De Adam Shepherd
Povestea despre modul în care 12 hackeri ar fi corupt cea mai puternică democrație din lume pentru a-l pune pe Donald Trump în frunte
După mai bine de doi ani de acuzații, recriminări, respingeri și speculații, investigația avocatului special Robert Mueller asupra potențialelor ingerințe în alegerile prezidențiale din 2016 din SUA l-a condus în Rusia. Ca parte a unei anchete pe scară largă asupra influenței actorilor statului rus asupra alegerilor, Departamentul de Justiție a acuzat în mod oficial 12 membri ai serviciilor de informații militare rusești cu diferite infracțiuni de piraterie.
Președintele Vladimir Putin a negat orice acțiune greșită în numele Rusiei și al agenților săi și a fost susținut public de președintele Trump. În ciuda condamnării din partea președintelui Camerei Reprezentanților SUA, Paul Ryan, a numeroase personalități publice și politice și chiar a propriului său director de informații naționale, Trump a spus că nu vede niciun motiv pentru care Rusia ar încerca să influențeze alegerile.
Ulterior, el a dat înapoi acea afirmație, afirmând că acceptă concluziile comunității de informații despre care Rusia s-a amestecat în alegerile din 2016, dar a mai spus că ar putea fi și alte persoane, reiterându-și afirmațiile că nu a existat nicio coluziune.
Acuzațiile vin în contextul unei agresiuni tot mai mari a Rusiei pe scena globală; țara controlează în continuare Peninsula Crimeea pe care a confiscat-o cu forța în 2014, există pretenții că ar fi avut o mână în orchestrarea victoriei Vote Leave în referendumul Brexit, iar Marea Britanie a acuzat Rusia de otrăvirea oamenilor pe solul britanic folosind agenți nervoși mortali.
Vezi legat Top zece tehnici de cracare a parolelor folosite de hackeri
În ciuda protestelor lui Trump, comunitățile de securitate cibernetică și informații sunt de acord aproape în unanimitate că Rusia a furat alegerile din 2016, folosind o campanie de război informatic și informatic sofisticat pentru a asigura rezultatul dorit.
Dar dacă da, cum au făcut-o?
Datorită rechizitoriului emis împotriva agenților ruși, avem acum o idee destul de bună despre modul în care ar fi fost efectuat hack-ul. Depunerea lui Mueller include detalii precum date, metode și vectori de atac, permițându-ne să construim o cronologie detaliată a modului în care exact 12 bărbați ruși au deraiat cea mai puternică democrație din lume. Acest articol explorează modul în care s-ar fi putut întâmpla, pe baza acuzațiilor prezentate în rechizitoriul lui Mueller.
CITIȚI NEXT: Conturile rusești au cheltuit 76.000 de lire sterline pentru reclamele electorale din 2016
Țintele
Obiectivul guvernului rus în timpul alegerilor din 2016 pare clar: să faciliteze ridicarea lui Donald J Trump la funcția de președinte al Statelor Unite, prin orice mijloace necesare.
Pentru a face acest lucru, rușii au trebuit să găsească o modalitate de a-l scoate din candidat pe candidatul său rival, ceea ce i-a determinat să vizeze patru partide principale cu o campanie de hacking sofisticată și pe termen lung.
DCCC
Comitetul Campaniei Congresului Democrat (sau „D-trip”, așa cum este cunoscut în mod colocvial) este responsabil pentru obținerea cât mai multor democrați aleți în Camera Reprezentanților SUA, oferind sprijin, îndrumare și finanțare potențialilor candidați în cursele congresului.
DNC
Organul de conducere al Partidului Democrat al Statelor Unite, Comitetul Național Democrat este responsabil de organizarea strategiei generale a democraților, precum și de organizarea nominalizării și confirmării candidatului la președinție al partidului la fiecare alegere.
Hillary Clinton
Fostul secretar de stat sub conducerea lui Obama, Hillary Clinton l-a învins pe Bernie Sanders pentru a deveni candidatul la președinția democraților la alegerile din 2016, aducând-o în vizorul lui Donald Trump și al guvernului rus.
John Podesta
Un veteran de lungă durată al politicii DC, John Podesta a slujit sub președinții democrați anteriori, înainte de a acționa ca președinte al campaniei prezidențiale din 2016 a lui Hillary Clinton.
GRU Doisprezece
Toți cei doisprezece hackeri suspectați lucrează pentru GRU - organizația de elită a serviciilor de informații externe ale guvernului rus. Toți sunt ofițeri militari de ranguri diferite și toți au făcut parte din unități însărcinate special cu pervertirea cursului alegerilor.
Potrivit rechizitoriului lui Mueller, Unitatea 26165 era însărcinată cu piratarea DNC, DCCC și a persoanelor afiliate campaniei lui Clinton. Aparent, unitatea 74455 a fost însărcinată să acționeze în calitate de propagandiști ascunși, să scape de documente furate și să publice conținut anti-Clinton și antidemocrat prin diferite canale online.
Profesioniștii în securitate ar putea fi mai familiarizați cu numele de cod date acestor două unități atunci când au fost descoperite pentru prima dată în 2016: Cozy Bear și Fancy Bear.
Se afirmă că cei 12 hackeri implicați sunt:
| Nume | Rol | Rang |
| Viktor Borisovici Netyksho | Comandant al unității 26165, responsabil pentru piratarea DNC și a altor ținte | Necunoscut |
| Boris Alekseyevich Antonov | Supravegheat campanii de spearphishing pentru Unitatea 26165 | Major |
| Dmitry Sergeyevich Badin | Asistent șef de departament la Antonov | Necunoscut |
| Ivan Sergheievici Iermakov | A efectuat operațiuni de hacking pentru Unitatea 26165 | Necunoscut |
| Aleksey Viktorovich Lukashev | A efectuat atacuri de spearphishing pentru Unitatea 26165 | Locotenentul 2 |
| Serghei Aleksandrovici Morgachev | A supervizat dezvoltarea și gestionarea programelor malware pentru Unitatea 26165 | locotenent colonel |
| Nikolay Yuryevich Kozachek | Programe malware dezvoltate pentru Unitatea 26165 | Locotenent căpitan |
| Pavel Vyacheslavovich Iershov | Malware testat pentru unitatea 26165 | Necunoscut |
| Artem Andreyevich Malyshev | Programele malware monitorizate pentru Unitatea 26165 | Locotenentul 2 |
| Aleksandr Vladimirovich Osadchuk | Comandantul unității 74455, responsabil pentru scurgerea documentelor furate | Colonel |
| Aleksey Aleksandrovich Potemkin | Administrarea supravegheată a infrastructurii IT | Necunoscut |
| Anatoliy Sergeyevich Kovalev | A efectuat operațiuni de hacking pentru Unitatea 74455 | Necunoscut |
CITIȚI NEXT: Companiile de tehnologie care vă divulgă datele către guvern
Cum a fost planificat hack-ul
Cheia oricărui atac cibernetic de succes este planificarea și recunoașterea, astfel încât prima sarcină pentru agenții Unității 26165 a fost identificarea punctelor de slăbiciune din infrastructura campaniei Clinton - puncte slabe care pot fi apoi exploatate.
15 martie:
Ivan Yermakov începe scanarea infrastructurii DNC pentru a identifica dispozitivele conectate. De asemenea, începe să efectueze cercetări în rețeaua DNC, precum și cercetări în Clinton și democrații în general.
19 martie:
John Podesta se îndrăgostește de un e-mail spearphishing creat de Aleksey Lukashev și deghizat în alertă de securitate Google, oferindu-le rușilor acces la contul său personal de e-mail. În aceeași zi, Lukashev folosește atacuri de spearphishing pentru a viza alți oficiali înalți ai campaniei, inclusiv managerul campaniei Robby Mook.
21 martie:
Contul personal de e-mail al lui Podesta este curățat de Lukashev și Yermakov; se descurcă cu peste 50.000 de mesaje în total.
28 martie:
Campania de succes a lui Lukashev spearphishing duce la furtul acreditării de conectare prin e-mail și la mii de mesaje de la diverse persoane conectate la campania lui Clinton.
6 aprilie:
Rușii creează o adresă de e-mail falsă pentru o figură cunoscută din tabăra Clinton, cu o singură diferență de litere față de numele persoanei respective. Această adresă de e-mail este apoi utilizată de Lukashev pentru a înșelă cel puțin 30 de angajați din campanie, iar un angajat DCCC este păcălit să predea acreditările sale de conectare.
CITIȚI NEXT: Cum a dezgropat Google dovezi ale amestecului în alegerile din SUA din Rusia
Cum a fost încălcat DNC
Lucrarea inițială de pregătire acum s-a încheiat, rușii aveau o poziție puternică în rețeaua democraților datorită unei campanii de spearphishing extrem de eficiente. Următorul pas a fost să valorificăm acest punct de sprijin pentru a avea acces în continuare.
7 aprilie:
Ca și în cazul recunoașterii inițiale din martie, Yermakov cercetează dispozitivele conectate din rețeaua DCCC.
12 aprilie:
Folosind acreditările furate de la un angajat DCCC nedorit, rușii au acces la rețelele interne ale DCCC. Între aprilie și iunie, ei instalează diferite versiuni ale unui malware denumit „X-Agent” - care permite înregistrarea de la distanță a tastelor și capturarea ecranului dispozitivelor infectate - pe cel puțin zece computere DCCC.
Acest malware transmite date de pe computerele afectate către un server din Arizona închiriat de ruși, la care se referă ca un panou AMS. Din acest panou, ei își pot monitoriza și gestiona de la distanță programele malware.
14 aprilie:
Pe o perioadă de opt ore, rușii folosesc X-Agent pentru a fura parolele pentru strângerea de fonduri DCCC și programele de informare a alegătorilor, cererile de acuzare ale lui Mueller, precum și pentru monitorizarea comunicărilor între angajații DCCC care includeau informații personale și detalii bancare. Conversațiile includ, de asemenea, informații despre finanțele DCCC.
15 aprilie:
Rușii caută unul dintre PC-urile DCCC pirate pentru diferiți termeni cheie, inclusiv „Hillary”, „Cruz” și „Trump”. De asemenea, copiază foldere cheie, cum ar fi unul etichetat „Investigații Benghazi”.
18 aprilie:
poți acasă Google mini pentru a reda muzică Amazon
Rețeaua DNC este încălcată de ruși, care au acces folosind acreditările unui membru DCCC cu permisiunea de a accesa sistemele DNC.
19 aprilie:
Yershov și Nikolay Kozachek aparent au instalat un al treilea computer în afara SUA, pentru a acționa ca un releu între panoul AMS din Arizona și malware-ul X-Agent pentru a ofunda conexiunea dintre cele două.
22 aprilie:
Mai multe gigaocteți de date furate de pe computerele DNC sunt comprimate într-o arhivă. Aceste date includ cercetări de opoziție și planuri pentru operațiuni pe teren. În săptămâna viitoare, rușii folosesc o altă piesă malware personalizată - „X-Tunnel” - pentru a exfiltra aceste date din rețeaua DNC către o altă mașină închiriată din Illinois, prin conexiuni criptate.
13 mai:
La un moment dat, în luna mai, atât DNC, cât și DCCC devin conștienți că au fost compromise. Organizațiile angajează firma de securitate cibernetică CrowdStrike pentru a elimina hackerii din sistemele lor, în timp ce rușii încep să ia măsuri pentru a-și ascunde activitățile, cum ar fi ștergerea jurnalelor de evenimente de pe anumite mașini DNC.
25 mai:
Pe parcursul unei săptămâni, rușii ar fi furat mii de e-mailuri din conturile de lucru ale angajaților DNC după ce au intrat în Microsoft Exchange Server al DNC, în timp ce Yermakov cercetează comenzile PowerShell pentru accesarea și rularea Exchange Server.
31 mai:
Yermakov începe să efectueze cercetări cu privire la CrowdStrike și investigația sa asupra X-Agent și X-Tunnel, probabil într-un efort de a vedea cât de mult știe compania.
1 iunie:
A doua zi, rușii încearcă să folosească CCleaner - un instrument freeware conceput pentru a elibera spațiu pe hard disk - pentru a distruge dovezile activității lor în rețeaua DCCC.
CITIȚI NEXT: Este Rusia în spatele unei campanii globale de hacking în încercarea de a fura secretele oficiale?
Nașterea lui Guccifer 2.0
Rușii au acum exfiltrat o cantitate substanțială de date din DNC. Aceste informații, combinate cu tezaurul e-mailurilor personale ale lui Podesta, le oferă toate munițiile de care au nevoie pentru a ataca campania lui Clinton.
8 iunie:
DCLeaks.com este lansat, presupus de ruși, împreună cu paginile de Facebook și conturile Twitter, ca o modalitate de diseminare a materialului pe care l-au furat de la Podesta și DNC. Site-ul susține că este condus de hacktiviști americani, însă rechizitoriul lui Mueller susține că aceasta este o minciună.
14 iunie:
CrowdStrike și DNC dezvăluie că organizația a fost piratată și acuză public guvernul rus. Rusia neagă orice implicare în atac. Pe parcursul lunii iunie, CrowdStrike începe să ia măsuri pentru a atenua hack-ul.
15 iunie:
Ca răspuns la acuzația lui CrowdStrike, rușii creează personajul lui Guccifer 2.0 ca un paravan de fum, susține Mueller, destinat să semene îndoieli cu privire la implicarea Rusiei în hacks. Poziționându-se ca un singur hacker român, echipa de ruși își merită atacul.
Doar cine este Guccifer?
În timp ce Guccifer 2.0 este un personaj fictiv creat de agenții ruși, se bazează de fapt pe o persoană reală. Originalul Guccifer a fost un autentic hacker român care a câștigat notorietate în 2013 după ce a lansat fotografii ale lui George W. Bush care au fost pirate din contul AOL al surorii sale. Numele, spune el, este un portmanteau de „Gucci” și „Lucifer”.
În cele din urmă, a fost arestat sub suspiciunea că a piratat un număr de oficiali români și a fost extrădat în SUA. Se presupune că rușii sperau că oficialii vor presupune că el este și el în spatele acțiunilor lui Guccifer 2.0, în ciuda faptului că el a pledat deja vinovat de acuzațiile federale în luna mai.
20 iunie:
În acest moment, rușii au obținut acces la 33 de puncte finale DNC. Între timp, CrowdStrike a eliminat toate instanțele X-Agent din rețeaua DCCC - deși cel puțin o versiune a X-Agent va rămâne activă în sistemele DNC până în octombrie.
Rușii petrec mai mult de șapte ore încercând fără succes să se conecteze la instanțele lor X-Agent cu rețeaua DCCC, precum și încercând să folosească acreditările furate anterior pentru a-l accesa. De asemenea, elimină jurnalele de activitate ale panoului AMS, inclusiv toate istoricul de conectare și datele de utilizare.
22 iunie:
WikiLeaks ar fi trimis un mesaj privat către Guccifer 2.0 cerându-i să trimită orice material nou legat de Clinton și democrații, afirmând că acesta va avea un impact mult mai mare decât ceea ce faceți.
18 iulie:
WikiLeaks confirmă primirea unei arhive de 1 GB de date DNC furate și afirmă că va fi lansat în săptămână.
22 iulie:
Conform cuvântului său, WikiLeaks lansează peste 20.000 de e-mailuri și documente furate de la DNC, cu doar două zile înainte de Convenția Națională Democrată. Cel mai recent e-mail lansat de WikiLeaks este datat din 25 mai - aproximativ în aceeași zi în care serverul Exchange al DNC a fost piratat.
CITIȚI NEXT WikiLeaks spune că CIA poate folosi televizoare inteligente pentru a spiona proprietarii
27 iulie:
În timpul unei conferințe de presă, candidatul la președinție, Donald Trump, solicită direct și în mod specific guvernului rus să localizeze o tranșă de e-mailuri personale ale lui Clinton.
În aceeași zi, rușii vizează conturile de e-mail utilizate de biroul personal al lui Clinton și găzduite de un furnizor terț.
15 august:
În plus față de WikiLeaks, Guccifer 2.0 furnizează, de asemenea, o serie de alți beneficiari cu informații furate. Se pare că aceasta include un candidat la Congresul SUA, care cere informații referitoare la adversarul lor. În această perioadă, rușii folosesc și Guccifer 2.0 pentru a comunica cu o persoană care este în contact regulat cu membrii de vârf ai campaniei Trump.
22 aug:
Guccifer 2.0 trimite 2,5 GB de date furate (inclusiv înregistrări ale donatorilor și informații de identificare personală asupra a peste 2.000 de donatori democrați) către un lobbyist de stat înregistrat atunci și o sursă online de știri politice.
Șapte:
La un moment dat, în septembrie, rușii au acces la un serviciu cloud care conține aplicații de testare pentru analiza datelor DNC. Folosind propriile instrumente încorporate ale serviciului cloud, acestea creează instantanee ale sistemelor, apoi le transferă în conturi pe care le controlează.
7 octombrie:
WikiLeaks lansează primul lot de e-mailuri ale lui Podesta, provocând controverse și revoltă în mass-media. În luna următoare, organizația va elibera toate cele 50.000 de e-mailuri care ar fi fost furate din contul său de Lukashev.
28 oct:
Kovalev și tovarășii săi vizează birourile de stat și județene responsabile de administrarea alegerilor în state cheie swing, inclusiv Florida, Georgia și Iowa, statele de acuzare ale lui Mueller.
Noiembrie:
În prima săptămână a lunii noiembrie, chiar înainte de alegeri, Kovalev folosește un cont de e-mail falsificat pentru lance phish peste 100 de ținte care sunt implicați în administrarea și supravegherea alegerilor din Florida - unde Trump a câștigat cu 1,2%. E-mailurile sunt concepute pentru a arăta ca și cum ar fi venit de la un furnizor de software care oferă sisteme de verificare a alegătorilor, o companie pe care Kovalev a spart-o în august, susține Mueller.
8 noiembrie:
Contrar previziunilor despre experți și sondaje, starul reality TV Donald Trump câștigă alegerile și devine președintele Statelor Unite.
CITIȚI NEXT: de 16 ori în care cetățeanul Trump l-a ars pe președintele Trump
Ce se intampla acum?
Deși acesta este, fără îndoială, un moment de referință atât în geopolitica globală, cât și în securitatea cibernetică, mulți experți au remarcat că acuzarea celor 12 agenți GRU este un gest aproape în întregime simbolic și este puțin probabil să conducă la arestări.
Rusia nu are niciun tratat de extrădare cu SUA, deci nu are nicio obligație să predea acuzații către Mueller. Acesta este, de altfel, același motiv pentru care denunțătorul NSA Edward Snowden a fost limitat în Rusia în ultimii ani.
Intenția, au sugerat unele surse, este ca aceste rechizitoriile să acționeze ca un avertisment, informând Rusia (și lumea) că SUA avansează cu ancheta.
Prin acțiune, procuratura poate pune în domeniul public faptele și / sau acuzațiile constatate de marele juriu, a declarat avocatul apărării penale Jean-Jacques Cabou Ars Technica . Aici, publicul în general poate fi un public destinat. Dar procurorii desigilează și rechizitoriile pentru a trimite un mesaj către alte ținte.
Ancheta lui Mueller este de așteptat să continue.
Acest articol a apărut inițial pe site-ul surorii Alphr IT Pro.
