров против США» звучит намного интереснее, чем «Предвыборный сайт кандидата от Северной Каролины взломали для продажи сиалиса», но факт остается фактом: целый ряд региональных (News & Observer в городе Роли) и международных (Associated Press, The Week) СМИ совершенно бездумно сообщили о захвате «российскими хакерами» домена кандидата в члены Конгресса, даже не утруждаясь провести примитивный поиск в Интернете, что показывает крайне низкий уровень проверки информации, когда речь заходит о «российском вмешательстве» в американские дела.

Aric Toler

Арик Толер работает в Bellingcat с 2015 года. Помимо прочего, занимается проверкой новостей, публикуемых в российских СМИ, изучением конфликта на востоке Украины, анализом российского влияния на ультраправых в США и Европе, а также продолжающимся расследованием крушения малайзийского «Боинга».

Хотите задать вопрос, поделиться идеей для публикации или написать статью для Bellingcat? Свяжитесь с Ариком по адресу электронной почты: arictoler (@) bellingcat (.) com

Подписаться на рассылку Беллингкэт

Введите адрес электронной почты, чтобы получать еженедельный дайджест статей Беллингкэт, ссылки на другие открытые исследования и многое другое.

Поддержать Беллингкэт

Вы можете оказать поддержку Беллингкэт отправив пожертвование через данную ссылку:

Ответить

  • (будет скрыто)