Фирмы также отметили связь России с вредоносным ПО APT29 COZY BEAR, также называемым «SeaDaddy» или «SeaDuke», поскольку оно уже было тщательно отслежено несколькими фирмами по кибербезопасности и связано с российской разведкой. Как и в случае с APT28, индикаторы, встроенные в метаданные, указали на Россию как на источник этого вредоносного ПО. Это также включало IP-адреса серверов C2, повторно использованные из прошлых операций, которые, как известно, были русскими. Оперативное время составления модуля и поставленные цели были выгодны только российским интересам.

Еще одним показателем участия профессиональных спецслужб было то, как они выполняли операции OpSec или Operational Security. OpSec - это методика, которую операторы использовали, чтобы избежать обнаружения и замести следы. CrowdStrike был впечатлен и назвал его «превосходным». Они отметили, что продемонстрировали «живущий с земли» подход к обходу безопасности. Фактически, всего за год до того, как взлом DNC был раскрыт, фирма нашла COSY BEAR ответственным за взломы Белого дома, Государственного департамента и Объединенного комитета начальников штабов США.

«Мы не обнаружили сотрудничества между двумя актерами или даже осведомленности друг о друге», - написал Дмитрий Альперович в своем блоге. «Вместо этого мы наблюдали, как две российские шпионские группы взламывают одни и те же системы и по отдельности занимаются кражей идентичных учетных данных» 7. Альперович писал, что это «не редкость» в России, где основные внутренние и иностранные спецслужбы - ФСБ и SVR соответственно - имеют конкурентные и даже враждебные отношения.

Хакеры часто очищали журналы, в которых раскрывалась их деятельность, или сбрасывали временные метки файлов, так что казалось, что они никогда не открывались и не подделывались.8 Однако некоторые дополнительные навигационные цепочки привели многие фирмы кибербезопасности и спецслужбы к выводу, что это было работа CYBER BEARS или одного из наемных хакерских отрядов.

Еще одним важным свидетельством стало использование в атаке определенного командно-административного сервера. Он был прослежен до IP-адреса 176.31.112.10, и его видели раньше. Этот же IP-адрес был обнаружен во время расследования целевого фишинга, проводимого Бундестагом Германии. Считалось, что эта попытка была предпринята российской разведкой9.

К 18 мая 2016 г. директор национальной разведки Джеймс Р. Клэппер-младший выступил в Центре двухпартийной политики в Вашингтоне и заявил, что в ходе президентской кампании 2016 г. имелись «признаки» попытки кибератак, не указав ни попытки вторжения, ни подозрения. иностранные или отечественные хакеры.10 Брайан П. Хейл, директор по связям с общественностью Управления директора национальной разведки, поддержал Клэппера, заявив: «Нам известно, что кампании и связанные с ними организации и отдельные лица становятся мишенью для субъектов с различными мотивации, от философских различий до шпионажа, и возможностей, от искажений до вторжений »и« мы полагаемся на ФБР в конкретных случаях »11.

15 июня 2016 года появилась страница Wordpress со ссылками на украденные документы DNC. Он был опубликован Guccifer 2.0 и сопровождался списком часто задаваемых вопросов.

"Привет! Я получил много вопросов от журналистов и других людей, которым интересна моя деятельность. Большое спасибо всем вам, для меня это удовольствие!

К сожалению, я не мог ответить каждому из вас лично, тем более что вы часто задавали одни и те же вопросы. Вот почему я решил здесь ответить на наиболее часто задаваемые вопросы.

Я разделил их на три группы:

Обо мне

О моей деятельности и публикациях

О моих политических взглядах

Как несложно догадаться, все спецслужбы изо всех сил пытаются меня найти и поймать. И я совершенно не хочу им помогать. Итак, если после прочтения этого поста ваше любопытство не удовлетворяется, примите мои извинения. Это вопрос жизни и смерти. Но могу заверить вас, что все, что я делаю, соответствует моим убеждениям.