, — попросила сотрудников DNC ничего не предпринимать. Не отключайте систему. Не препятствуйте ее использованию. Почему? Потому что любое значительное действие или изменение в привычной рутине может встревожить хакеров, они поймут, что их обнаружили, и тогда захватчики могут принять меры, которые не позволят выкурить их из системы. Возможно, этого и не удастся избежать, но приведет это лишь к новым попыткам наведаться в сеть DNC. И снова без разрешения.
Crowd Strike и адвокаты предупредили небольшой круг бывших в курсе чиновников Комитета, чтобы те держали рот на замке. А это означало ничего не говорить персоналу Хиллари Клинтон. Горстка сотрудников Комитета и работников IT-службы, посвященных в дело о вторжении, должны были завести новые личные почтовые ящики для любой коммуникации по поводу хакерского взлома. Crowd Strike не хотела, чтобы у хакеров закралось хоть малейшее подозрение в том, что DNC их обнаружила.
Crowd Strike немедленно приступила к работе, пытаясь определить главное: при помощи разработанной ими очень сложной системы безопасности Falcon они быстро выявили преступников. Ими оказались две отдельные банды российских кибершпионов, уже много лет причастных к масштабному политическому и экономическому шпионажу. Каждая из этих групп состояла из суперспециалистов, и Crowd Strike уже была знакома с их работой. Обе пользовались специальными навыками разведработы и продвинутыми методами, связанными с возможностями государственного уровня, которые позволяли им обходить все существующие шлюзы безопасности и избегать обнаружения.
Позднее Алперович скажет репортерам: «Мы поняли, что эти исполнители нам прекрасно знакомы». Было несколько значительных признаков: некорректный URL, использование определенных IP-адресов и российский временной ярлык. Еще одной подсказкой была небольшая часть программного кода. Это позволило отнести атаку на счет российского правительства.
Одну из этих хакерских банд эксперты по кибербезопасности называли Cozy Bear. Это были те же самые преступники, которых знали как АРТ-29, — русская хакерская организация, перечень целей которой был перехвачен разведкой США годом раньше. Эта группа была связана с предыдущими атаками на сети Белого дома и Государственного департамента.
Другой бандой была АРТ-28 — хакеры, связанные с русской военной разведкой, их прозвали Fancy Bear. Группа была активна с середины двухтысячных, она незаметно проникала в системы, принадлежащие космическим, энергетическим, правительственным и медийным организациям; ее предпочтительной мишенью всегда были Министерство обороны и прочие военные организации. Группа разработала целый набор программных закладок — программ, размещаемых в системе и открывающих хакерам доступ к ней, — которые постоянно корректировались и совершенствовались, появляясь под различными именами:
