Reuters объявило о нападении незадолго до торжественного вечера DNC, приветственной речи Хиллари Клинтон в Филадельфии. Накануне выступления Клинтон пресс-секретарь DCCC заявила в заявлении: «DCCC очень серьезно относится к этому вопросу. С помощью ведущих экспертов мы предприняли и продолжаем предпринимать шаги по повышению безопасности нашей сети перед лицом этих недавних событий. Мы сотрудничаем с федеральными правоохранительными органами в рамках проводимого ими расследования »35.

ActBlue.com - это официальный сайт по сбору средств, на который, как думали доноры, они собирались, когда они оказались на ActBlues.com, который был поддельным сайтом для полива воды с пакетом вредоносного ПО, готовым к краже данных. 36 ActBlues.com размещался на машина с нидерландским IP-адресом. Сайт был зарегистрирован на учетную запись Gmail, fisterboks@gmail.com, в которой были зарегистрированы еще три сайта, которые использовались в Германии в качестве прикрытия для российских кампаний целевого фишинга. Компании по кибербезопасности ThreatConnect и Fidelis пришли к выводу, что Gmail был привязан к доменам, связанным с взломом DNC, связанным с «misdepatrment.com». Этот домен был зарегистрирован на frank_merdeux@europe.com и использовался в качестве C2-сервера в атаке DNC37. CYBER BEARS снова нанесли удар.

Администраторы официального сайта ActBlue.com заявили, что они никогда не подвергались взлому и что никакая информация о донорах в их системах не была скомпрометирована.38

DCCC официально не раскрывает, какие данные были украдены. Однако вскоре после объявления об утечке ответственность за нее взял на себя аккаунт, связанный с Guccifer 2.0. 12 августа 2016 года они опубликовали множество внутренних писем, служебных записок и других данных. В частности, была записка от Троя Перри, сотрудника DCCC, который советовал другим, как вести себя с активистами кампании Black Lives Matters. Он предложил «прислушиваться к их опасениям, но не предлагать поддержку конкретных политических решений».

В результате публикации информации DCCC Twitter заблокировал учетную запись Guccifer 2.0.39 WordPress тоже предпринял определенные действия… в некотором смысле. Они вмешались и очистили веб-сайт от сообщений, связанных с взломом DCCC, и отправили Guccifer 2.0 напоминание об условиях обслуживания, связанных с публикацией частной информации. Должно быть, смех в ячейке управления информационной войной LUCKY-7 (IWMC) был громким, когда вслух зачитали строго сформулированное письмо о том, что все американские выборы были мучительны.

Взлом кампании Клинтона

Желание Трампа, чтобы Россия собирала больше данных, быстро продолжалось. 29 июля 2016 года представитель кампании Клинтона Ник Меррилл заявил: «Наша компьютерная система кампании была проверена внешними экспертами по кибербезопасности. На сегодняшний день они не нашли никаких доказательств того, что наши внутренние системы были скомпрометированы »40. Это был политический жаргон, означающий, что кампанию посетили КИБЕР-МЕДВЕДИ, но они еще не нашли настоящего взлома.

На самом деле КИБЕР-МЕДВЕДИ атаковали серверы Клинтона, но их доступ был ограничен. Злоумышленникам удалось получить доступ к серверу, используемому для программы аналитики кампании, где хранится анализ избирателей. На этих машинах нет других конфиденциальных данных, и кампания заявила, что внутренние компьютерные системы не были скомпрометированы. Тем не менее, русские теперь знали больше о том, как кампания Клинтона анализировала данные избирателей. Нет ничего слишком неясного для кибер-кражи.

Техники атаки КИБЕР-МЕДВЕДЕЙ были такими же, как и у других. На адрес 108 Hillary for America было отправлено письмо, содержащее короткую ссылку, указывающую на поддельный вход в систему Google. Цель вводит свой адрес электронной почты Gmail и пароль и затем - уф! - он принадлежит России-матушке.