В последнем номере еженедельника New Yorker опубликована статья-расследование Декстера Филкинса "Существовала ли связь между российским банком и президентской кампанией Трампа?".
Тема не новая. Она в свое время детально обсуждалась в специализированной прессе, но ввиду большого количества технических подробностей внимания широкой публики не привлекла. Декстер Филкинс еще раз прошел по следу, встретился с действующими лицами и добавил немаловажный контекст, но исчерпывающего ответа на вопрос, содержащийся в заголовке, так и не получил.
Фабула истории такова. В июне 2016 года после того, как неизвестные хакеры взломали сервер Национального комитета Демократической партии, эксперты по сетевой безопасности предположили, что следующим объектом взломщиков будет Республиканская партия, и стали приглядывать за ее интернет-ресурсами. Вскоре обнаружилось странное взаимодействие между сервером, установленным в нью-йоркской башне "Трамп" на Пятой авеню, где располагался избирательный штаб кандидата Дональда Трампа, и двумя серверами в московском офисе "Альфа-банка".
В печать эти сведения попали с большим опозданием. В частности, главного редактора New York Times ФБР попросило придержать статью, чтобы не мешать расследованию. В итоге газета сообщила о подозрительном траффике только 31 октября, урезав статью до одного куцего абзаца, в котором говорилось, что, по мнению ФБР, общение серверов может иметь и "безобидное объяснение".
В тот же день издание Slate опубликовало подробный текст, автор которого утверждал, что соединения были отнюдь не случайными. Еще одно исследование вышло 1 ноября на сайте Intercept. Оно было ответом на публикацию Slate и оспаривало его выводы.
По версии Slate, поначалу специалисты приняли настойчивые запросы из Москвы на соединение с сервером Трампа за попытки внедрить вредоносный код. Однако в ходе внимательного наблюдения обнаружилось, что серверы ведут себя необычно. Сервер Trump Organization, предназначенный для массовой маркетинговой рассылки, никакой рассылкой не занимался. Сервер "Альфа-банка" посылал запросы не регулярно, как делал бы бот, а спорадически. Весь исключительно слабый для серверов такой мощности траффик проходил в рабочее время, нью-йоркское или московское. Соединения, конечно, могли быть и случайными – мало ли спама мы получаем по почте. Но для случайности контакт был слишком постоянным. Более того: сервер Трампа был сконфигурирован таким образом, чтобы принимать запросы только от определенных, очень немногочисленных IP-адресов. Когда пинг-запрос посылали эксперты, они в ответ получали сообщение об ошибке. Иными словами, серверы Trump Organization и "Альфа-банка" установили закрытый канал связи.
"Вполне очевидно, – цитирует Slate одного из авторитетнейших специалистов – профессора Индианского университета Джин Кемп, – что сервер не был открыт для почтовых сообщений. Эти организации контактировали друг с другом таким образом, чтобы заблокировать других пользователей".
Значительно меньший по объему траффик наблюдался между серверами Трампа и мичиганской некоммерческой организацией Spectrum Health, тоже имевшей доступ к этому закрытому каналу. Сфера ее деятельности (здравоохранение) никак не связана с отельным или строительным бизнесом, которыми занимается Trump Organization, зато жена председателя совета ее директоров Бетси ДеВос стала в администрации Трампа министром образования, а ее младший брат, основатель частной военной компании Blackwater Эрик Принс незадолго до инаугурации Трампа, 11 января 2017 года, встречался на Сейшелах с Кириллом Дмитриевым, гендиректором Фонда прямых инвестиций, чья жена Наталья Попова – однокурсница и близкая подруга дочери Владимира Путина Екатерины Тихоновой. Предметом встречи была якобы организация неофициального закрытого канала связи между Белым Домом и Кремлем. Сам Принс говорит, что встреча была случайной и ничего не значащей.
График активности канала наложили на календарь президентской кампании. Стало видно, что активность эта началась сразу после того, как Дональд Трамп в ходе праймериз обеспечил себе партийную номинацию, и резко возрастала в значимые моменты – например, в период, когда перед национальным съездом республиканцев редактировалась предвыборная платформа Трампа (в итоге из нее исчезло обещание поставить Украине оборонительное летальное оружие). Самый бурный всплеск произошел в августе, в промежутке между съездами и теледебатами. В этот момент рейтинг кандидатов сравнялся, и Трампу требовался резкий рывок.
Когда корреспондент New York Times Эрик Лихтблау работал над своей статьей, он обратился на комментарием к "Альфа-банку". Спустя считанные дни доменное имя, зарегистрированное для сервера Trump Organization, перестало функционировать. Компания зарегистрировала другое имя. И первый же запрос на соединение пришел от "Альфа-банка". Легендарный Пол Викси, основатель и глава Internet Software Consortium, поддерживающего инфраструктуру интернета, объяснил автору статьи в Slate Франклину Фоэру, что случайно найти переименованный сервер во Всемирной Паутине невозможно: "Чтобы узнать новое имя, нужно воспользоваться какими-то внешними средствами связи: СМС, телефоном".
Intercept отнесся к теории Slate с изрядной долей скепсиса. Запрос на соединение, – пишут авторы статьи в этом издании (их четверо), – это еще не соединение. Можно долго и упорно дозваниваться до абонента, но ни разу не дозвониться. Пол Викси в разговоре с авторами признал, что выводы, к которым пришел он и его коллеги, недоказуемы: "Это идеальная ситуация "он сказал – она сказала. Ни у кого из нас нет прямых доказательств".
После этих публикаций владельцы серверов выступили с опровержениями. Пресс-секретарь кандидата Трампа Хоуп Хикс заявила следующее: "Прежде всего – это не секретный сервер. Почтовый сервер, предназначенный для маркетинговых целей и управлявшийся третьей стороной, не использовался с 2010 года. Нынешний траффик с IP-адреса "Альфа-банка" – обычный траффик DNS-сервера, не почтовый траффик. Trump Organization не посылает и не получает никаких сообщений через этот почтовый сервер. Trump Organization не поддерживает контакты и не вступала ни в какие отношения с этой или какой-либо другой российской организацией".
Аналогичное заявление сделала пресс-служба "Альфа-банка".
Однако на этом сюжет не закончился. В марте 2017 года телекомпания CNN сообщила, что ФБР продолжает расследование подозрительных коммуникаций. В том же месяце Джин Кемп, разместившая на своем персональном сайте технические данные траффика, получила письмо от адвокатской фирмы, представляющей интересы "Альфа-банка". Адвокаты пишут, что банк изучает имеющиеся законные возможности по защите своей репутации, а она, Джин Кемп, своей деятельностью способствует "незаконному расследованию".
"Альфа-банк" опубликовал также сообщение для прессы, которое гласит, что банк стал жертвой провокации: "В течение последних нескольких недель были совершены три новые попытки кибератак возрастающей интенсивности на его DNS-сервер (сервер доменных имен). В процессе этих атак неустановленные лица подавали многочисленные DNS-запросы на сервер компании Trump Organization, пользуясь в основном услугами серверных провайдеров США. Запросы DNS выглядели так, как будто они исходят от "Альфа-банка". А DNS-ответы от сервера Трампа ошибочно возвращались в "Альфа-банк" и вызывали срабатывание автоматизированной системы безопасности "Альфа-банка" 18 февраля, а также повторно 11 и 13 марта... "Альфа-банк" полагает, что эти злонамеренные атаки призваны создать ложное впечатление, что "Альфа-банк" тайно поддерживает взаимоотношения с компанией Trump Organization. На самом деле таких взаимоотношений не существует и никогда не существовало".
В ноябре 2017 появилась информация о том, что ФБР получило судебный ордер на обследование сервера Трампа. Об этом сообщил ныне не существующий новостной сайт Heat Street.
Спустя два месяца BBC рассказала о том, что ордер был получен после того, как тогдашнему директору ЦРУ Джону Бреннану передали запись разговора, в котором идет речь о спонсировании кампании Трампа деньгами Кремля. Запись будто бы была предоставлена разведкой одного из балтийских государств.
Название "Альфа-банк" хорошо знакомо специальному прокурору Роберту Мюллеру, который расследует, было ли вмешательство России в президентские выборы в США. В апреле этого года отправился за решетку за дачу ложных показаний (правда, всего на 30 дней) юрист из Нидерландов Алекс Ван Дер Зуаан. Это зять олигарха Германа Хана, который входит в руководство консорциума "Альфа Групп".
Ван Дер Зуаан работал в нью-йоркской юридической фирме Skadden, Arps, Slate, Meagher & Flom, которой лоббист и консультант Виктора Януковича Пол Манафорт в 2012 году устроил контракт с правительством Украины. В задачу фирмы входила независимая экспертиза "газового дела" Юлии Тимошенко. Юристы фирмы отметили, что процедура суда не в полной мере отвечала стандартам правосудия, принятым в демократических странах. Тем не менее на основании представленных суду материалов Skadden пришла к заключению, что вина Тимошенко вполне доказана, а в ее уголовном преследовании не имеется никаких признаков политических мотивов.
Этот вывод в сентябре 2012 года стал международной сенсацией и победой Манафорта. В качестве ответной услуги фирма взяла на работу в качестве младшего партнера дочь Манафорта. Госдепартамент в лице Виктории Нуланд охарактеризовал отчет как неполный и неточный. "Разумеется, юристы Skadden не нашли политических мотивов, - заявила Нуланд, – потому что не искали их". Бывший посол США в Киеве Джон Хербст высказался еще резче. Он назвал отчет "отвратительной работой", за которую фирме "должно быть стыдно".
Имя Германа Хана упоминается в досье Кристофера Стила, которое Трамп и его соратники считают "грязной фальшивкой". Об "Альфе" в досье, в частности, сказано, что ее руководители дают президенту Путину неформальные советы по внешней политике, особенно по США, поскольку Путин не доверяет в этом отношении собственным чиновникам. "Альфа", кроме того, будто бы обладает компроматом на Путина – сведения касаются его "коррумпированной предпринимательской деятельности начиная с 1990-х годов".
Владельцы "Альфы", включая Германа Хана, вчинили изданию BuzzFeed, опубликовавшему досье Стила, иск за клевету.
Остается дополнить рассказ сведениями, ускользнувшими от внимания американских журналистов. Из сообщений о судебном ордере следует, что ФБР изучает траффик не только между почтовым сервером Трампа и "Альфа-банком", но и калифорнийским Silicon Valley Bank. Этот банк имеет прямое отношение к России. У него есть соглашение со "Сбербанком России" о венчурном финансировании. Они проводят совместные мероприятия. Один из управляющих директоров SVB – выпускница Московской финансовой академии Вера Шокина, организатор встречи Дмитрия Медведева, в то время президента России, с русскими программистами во время его визита в Кремниевую долину в июне 2010 года. Но что общего у этого заведения со штабом Трампа?