Главная » Статьи » Журналистика » СМИ и периодика

Была ли связь между российским банком и кампанией Трампа?

В июне 2016 года, после того, как появились новости о том, что Демократический национальный комитет был взломан, группа видных компьютерных ученых была начеку. В сообщениях говорилось, что злоумышленники, вероятно, были русскими, что указывало большинству членов группы, что в этом участвовало одно из спецслужб страны. Они предположили, что если русские взламывали демократов, они, должно быть, взламывали и республиканцев. «Мы думали, что в мире нет никакого способа, чтобы русские просто напали на демократов», - сказал мне один из компьютерных ученых, который попросил назвать себя Максом.

Группа была небольшой - несколько ученых, разбросанных по всей стране, - и политически разнообразной. (Макс назвал себя «республиканцем Джона Маккейна».) Его члены иногда работали с правоохранительными органами или с частными клиентами, но в основном они выступали в качестве самозваных опекунов Интернета, пытаясь помешать хакерам и содержать систему в чистоте от вредоносных программ. - программное обеспечение, которое хакеры используют для удаленного управления компьютером или для извлечения данных. «Люди думают, что Интернет работает сам по себе», - сказал мне Макс. «Это не так. Мы делаем это, чтобы обеспечить безопасность Интернета ». Взлом DNC казался пагубной атакой на целостность Интернета, а также на американскую политическую систему. Ученые решили выяснить, были ли взломаны и республиканцы. «Мы пытались защитить их», - сказал Макс.

Группа Макса начала прочесывать систему доменных имен, всемирную сеть, которая действует как своего рода телефонная книга для Интернета, переводя легко запоминающиеся доменные имена в IP-адреса, строки чисел, которые компьютеры используют для идентификации друг друга. Всякий раз, когда кто-то выходит в Интернет - чтобы отправить электронное письмо, посетить веб-сайт - его устройство связывается с Системой доменных имен, чтобы найти компьютер, к которому оно пытается подключиться. Каждый запрос, известный как поиск DNS, может быть зарегистрирован, оставляя записи в совокупности серверов, которые распространяются через частные компании, государственные учреждения и университеты. Макс и его группа являются частью сообщества, имеющего необычный доступ к этим записям, которые особенно полезны для экспертов по кибербезопасности, которые работают для защиты клиентов от атак.

Макс и другие ученые-компьютерщики попросили меня скрыть их имена из соображений их конфиденциальности и безопасности. Я неоднократно встречался с Максом и его адвокатом и брал интервью у других известных компьютерных экспертов. (Среди них были Джин Кэмп из Университета Индианы; Стивен Белловин из Колумбийского университета; Даниэль Кан Гиллмор из ACLU; Ричард Клейтон из Кембриджского университета; Мэтт Блейз из Пенсильванского университета; и Пол Викси из Фарсайта Безопасность.) Некоторые из них независимо друг от друга просмотрели записи, обнаруженные группой Макса, и подтвердили, что их будет сложно подделать. Старший помощник на Капитолийском холме, работающий в области национальной безопасности, сказал, что исследования Макса широко уважаются среди специалистов в области компьютерных наук и кибербезопасности.

Когда Макс и его коллеги искали в журналах DNS домены, связанные с кандидатами-республиканцами, они были озадачены тем, с чем столкнулись. «Мы пошли искать отпечатки пальцев, похожие на то, что было на компьютерах DNC, но мы не нашли то, что искали», - сказал мне Макс. «Мы нашли что-то совершенно другое - что-то уникальное». В небольшом городке Лититц, штат Пенсильвания, домен, связанный с Организацией Трампа (mail1.trump-email.com), вел себя необычным образом. Сервер, на котором размещался домен, принадлежал компании под названием Listrak, которая в основном помогала доставлять электронные письма массового маркетинга: сообщения, рекламирующие спа-процедуры, выходные в Лас-Вегасе и другие развлечения. Некоторые домены Организации Трампа отправляли массовые электронные письма, но тот, который Макс и его коллеги заметили, похоже, ничего не отправлял.

Изучая записи по домену Трампа, группа Макса обнаружила DNS-запросы с пары серверов, принадлежащих Альфа-банку, одному из крупнейших банков России. Компьютеры Альфа-банка почти каждый день искали адрес сервера Трампа. В некоторые дни проводились десятки поисков, а в другие - гораздо меньше, но общее число было значительным: с мая по сентябрь Альфа-банк просматривал домен Организации Трампа более двух тысяч раз. «Мы наблюдали за этим в режиме реального времени - это было похоже на наблюдение за пролетающим самолетом», - сказал Макс. «И мы подумали: какого черта российский банк общается с сервером, принадлежащим Организации Трампа, и с такой скоростью?»

Похоже, что только одна другая организация с какой-либо частотой обращалась к сфере деятельности Организации Трампа: Spectrum Health, Гранд-Рапидс, Мичиган. Spectrum Health тесно связан с семьей DeVos; Ричард Девос-младший является председателем правления, и одна из его больниц названа в честь его матери. Его жена Бетси ДеВос была назначена министром образования Дональдом Трампом . Ее брат, Эрик Принс, является партнером Трампа, который привлек к себе внимание Роберта Мюллера.Специальный адвокат, расследующий связи Трампа с Россией. После выборов Мюллер рассматривал встречу Принца с российским чиновником на Сейшельских островах, на которой он, по сообщениям, обсуждал вопрос о создании обратного канала между Трампом и российским президентом Владимиром Путиным. (Принц утверждает, что встреча была «случайной».) Летом 2016 года Макс и другие не знали об этом. «Мы не знали, кто такой Девос», - сказал Макс.

DNS записиподнял неприятные вопросы. Почему домен Организации Трампа, созданный для рассылки электронных маркетинговых рассылок, вел такую ​​скудную деятельность? И почему компьютеры в Альфа-банке и Spectrum Health пытаются получить доступ к серверу, который, похоже, ничего не делает? Проанализировав данные, Макс сказал: «Мы решили, что это скрытый канал связи».

Организация Trump, Alfa Bank и Spectrum Health неоднократно отказывали в каких-либо контактах. Но вопрос о том, был ли вывод Макса верным, остается чрезвычайно важным. Было ли это свидетельством незаконной связи между Россией и кампанией Трампа? Или это было просто совпадение, кибер-мусор, который вызвал подозрения в темное время?

В августе 2016 года Макс решил раскрыть данные, которые он и его коллеги собрали. «Если бы тайные сообщения были реальными, эта потенциальная угроза для нашей страны должна была быть известна до выборов», - сказал он. После некоторого обсуждения он и его адвокат решили передать выводы Эрику Лихтблау из « Таймс» . Лихтблау встретился с Максом и начал смотреть на данные.

Лихтблау сделал прорывную отчетность о наблюдении Агентства национальной безопасности, и он знал, что выводы Макса потребуют тщательного анализа. DNS-запросы - это метаданные - записи, которые указывают на взаимодействие с компьютером, но не обязательно демонстрируют человеческое общение. Лихтблау поделился данными с тремя ведущими компьютерными учеными, и, как и Макс, они были поражены необычным трафиком на сервере. Когда Лихтблау говорил с экспертами, он все больше убеждался в том, что данные предполагают существенную связь. «Мало того, что там есть что-то явно, но есть что-то, что кто-то пошел на многое, чтобы скрыть», - сказал он мне. Джин Кэмп из Университета Индианы также проверила некоторые данные. «Эти люди, которые не должны общаться, явно общаются», - сказала она.

Когда Лихтблау написал черновик статьи для « Таймс» , адвокат Макса связался с ФБР, чтобы предупредить агентов о том, что история о Трампе будет опубликована в национальном издании, и передать данные. Несколько дней спустя сотрудник ФБР позвонил Лихтблау и попросил его приехать в штаб-квартиру Бюро в Вашингтоне, округ Колумбия.

На встрече в конце сентября 2016 года ряд чиновников сказал Лихтблау, что они рассматривают потенциальное вмешательство России в выборы. По словам источника, который был проинформирован о расследовании, Бюро располагает сведениями от информаторов, указывающими на возможную связь между Организацией Трампа и российскими банками, но без данных. Информация из группы Макса может быть значительным шагом вперед. «ФБР искало людей в Соединенных Штатах, которые помогали России влиять на выборы», - сказал источник. «Это было очень важно для Бюро. Это было срочно.

Чиновники ФБР попросили Лихтблау отложить публикацию его истории, заявив, что выпуск новостей может поставить под угрозу их расследование. В ходе рассказа Дин Баке, исполнительный редактор газеты « Таймс », решил, что недостаточно сообщать о существовании компьютерных контактов, не зная их цели. Лихтблау не согласился, утверждая, что его история содержала важные новости: что ФБР начало контрразведывательное расследование российских контактов с помощниками Трампа. «Это были действительно напряженные дебаты, - сказал мне Баке. «Если бы я был репортером, я бы тоже хотел его запустить. Мне казалось, что там что-то есть ». Но с приближением выборов Баке подумал, что он не сможет опубликовать историю, не будучи более уверенным в ее выводах.

Со временем интерес ФБР к возможности подключения Альфа-банка, похоже, ослаб. Представитель агентства сказал Лихтблау, что может быть безобидное объяснение компьютерного трафика. Затем, 30 октября, лидер меньшинства в Сенате Гарри Рид написал письмо Джеймсу Коми, директору ФБР, обвиняя Бюро в том, что оно скрывает информацию о «тесных связях и координации» между кампанией Трампа и Россией. «У нас было окно», - сказал Лихтблау. Его рассказ об Альфа-банке вышел на следующий день. Но это имело лишь скромное сходство с тем, что он подал. Заголовок - « расследование дональда трампа, фбр не видит четкой связи с россией- казалось, чтобы оправдать кампанию Трампа. И хотя в статье упоминался сервер, в ней не было никаких ссылок на ученых-компьютерщиков, которые сказали Лихтблау, что Организация Трампа и Альфа-Банк могли обмениваться информацией. «Мы говорили, что расследование в основном закончено - и оно только начинается», - сказал мне Лихтблау.

В тот же день Slate опубликовал историю , написанную Франклином Фоером, которая подробно описала возможность скрытой связи между Альфа-Банком и Трампом. Отчет Фоера был основан в основном на информации коллеги Макса, который называл себя Чайными Листьями. Фоер процитировал несколько внешних экспертов; большинство сказали, что, похоже, нет другого правдоподобного объяснения данных.

Один замечательный аспект истории Фоэра касался того, как перестал работать домен Трампа. 21 сентября, пишет он, газета Times предоставила потенциальные доказательства связи с BGR, лоббистской фирмой в Вашингтоне, которая работала на Альфа-банк. Два дня спустя домен Трампа исчез из Интернета. (Технически, его «запись», которая переводит доменное имя в IP-адрес, была удалена. Если DNS является телефонной книгой, доменное имя было эффективно отделено от своего номера.) В течение четырех дней серверы в Альфа-банке хранитсяпытаясь найти домен Трампа. Затем, через десять минут после последней попытки, один из них посмотрел другой домен, который был настроен для подключения к тому же серверу Trump Organization.

Группа Макса была удивлена. Домен Трампа был закрыт после того, как Times связался с представителями Альфа-банка, но до того, как газета связалась с Трампом. «Это показывает человеческое взаимодействие», - заключил Макс. «В результате определенных действий остаются отпечатки пальцев». Он рассуждал, что кто-то, представляющий Альфа-банк, уведомил Организацию Трампа, которая закрыла домен, создал другой, а затем сообщил Альфа-банку о новом адресе.

Через неделю после появления « Таймс» Трамп победил на выборах. В день инаугурации омбудсмен « Таймс » Лиз Спайд опубликовала колонку, в которой критиковала то, как газета обрабатывает истории, связанные с Трампом и Россией, в том числе с Альфа-банком. «The Times была слишком робкой в ​​своих решениях не публиковать имеющиеся у нее материалы», - написала она. Статья Спейда не понравилась Баке. «Это была плохая колонка», - сказал он « Вашингтон пост»., Спайд утверждал, что Слейт действовал правильно, опубликовав более агрессивную историю, которую Баке назвал «довольно нелепым выводом». В июне работа Спейда была ликвидирована, поскольку издатель газеты заявил, что должность омбудсмена устарела в эпоху цифровых технологий. , Когда я недавно разговаривал с Баке, он все еще чувствовал, что был прав, если не стал более подробно обсуждать сервер, но признал, что « Таймс» слишком быстро отказалась от возможности подключения Трампа к России. «История была написана слишком осознанно», - сказал он. «Заголовок был ошибочным. Мы не знали тогда, что мы знаем сейчас.

В апреле 2017 года Лихтблау ушел из « Таймс» через пятнадцать лет - отчасти, по его словам, из-за того, как была обработана история Альфа-Банка. Он пошел работать на CNN, но ушел в отставку менее чем через два месяца, на фоне разногласий по поводу другой истории, над которой он работал, о помощнике Трампа Энтони Скарамуччи. В апреле этого года Лихтблау вернулся в редакцию « Таймс» для празднования: он был частью команды журналистов « Таймс », которая была награждена Пулитцеровской премией за свою работу над другими аспектами кампании Трампа. «Это был целый год», - сказал он.

Тем временем история Трамп-Альфа-Банка, казалось, исчезла. Кампания Трампа отвергла любую связь, сказав: «Единственный тайный сервер - это тот, который Хиллари Клинтон безрассудно установила в своем подвале». Блоггеры и технические журналисты напали на статью Slate онлайн. Исследователь кибербезопасности Роберт Грэм назвал анализ «чепухой» и пожаловался: «Вот почему у нас не может быть хороших вещей в Интернете». Он указал на несколько проблем. Например, источники Фоер обнаружили, что домен Трампа блокировал входящую электронную почту, и утверждали, что это свидетельствует о том, что Трамп и Альфа-Банк поддерживают частную сеть связи; фактически, Listrak регулярно настраивал свои маркетинговые серверы для отправки электронной почты, но не для ее получения. Грэм также отметил, что доменом управлял не Трамп, а Cendyn,

Альфа-Банк нанял две фирмы по кибербезопасности, Mandiant и Stroz Friedberg, для анализа данных. Обе фирмы сообщили, что они не нашли никаких доказательств связи с Организацией Трампа. Банк также начал пытаться раскрыть анонимные источники в «Slate». Адвокаты, представляющие Альфа, связались с Джин Кэмп, сказав ей, что они рассматривают судебный иск, и попросили ее идентифицировать исследователей, которые собрали данные. Она отказалась раскрывать их имена. «Для этого и есть срок владения», - сказала она мне.

Альфа-банк был основан Михаилом Фридманом в последние годы существования Советского Союза. Фридман родился в западной Украине и изучал металлургию в колледже. Как и многие другие его поколения, он познакомился с рыночной экономикой через суету. Он продавал билеты в театр, мыл окна и руководил студенческой дискотекой. После распада Советского Союза в 1991 году Фридман присоединился к схватке, чтобы подружиться с членами нового правительства и накопить состояние с помощью государства. Наряду с экономистом по имени Петр Авен, который ранее занимал пост министра внешних экономических связей страны, Фридман превратил Альфа-банк в один из самых успешных бизнесов в новой России. Ее материнская компания Alfa Group в настоящее время контролирует крупнейший частный банк страны, а также финансовые учреждения в нескольких европейских странах.

Фридман и Авен приобрели репутацию блестящих, неустанных бизнесменов. Описывая беззаконные постсоветские годы журналисту Кристиа Фриланд, которая в настоящее время является министром иностранных дел Канады, Фридман сказал: «Мы были абсолютными дикарями». В печально известном эпизоде ​​в 2008 году группа российских компаний, включая Альфа-Групп, пыталась чтобы получить контроль над совместным предприятием, которое они создали с British Petroleum. Борьба за власть была настолько ожесточенной, что генеральный директор совместного предприятия Роберт Дадли был вынужден покинуть Россию. Олигархи продолжали настаивать на контроле над предприятием BP, пока оно не было продано государственной нефтяной компании за пятьдесят пять миллиардов долларов; Сокращение Альфа-Групп составило почти четырнадцать миллиардов.

Альфа-банк процветал в ельцинские годы и продолжал делать это при Путине. Хотя Фридман и Авен не являются частью самого близкого круга Путина, им удалось избежать участи некоторых других олигархов, у которых были арестованы активы и, в некоторых случаях, они были заключены в тюрьму после того, как потеряли благосклонность. Майкл Макфол, бывший американскийПосол в России сказал мне, что он был впечатлен тем, что Фридман и Авен «путешествовали по очень сложному миру, поддерживая интересы своего частного бизнеса и не пересекая Кремль».

Одна из причин, по которой серверная история встревожила Альфа-банк, заключалась в том, что она угрожала репутации банка в Вашингтоне. Члены российского правительства и многие его бизнесмены находятся под американскими экономическими санкциями с 2014 года, когда Россия аннексировала Крым, но руководители и представители Альфы имели доступ к политикам США на самых высоких уровнях. Фридман и Авен несколько раз встречались с официальными лицами в Белом доме Обамы, обсуждая такие вопросы, как стремление России войти во Всемирную торговую организацию. (Альфа-Банк утверждает, что «никогда не выступал за политические или торговые вопросы от имени российского правительства».) «Фридман и Авен рассматривались как люди, с которыми Вашингтон мог бы поговорить о США и России, потому что они поставили две галочки - они были олигархи «вежливой компании», и они могут пролить свет на намерения и перспективы Путина, - сказал мне высокопоставленный чиновник в администрации Обамы. «Они встречались в Государстве, на Холме и в Белом доме. И они понимались как действующие с согласия и руководства Владимира Путина ».

Альфа по-прежнему тесно связана с российской системой, но Фридман и Авен большую часть времени живут в Соединенном Королевстве. Если бы существовала связь с Организацией Трампа, она могла бы быть создана без их ведома. По словам экспертов, с которыми я общался, в крупных российских компаниях обычно есть сотрудники разведывательных служб, либо действующие, либо вышедшие на пенсию, работающие на высоком уровне. Если какие-либо услуги компании требуются каким-либо образом, сотрудник, называемый куратором, координирует их. «Компания не может сказать« нет », - сказал мне российский эксперт из Вашингтона. (Когда его спросили об этом, представитель Альфа-банка сказал: «Насколько нам известно, в Альфа-банке нет высокопоставленных сотрудников разведки на высших уровнях».)

В прошлом мае я видел Петра Авена в Нью-Йорке, в отеле Four Seasons. Он только что пришел с обеда в Вашингтоне, на котором он встретился с группой видных американцев, включая представителей Белого дома, чтобы обсудить экономическую ситуацию в России. Авен, похоже, беспокоился о наблюдении; прежде чем мы сели, он поднес свой телефон к другой стороне вестибюля и спрятал его за растением. Он ничего не сказал бы для отчета, но он сказал мне, что его банк не имел «никакой связи вообще с Трампом - ничего».

Авен и Фридман реже посещали Вашингтон с тех пор, как Трамп вступил в должность. Но победа Трампа, казалось, подняла связи Альфа-банка там - по крайней мере, благодаря ассоциации. Дон Макган, адвокат Белого дома, приехал из одной из юридических фирм, представляющих Альфа-банк в Соединенных Штатах, Джонс Дэй. МакГан привел с собой пятерых адвокатов «Джонс Дэй» в Белый дом; еще шесть человек были назначены на руководящие должности в администрации. Jones Day проделал работу для предприятий, принадлежащих к длинному списку российских олигархов, включая Олега Дерипаску, Виктора Вексельберга и Александра Машкевича. Фирма также представляла кампанию Трампа в своих отношениях с Робертом Мюллером. По этой причине МакГан обеспечил отказ от этики, который позволяет ему говорить со своей старой фирмой, когда ее клиенты ведут бизнес перед правительством США.

В июне 2017 года Трамп назначил Брайана Бенчковски, юриста, который следил за отчетом Строса Фридберга для Альфа-Банка, в качестве главы уголовного отдела Министерства юстиции. На своем слушании о подтверждении Бенчковски решительно сказал, что Строз Фридберг, как и Мандиант, отверг возможность соучастия. Расследование, по его словам, показало, что «между Организацией Трампа и Альфа-Банком не было никакой связи».

Сенаторы-демократы выразили обеспокоенность тем, что Бенчковский взялся за работу в Альфа-Банке; он был старшим членом переходной команды Трампа и имел веские основания ожидать, что он будет назначен на работу в Администрацию. «Клиент был российским банком, который подозревается в прямой связи с кампанией Трампа», - сказал сенатор Ричард Дурбин на слушаниях.

Он и другие сенаторы-демократы были особенно обеспокоены тем, что Бенчковский не станет отказываться от участия в расследовании Мюллера, хотя он работал на двух ведущих российских олигархов. «Почему вы отказались отказать себе?» - спросила сенатор Дайан Файнштейн.

«Я не знаю, что находится в расследовании специального прокурора Мюллера», - сказал Бенчковски. «Я юрист в частной практике. Я понятия не имею, чем он занимается, кроме того, что я прочитал в газетах.

Несмотря на эти вопросы, возглавляемый республиканцами комитет утвердил Бенчковски. В прошлом июле Сенат подтвердил его.

В то время как республиканцы в Конгрессе отвергли возможность сговора, а некоторые присоединились к Трампу, назвав расследование Мюллера политически мотивированной «охотой на ведьм», некоторые демократы продолжали заниматься этим вопросом. После инаугурации Трампа два сенатора-демократа, которые просмотрели данные, собранные группой Макса, - Марк Уорнер и коллега, пожелавший остаться неназванным, - попросили ФБР оценить возможные контакты между Альфа-банком и Организацией Трампа. Материал был также доведен до сведения ЦРУ, которое сочло его достаточно существенным, чтобы предложить расследовать ФБР. В марте 2017 года новостное издание Lancaster Online в Пенсильвании сообщило, что агенты ФБР посетили офисы Listrak, компании, в которой размещался сервер Трампа. Росс Крамер, генеральный директор Listrak, сказал мне,

Примерно в то же время,второй сенатор-демократ подошел к бывшему сотруднику сената по имени Дэниел Джонс и попросил его более внимательно изучить данные. Джонс служил следователем по борьбе с терроризмом в ФБР, а затем десять лет работал в Сенатском разведывательном комитете, где он руководил расследованием применения пыток в администрации Джорджа Буша-младшего. Теперь он руководил следственной фирмой Penn Quarter Group и некоммерческой инициативой под названием «Проект добросовестности демократии», цель которой - защитить выборы от иностранного вмешательства.

Для оценки данных Альфа-банка Джонс собрал команду компьютерных специалистов, разделенную на две группы, по одной на каждом побережье. (Они также проконсультировались с Жаном Кэмпом, который согласился сотрудничать, несмотря на возможность того, что Альфа-Банк может предпринять юридические действия.) Все эти эксперты имеют национальную репутацию в этой области. Некоторые из них занимали руководящие должности в области кибербезопасности в Пентагоне, Белом доме и спецслужбах, а также в ведущих американских технологических компаниях. Чтобы поощрить непредвзятый результат, Джонс никогда не представлял группу Восточного побережья группе Западного побережья.

Я несколько раз встречался с двумя членами группы на Восточном побережье и неоднократно говорил с ними. Они использовали псевдонимы Пол и Лето, отчасти потому, что их тревожили встречи с Россией, когда они работали на высоких уровнях власти. Лито сказал, что в 2016 году, когда он занимался расследованием кибер-вторжений, которые, казалось, произошли в России, он убедился, что за ним следят. И он, и Пол полагали, что их телефоны были взломаны. Эти вторжения совпали с периодом интенсивной российской активности в США, включая взлом DNC, социальный блиц в поддержку Трампа и прибытие Марии Бутиной, которая обвиняется в том, что она была российским агентом, которого послали заискивать Американские консервативные лидеры. (Бутина отвергла обвинения.)

Когда Пол и Лито начали работать, им нужно было убедиться, что данные Макса дают точную картину трафика. После появления истории Slate скептики указали, что никто не имеет полного представления о Системе доменных имен. Они предположили, что другие организации, помимо Альфа-Банка и Spectrum Health, искали домен Трампа, и что Макс не смог их увидеть. DNS-компания Dyn сообщила репортеру, что видела запросы с других компьютеров по всему миру. Но Дин зарегистрировал только два дополнительных поиска, оба с одного адреса в Нидерландах.

Макс и его коллеги утверждают, что они могут видеть почти все поиски DNS в данном домене; Старший помощник Капитолийского холма, с которым я разговаривал, подтвердил, что группа Макса, как считается, обладает такой способностью. Пол Викси, один из первых архитекторов сети DNS, проверил данные и сказал мне: «Если это подделка, это лучше, чем любая подделка, которую я видел». Команда Джонса также провела анализ и тесты в реальном времени, чтобы проверить Макс доступ к DNS-записям. «Невероятно, что он мог одурачить нас», - сказал Пол.

Макс предоставил команде Джонса тридцать семь миллионов DNS-записей, которых было достаточно, чтобы заполнить тысячи экранов метками времени и IP-адресами - длинными строками цифр и букв зеленого цвета. В течение нескольких месяцев Пол и Лито исследовали данные на наличие паттернов и аномалий. «Мы смотрели на множество зеленых экранов», - сказал Пол. Они расценили свой запрос как статистическое предприятие, собирая каждый DNS-запрос Альфа-банка из океана данных, которые им были предоставлены, и составляли его за четырехмесячный период. Оба сказали, что начали работать скептиками. «Я начал с предположения, что это чепуха, - сказал мне Лето.

Большая часть информации, которая была общедоступной, вполне могла бы поддержать это предположение. Статья Фоера в «Сланце» вызвала онлайн-дискуссии, в которых комментаторы предлагали объяснения, начиная от доброго до зловещего. Время поисков, которое произошло летом перед выборами, вызвало спекуляции. Фоер утверждал, что самые большие потоки трафика совпали с основными событиями кампании, включая партийные соглашения. Пол и Лето были сомнительными. Во всяком случае, трафик совпал со временем Пола Манафорта в качестве менеджера кампании Трампа, но DNS-запросы продолжались после того, как Манафорт ушел в отставку. «Многие люди видят лица в облаках», - сказал Лето.

Организация Трампа мало что сделала для выяснения этого вопроса. В октябре 2016 года было опубликовано заявление об отказе во взаимодействии с Альфа-банком «или любым российским юридическим лицом». Вместо этого оно предложило своеобразное объяснение трафика DNS: оно было запущено, когда «существующий банковский клиент Cendyn» - маркетинговая фирма - использовал системы компании для отправки сообщений в Альфа-банк. Такой сценарий был бы крайне нерегулярным; как будто Gmail разрешил пользователю отправлять электронную почту из учетной записи другого пользователя. «В этом нет смысла», - сказал мне Пол.

Адвокаты Трампа утверждали, что расследования, спонсируемые Альфа-Банком, доказали, что Альфа и Организация Трампа не общались. На самом деле они обошли вопрос. Mandiant, одна из фирм, занимающихся кибербезопасностью, заявила, что не может проверять журналы DNS банка с 2016 года, потому что Альфа хранит такие записи только двадцать четыре часа. Другая фирма, Строз Фридберг, дала такое же объяснение того, почему она также «не смогла проверить» данные.

Когда команда Джонса проверила данные, они изучили различные возможные объяснения. Одинбыла вредоносная программа, которая сыграла свою роль во взломе компьютеров DNC. Кэмп сказал мне, что большинство вредоносных программ имеют «отличительные модели поведения». Как правило, он рассылается сразу, направленный одновременно на несколько доменов. Существует «полезная нагрузка» - механизм, который активирует вредоносную деятельность, - и «механизм рекрутирования», который позволяет вредоносной программе захватывать части уязвимого компьютера. Ни один из экспертов, которых собрал Джонс, не нашел никаких доказательств такого поведения на сервере Трампа. «Вредоносные программы не продолжают так стучать в дверь», - сказал Пол.

Второй возможностью был маркетинг электронной почты. После того, как появилась статья Slate, некоторые комментаторы предположили, что сервер Трампа невинно отправил рекламные электронные письма Альфа-Банку, и что компьютер там ответил на запросы, предназначенные для проверки личности отправителя. Это стало ответом для всех, кто не мог объяснить, что произошло. «Либо это что-то безобидное, как спам, - сказала мне Рэйчел Коэн, пресс-секретарь сенатора Уорнера, - либо это совершенно гнусно».

В прошлом Альфа-Банк получал электронные письма от Трампа. Но Cendyn сказал CNN, что он прекратил отправлять электронные письма для Организации Трампа в марте 2016 года, до того, как началась особая деятельность; Трамп перевел свой онлайн-маркетинг в другую компанию под названием Serenata. Команда Джоунса провела расследование и нашла дополнительные доказательства того, что сервер в то время не отправлял маркетинговые электронные письма. Одним из показателей был необычно ограниченный трафик. Крамер из Листрака сказал мне, что обычный клиент отправляет «десяткам тысяч электронных писем в день» огромное количество получателей. Если бы сервер Трампа следовал этому шаблону, он генерировал бы значительный трафик DNS. Чтобы создать своего рода контрольную группу, команда Джоунса попросила Макса записать журналы DNS для Denihan Hospitality Group - сети отелей, по размеру схожей с Трампом, который использовал Cendyn и Listrak для отправки маркетинговых писем. В примере, охватывающем август и сентябрь 2016 года, домен Denihan получил более двадцати тысяч DNS-запросов с более тысячи IP-адресов. За тот же период в домене Трампа было двадцать пять сотен поисков, почти все из них были у Альфа-банка и Spectrum Health.

Пол и Лито полагали, что время и частота поиска DNS также не предполагают спам. Массовые электронные письма обычно отправляются автоматизированным процессом, один за другим, в непрерывном ритме. Запросы Альфа, казалось, делятся на две категории. Некоторые приходили с постоянным пульсом, в то время как другие приходили нерегулярно - иногда много за день, иногда несколько. «Время общения не было случайным и не было регулярным», - сказал Пол. «Это было лучшее совпадение для человеческой деятельности».

Но, если сервер Трампа не отправлял или не получал электронную почту, что могло бы объяснить трафик? Была возможность «подделки» - по сути, фальсификации личности. Кто-то пытался создать ложное впечатление, что Альфа-банк связывался с Организацией Трампа? Команда Джоунса пришла к выводу, что такая атака вряд ли приведет к тысячам поисков DNS в течение столь длительного времени. «Может быть, на несколько дней, но не на четыре месяца», - сказал Лето. Был также вопрос о мотивах. Весной 2016 года мало кто знал, что Макс и его коллеги могли так полно отслеживать DNS-трафик, поэтому любые спуферы выдавали себя за Альфа-банк, не ожидая, что его обнаружат. В новостях, посвященных исследованию связей между Трампом и Россией, были месяцы. «Зачем кому-то это делать?» Стивен Белловин, из Колумбии, сказал. «И почему они выбирают эти организации?»

Когда я видел Петра Авена в «Четырех сезонах», он утверждал, что связи с Организацией Трампа были сфабрикованы, чтобы создать его компанию. «Это заговор против нас», - сказал он мне. «Это действительно намного больше, чем компьютеры». Авен не уточнил, но Джеффри Бирнбаум, представитель Альфа-банка, предоставил более подробную информацию. Банк, по его словам, заподозрил, что «мы жертвы классического российского компрома«Хорошо известное мошенничество, в котором российские конкуренты платят аналитикам за то, что они пишут ложные отчеты, чтобы нанести ущерб репутации». Бирнбаум назвал запросы прессы по этому вопросу длительным недугом. «Это стало ужасным испытанием для Альфа-банка, подобно переживанию романа Кафки», - сказал он. (Макс отверг идею о том, что его группа сфабриковала данные. «Если бы мы собирались лгать, мы бы составили гораздо лучшую историю, чем эта!», - сказал он.)

Поскольку Альфа-Банк не сохранил свои журналы DNS (многие крупные компании этого не делают), его оценки того, что произвело поиск в начале 2016 года, обязательно носят спекулятивный характер. «Мы, как никто другой, озадачены этими ложными обвинениями», - сказал мне Бирнбаум в сентябре этого года. В ходе серии обменов в течение трех недель он предложил ряд возможностей. Он предположил, что данные были фальсифицированы, но также были украдены из журналов банка. Он связал трафик с компроматом, но также излагал сценарий, в котором это было вызвано технической ошибкой: электронные письма Трампа, «скрытые» в системе, периодически обрабатывались банковским программным обеспечением безопасности, приложением под названием Trend Micro Deep Discovery Inspector. В этом объяснении маркетинговые электронные письма Трампа за период до марта 2016 года прошли через спам-фильтр и были сохранены в постоянном архиве, где банк сохраняет все свои электронные письма. Банк периодически проверял этот архив, поскольку обновления программного обеспечения для обеспечения безопасности предоставляли новую информацию окакие отправители могут быть небезопасными. Во время сканирования система выполняла поиск DNS для каждого доменного имени, содержащегося в каждом письме. В течение нескольких месяцев, по словам банка, это может составлять трафик.

Эксперты, с которыми я беседовал, подтвердили, что это технически правдоподобный, но крайне неэффективный способ настройки программного обеспечения безопасности. Но объяснение подняло свои вопросы. Альфа-банк заявил, что его проверки выполнялись в течение двух дней после каждого обновления. Но данные Макса не показывают последовательную картину двухдневных всплесков. Другая проблема лежала в хронологии. Банк получил электронные письма от домена Трампа в конце 2015 года и в начале 2016 года, что должно было вызвать поиск. Но, согласно данным, поиск не начался до мая 2016 года. Отвечая на вопрос об этом несоответствии, Бирнбаум сказал, что программное обеспечение Trend Micro не было «полностью интегрировано» до марта - но это не будет учитывать на время с марта по май.

Третья проблема заключалась в том, что, если Альфа-Банк не получал новые электронные письма от Организации Трампа после марта 2016 года, то количество электронных писем Трампа в архиве - и, следовательно, количество поисков - должно было оставаться стабильным до лето. Но данные Макса показали другую картину: весной не было поисков, небольшое количество в мае, а затем медленное увеличение, начинающееся в июне, с резкими скачками, которые продолжались до тех пор, пока система не вышла из строя. Когда его спросили об увеличении, Бирнбаум предложил еще одно уточнение объяснения. Ранее банк говорил, что программное обеспечение выполняло проверки старых электронных писем «несколько раз за шестимесячный период». Теперь он сказал, что обновление безопасности «примерно в августе» привело к повторному сканированию старых электронных писем.

В любом случае, чтобы такое объяснение работало, потребовалось бы, чтобы серверы в Spectrum Health одновременно испытывали один и тот же сбой, или другой с аналогичными эффектами. (Spectrum отказался отвечать на вопросы о своих компьютерных системах.) У Trend Micro тысячи пользователей, большинство из которых - бизнес, но в примере, который мог видеть Макс и его коллеги, только Альфа-банк и Spectrum Health продемонстрировали это своеобразное поведение.

Для некоторых самой загадочной частью головоломки было то, как прекращались поиски. Домен Трампа исчез из Интернета утром в пятницу, 23 сентября, через два дня после того, как « Таймс»представила свои данные BGR, лоббистам Альфа-банка в Вашингтоне, но до того, как его назвали Трамп или Кендин. По мнению Макса, это свидетельствовало о прямом контакте между Альфа-Банком и Трампом. Один исследователь, у которого опросил Фоер, выразил это живо: «В Москве ударили колено, а в Нью-Йорке - ногу». Однако есть хотя бы одна возможность, которая не касается Москвы: лоббисты в Вашингтоне могли пройти мимо предупреждение Трампу, в порядке любезности. Но BGR отрицает это, называя идею «смешной на первый взгляд».

Какой бы ни была причина исчезновения домена Трампа, серверы Альфа-Банка продолжали искать его: группа Макса наблюдала пятнадцать неудачных попыток в эту пятницу, двадцать восемь в субботу, ни одной в воскресенье, девяносто в понедельник, двадцать во вторник. Машина Spectrum Health также продолжала пытаться в течение недельного спазма активности, который повлек за собой тысячи, казалось бы, автоматических поисков. Спектруму никогда не удавалось переместить сервер Трампа, но Альфа сделала. В ночь на вторник, 27 сентября, через десять минут после того, как банк предпринял свою последнюю неудачную попытку, он искал доменное имя trump1.contact-client.com, которое, как оказалось, стало еще одним маршрутом к тому же серверу Трампа.

Альтернативное доменное имя, по-видимому, ранее не было активным; никто не создал письмо, отправленное с него. Так как Альфа нашла это? Самый простой способ - обратиться к записи ptr, которая показывает, какие доменные имена связаны с данным IP-адресом. Но запись ptr для адреса Трампа не включала альтернативное имя.

Бирнбаум сказал, что исследователи Альфа-банка, исследуя трафик, нашли новое имя в других публичных записях, а затем провели тестовый поиск. Викси сказала, что такой поиск будет необычным, и спросила, почему банк считает, что это необходимо: «Почему Альфа нашла любое имя? И особенно второе имя?

По данным Макса, Альфа-Банк посмотрел новое доменное имя только один раз. В последующие месяцы он и его группа прекратили сбор данных о доменах Организации Трампа. После того, как появилась история Slate, любопытные читатели искали адрес тысячи раз, и трафик DNS превратился в статистический шум. Организация Трампа теперь контролирует исходный домен; в марте 2017 года Cendyn сообщил CNN, что он был «передан обратно». Записи показывают, что Cendyn передал домен только за несколько дней до запуска истории CNN - через год после того, как с него было отправлено последнее электронное письмо. Команда Джоунса считала, что Cendyn продолжил свои отношения с Организацией Трампа в 2016 году. «Между Трампом и Cendyn были тысячи электронных писем в течение всего периода, когда Альфа-Банк просматривал сервер Трампа», - сказал мне Макс. Cendyn сказал, что это «обычная деловая переписка», связанная с возвращением домена. Когда я позвонил генеральному директору компании Ричарду Дейо, чтобы более широко расспросить о ситуации, он сказал: «Это старые новости - это просто интернет-трафик», а затем повесил трубку. Представитель Serenata, которая занялась маркетингом отелей Трампа, сказал мне, что компании нечего сказать. «Не звони снова,» она сказал.

Когда команда Джонса проанализировала движение, они начали строить свою собственную теорию. «То, что у вас есть, - это минимально жизнеспособный технический след небольшого числа людей, которые используют, как я подозреваю, специальную систему для общения», - сказал Пол. «Каждый раз, когда ФБР или кто-либо еще разводит киберпреступную организацию, всегда есть какая-то коммуникационная структура, которая используется для управления и контроля. Вот где происходит ценная связь ». (Макс и его коллеги не увидели никаких свидетельств DNS о том, что организация Trump пыталась получить доступ к серверу; они предположили, что организация использует виртуальную частную сеть или VPN, общую безопасность). мера, которая скрывает цифровые следы пользователей.)

Если бы это был механизм связи, он был бы относительно простым, предполагая, что он был спонтанно создан и усовершенствован с течением времени. Поскольку Организация Трампа не имела административного контроля над сервером, Пол и Лито предположили, что любая такая система будет включать программное обеспечение, которое уже использовала одна из сторон. «Вероятный сценарий не в том, что люди, использующие сервер, были невероятно искушенными сетевыми гениями, делающими что-то неясное и особенное», - сказал Макс. «Вероятный сценарий состоит в том, что они адаптировали сервер и продавца, которые были им доступны, что, по их мнению, было далеко от посторонних глаз». Лито сказал мне, что он предполагал «что-то вроде системы досок объявлений». Или это могло быть мгновением. Система сообщений, которая была частью программного обеспечения, уже используемого на сервере.

Крамер из Листрака настоял, чтобы серверы его компании использовались исключительно для массового маркетинга. «Мы здесь делаем только одно», - сказал он мне. Но службы Listrak могут быть интегрированы с многочисленными программными пакетами Cendyn, некоторые из которых позволяют осуществлять мгновенные сообщения. Одним из вариантов является Metron, используемый для управления событиями в отелях. На самом деле, в заявлении организации «Трамп» за октябрь 2016 года, в котором обвиняется необычный трафик «банковского клиента» Cendyn, предполагается, что коммуникации проходили через Metron, который поддерживает как обмен сообщениями, так и электронную почту.

Стороны могли также использовать веб-почту - электронную почту, которая оставляет мало цифровых следов, кроме поиска DNS. Или, по словам Пола и Лето, они могли общаться через программное обеспечение, используемое для составления маркетинговых электронных писем. Они могли бы использовать метод, называемый папками, в котором сообщения пишутся, но не отправляются; вместо этого они сохраняются в папке черновиков, где их может прочитать сообщник, который также имеет доступ к учетной записи. «Это очень распространенный способ общения между людьми, которые не хотят быть обнаруженными», - сказал мне Лето. Дэвид Петреус, когда он был директором ЦРУ, использовал этот метод, чтобы обмениваться интимными данными и делиться секретной информацией со своей возлюбленной Паулой Бродвелл. В июне адвокат по расследованию Мюллера обвинил Пола Манафорта в использовании папок для облегчения секретной связи.

Учитывая ограничения данных DNS, ни один из независимых экспертов, с которыми я общался, не мог быть уверен в том, что делали Альфа-Банк и Организация Трампа. Некоторые из них предупреждали, что невозможно даже догадываться, что система электронной почты может работать со сбоями. Старший аналитик провайдера DNS-услуг сказал: «Вещи могут запутаться неожиданным образом». Но Пол и Лито утверждали, что они рассмотрели и отвергли каждый сценарий, с которым они столкнулись за десятилетия работы в области кибербезопасности. «Возможно ли, что всему этому есть безобидное объяснение?» - сказал Пол. "Да, конечно. И также возможно, что космические пришельцы сделали это. Это возможно - просто не очень вероятно ».

Пол и Лето периодически возвращались к Максу в ходе своих исследований, опрашивая его предположения и запрашивая дополнительную информацию. В одном транше данных, которые он передал им, они заметили, что третье лицо, в дополнение к Альфа-банку и Spectrum Health, искало домен Трампа: Heartland Payment Systems, процессор платежей, базирующийся в Принстоне. Из тридцати пяти сотен DNS-запросов, замеченных для домена Трампа, Heartland сделал только семьдесят шесть, но ни одна другая видимая сущность не сделала больше двух. У Хартленда была связь с Альфа-Банком, но ненадежная. Недавно он был приобретен компанией Global Payments, которая в 2009 году заплатила семьдесят пять миллионов долларов за United Card Services, ведущую российскую компанию по обработке кредитных карт; два года спустя United Card Services приобрела отделение обработки кредитных карт Альфа-Банка.

Спектр Здоровье имеет аналогичную деловую связь с Альфа-Банком. Отец Ричарда ДеВоса стал соучредителем Amway, а его брат Дуг занимал пост президента компании с 2002 года. В 2014 году Amway присоединился к Альфа-банку для создания программы лояльности Alfa-Amway в России. Но такие связи в лучшем случае носят косвенный характер; Семья ДеВос кажется гораздо более четко связана с Трампом, чем с Россией.

Если бы Трамп и Альфа-банк, а также Spectrum Health и Heartland Payment Systems общались, о чем бы они говорили? Макс и некоторые другие ученые, с которыми я говорил, предположили, что они, возможно, использовали систему, чтобы сигнализировать друг другу о событиях или задачах, которые должны были быть выполнены: например, о деньгах, которые нужно перевести, или о данных, которые нужно скопировать. «Я предполагаю, что всякий раз, когда кто-то хотел поговорить, он делал поиск DNS, а затем направлял трафик куда-то еще», - говорит Ричард Клейтон из университета.из Кембриджа, сказал. Кэмп также предположил, что система могла использоваться для координации перемещения данных. Она отметила, что Cambridge Analytica, которая работала для кампании Трампа, взяла миллионы личных записей из Facebook. В сценарии Кэмпа они могли быть переданы российскому правительству, чтобы помочь ориентироваться на американских избирателей перед выборами.

Исследователи, с которыми я говорил, были осторожны, чтобы указать, что пределы данных DNS мешают им выходить за рамки спекуляций. Если сотрудники компаний говорили, трафик ничего не раскрывает о том, кем они были или о чем они говорили; Сложно исключить что-то столь банальное, как затяжная игра в видео-покер. «Если я полицейский, я не собираюсь брать это с окружным прокурором и говорить, что мы готовы к судебному преследованию», - сказал Лито. «Я хочу сказать, что у нас достаточно, чтобы запросить ордер на обыск». Получить более полную информацию может быть сложно. В марте этого года, после того как республиканцы в Комитете по разведке Палаты представителей объявили, что не нашли никаких доказательств сговора между кампанией Трампа и Россией, демократы комитета подали инакомыслие, утверждая, что есть много вопросов, которые еще предстоит расследовать, включая связи Организации Трампа с Альфа-Банком. Демократы умоляли большинство вынудить Cendyn передать компьютерные данные, которые помогут определить, что произошло. Эти записи могут показать, кто в Организации Трампа использовал сервер. Вероятно, будет также запись о том, кто закрыл домен Трампа послеРаз связался с Альфа-Банком. У Cendyn могут быть записи любых исходящих сообщений, отправленных Организацией Трампа. Но запрос на дальнейшее расследование вряд ли будет продолжаться до тех пор, пока республиканцы владеют большинством. «Мы все посмотрели на данные, и они выглядят неправильно», - сказал мне сотрудник конгресса. «Но как вы узнаете правду?»

Загадка, на данный момент, остается загадкой. Единственные люди, которые могут окончательно решить вопрос об Альфа-Банке и Организации Трампа, - это федеральные следователи. Макс сказал мне, что никто из его группы не связывался. Но, по его словам, никому в ФБР не нужно было с ним разговаривать, если агенты собирали правильную информацию из других источников, таких как Листрак и Чендин. «Надеюсь, у Мюллера все это есть», - сказал он. 

Категория: СМИ и периодика | Добавил: xxxmarfeixxx (04.06.2019)
Просмотров: 173 | Теги: Путин, Россия, Трамп, Война, президент, Выборы, США | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]