18 апреля сотрудница DCCC вошла в систему DNC. Хакеры, разумеется, вновь записывали все, что вводилось на клавиатуре ее компьютера, поэтому теперь они проникли в самое сердце Демократической партии. Как впоследствии показали слитые в сеть письма, это было настоящее змеиное гнездо раздоров и разногласий. По данным ФБР, хакеры получили доступ примерно к тридцати компьютерам, установили на них шпионские программы и стали дальше собирать скриншоты и информацию с клавиатур[418]. Они скопировали гигабайты исследований, проводимых демократами о республиканцах, и тысячи электронных писем. Все данные вывела группа FancyBear.

Проще говоря, на протяжении нескольких недель взломщики наблюдали за всем происходящим на нескольких десятках компьютеров, которые обрабатывали наиболее важные политические данные в Америке. Злоумышленники видели все, что отображалось на экранах, записывали все, что набиралось на клавиатурах, и таким образом узнавали пароли для всех систем. Большую часть этого времени руководство Демократической партии и не подозревало, что за компьютерами установлена слежка.

Но к концу апреля 2016 года в DNC поняли, что оказались под ударом. На помощь позвали американскую компанию CrowdStrike, с 2011 года работающую в сфере компьютерной безопасности. В число ее основателей входил программист российского происхождения Дмитрий Альперович. CrowdStrike славилась тем, что срывала маски с хакеров. Как утверждают в CrowdStrike, после того как специалисты компании установили на компьютеры свое программное обеспечение, им хватило десять секунд, чтобы понять, кто стоит за атакой. Вирусы указывали на FancyBear, а часть данных отправлялась на серверы, которые раньше связывались с CozyDuke – той группой, которую взломала голландская разведка (в CrowdStrike ее переименовали в CozyBear). Как и сообщали агенты ФБР, CozyBear уже около года пребывала в системах организации. Хакеры FancyBear, напротив, проникли в них всего несколько недель назад. Впрочем, за это время они собрали впечатляющее количество конфиденциальной информации, и именно эта группа в последующие несколько месяцев причинила демократам наибольший ущерб.

Посвятив несколько недель анализу ситуации, специалисты CrowdStrike перешли к вытеснению хакеров из системы. 10 июня всем сотрудникам DNC велели оставить свои ноутбуки в офисе (из-за чего у них возникли беспочвенные подозрения, что всех их в итоге уволят)[419]. Специалисты CrowdStrike сменили пароли сотрудников и удалили все хакерские программы. Хакеры пытались сопротивляться, но оборона демократов выстояла. Очевидно, обе группы «медведей» потеряли доступ к системе.

Хотя брешь в системе безопасности Демократической партии и оказалась закрыта, демократам еще не стоило вздыхать с облегчением. Они не контролировали украденные данные и пока не знали, какие последствия возымеет произведенный взлом. Следующий этап этой атаки стал знаменательным моментом в истории хакинга.

15 июня 2016 года CrowdStrike обнародовала свои выводы. В блоге компании очень осторожно указывался предполагаемый источник атаки. Специалисты CrowdStrike отметили, что FancyBear и CozyBear работали «в интересах» правительства Российской Федерации и, «как считается, были тесно связаны» со спецслужбами страны[420]. Но газета The Washington Post, журналисты которой пообщались также с сотрудниками DNC, не стала стесняться в выражениях и выпустила материал под заголовком: «Российские государственные хакеры проникли в DNC»[421].

Возможно, демократы не случайно приняли решение предать взлом огласке. Уже ходили слухи о связях Трампа с Россией. Обвинив русских во взломе его политических оппонентов, можно было подлить масла в огонь. Если в этом и состоял расчет демократов, они допустили чудовищную ошибку. Новости о взломе запустили поистине невероятную цепочку событий, которые, возможно, стоили партии победы на выборах.

На следующий день после выхода материалов The Washington Post и CrowdStrike в интернете появился блог, автор которого заявил, что «серверы DNC взломал хакер-одиночка». Он утверждал, что атака была организована не российскими властями, а одним человеком, который готовится слить информацию и рассказать свою историю[422].

Этот пост был опубликован под псевдонимом Guccifer 2.0, который тотчас привлек к себе внимание, поскольку вызвал призрака прошлой атаки. Под ником Guccifer скрывался румынский таксист Марсель Лехель Лазар, который переквалифицировался в хакера и пустился во все тяжкие в конце 2012 – начале 2014 годов. Взламывая электронную почту и аккаунты людей в социальных сетях, он публиковал самые смачные находки, включая обнаженные автопортреты, написанные бывшим президентом США Джорджем Бушем-младшим. Важнее, впрочем, что именно Лазар привлек внимание к тому, что Хиллари Клинтон использовала личный адрес электронной почты, пребывая на посту госсекретаря США, а значит, спровоцировал скандал, ударивший по ее президентской кампании[423].

Вот только в 2014 году Лазар был осужден в Румынии, экстрадирован в США, осужден снова, а затем возвращен в Румынию, чтобы отбыть там остаток своего тюремного срока[424]. Он явно не мог скрываться за маской нового хакера Guccifer 2.0, поскольку сидел в это время за решеткой. Тот, кто присвоил его ник, хотел сделать тонкий намек на связь с прошлой хакерской атакой на американских политиков.

Тем временем в своем блоге Guccifer 2.0 открыто высмеивал CrowdStrike:

Всемирно известная компания по обеспечению кибербезопасности CrowdStrike объявила, что серверы Национального комитета Демократической партии США (DNC) были взломаны «продвинутыми» хакерскими группами.

Я весьма польщен, что в этой компании так высоко оценили мои навыки))) Но вообще-то это было просто, очень просто.

Полагаю, клиентам CrowdStrike стоит задуматься о компетентности компании.

К черту иллюминатов и их заговоры!!!!!!!!! К черту CrowdStrike!!!!!!!!![425]

Его посты сопровождались документами, украденными из DNC, а позже были опубликованы новые посты, в которых раскрывались другие документы. Казалось бы, утверждения Guccifer 2.0 опровергают теорию о том, что за атакой стоят российские хакеры (а точнее, российское правительство). Guccifer 2.0 не только уверял, что работает один, но и подчеркивал, что не связан с Россией. Он даже заявил, что на самом деле живет в Румынии (в полном соответствии с предыдущим носителем ника Guccifer).

Некоторые представители прессы начали ставить под сомнение выводы CrowdStrike и утверждение о вмешательстве российского правительства. Guccifer 2.0 продолжал наступление, по электронной почте связываясь с журналистами, включая репортеров Gawker, и подначивая их публиковать истории, – что перекликалось с тактикой эксплуатации прессы, задействованной группой, которая взломала Sony Pictures Entertainment[426]. Постепенно материалов становилось все больше: некоторые издания принялись изучать слитые таблицы и досье и публиковать статьи о том, что им удалось обнаружить. Пожалуй, не меньшую значимость для хакеров имел и тот факт, что громкие заявления Guccifer 2.0 поставили под вопрос личности