Autor: Adam Shepherd
Príbeh o tom, ako 12 hackerov údajne poškodilo najmocnejšiu demokraciu na svete, aby dostal Donalda Trumpa na vrchol
Po viac ako dvoch rokoch obviňovania, obviňovania, popierania a špekulácií ho vyšetrovanie možného zasahovania do amerických prezidentských volieb v roku 2016, ktoré viedol americký prezident Robert Mueller, viedlo k Rusku. V rámci rozsiahleho skúmania vplyvu ruských štátnych aktérov na voľby ministerstvo spravodlivosti formálne obvinilo 12 príslušníkov ruského vojenského spravodajstva z rôznych trestných činov hackerstva.
Prezident Vladimir Putin poprel všetky priestupky v mene Ruska a jeho agentov a verejne ho podporil prezident Trump. Napriek odsúdeniu hovorcu Snemovne reprezentantov USA Paula Ryana, mnohých verejných a politických činiteľov a dokonca aj jeho vlastného riaditeľa národného spravodajstva, Trump uviedol, že nevidí žiadny dôvod, prečo by sa Rusko pokúsilo ovplyvniť voľby.
Následne toto tvrdenie ustúpil a uviedol, že prijíma závery spravodajskej komunity, do ktorých sa Rusko miešalo vo voľbách v roku 2016, ale zároveň uviedol, že to môžu byť aj ďalší ľudia, a zopakoval svoje tvrdenia, že vôbec nedošlo k nijakej tajnej dohode.
Obvinenia prichádzajú na pozadí rastúcej ruskej agresie na globálnej scéne; krajina stále ovláda Krymský polostrov, ktorý sa zmocnila silou v roku 2014, existujú tvrdenia, že mala ruku v ruke s organizáciou víťazstva Hlasovania o voľbe v referende o brexite a Spojené kráľovstvo obvinilo Rusko z otravy ľudí na britskej pôde smrtiacimi nervovými látkami.
Pozri súvisiace Desať najlepších techník na prelomenie hesla, ktoré používajú hackeri
Napriek Trumpovým protestom sa kybernetická bezpečnosť a spravodajské komunity takmer jednomyseľne zhodli na tom, že Rusko ukradlo voľby v roku 2016, pričom na zabezpečenie požadovaného výsledku použili kampaň sofistikovanej kybernetickej a informačnej vojny.
Ale ak áno, ako to dokázali?
Vďaka obžalobe vznesenej proti ruským agentom máme teraz celkom dobrú predstavu o tom, ako sa hacker údajne uskutočnil. Muellerova registrácia obsahuje podrobnosti, ako sú dátumy, metódy a vektory útokov, čo nám umožňuje zostaviť podrobnú časovú os o tom, ako presne 12 ruských mužov mohlo vykoľajiť najsilnejšiu demokraciu na svete. Tento článok skúma, ako sa to mohlo stať, na základe obvinení uvedených v Muellerovej obžalobe.
PREČÍTAJTE SI ĎALŠIE: Ruské účty minuli predvolebné reklamy v roku 2016 76 000 libier
Ciele
Cieľ ruskej vlády počas volieb v roku 2016 sa javí ako jasný: uľahčiť povýšenie Donalda J. Trumpa na kanceláriu prezidenta USA, a to akýmikoľvek potrebnými prostriedkami.
Aby to mohli urobiť, potrebovali Rusi nájsť spôsob, ako dostať svojho konkurenčného kandidáta z predstavenstva, čo ich viedlo k zameraniu sa na štyri hlavné strany pomocou sofistikovanej a dlhodobej hackerskej kampane.
DCCC
Výbor pre demokratickú kampaň v Kongrese (alebo „D-trip“, ako je ľudovo známy) je zodpovedný za získanie čo najväčšieho počtu demokratov zvolených do Snemovne reprezentantov USA, ako je to možné, a poskytuje podporu, vedenie a financovanie potenciálnym kandidátom v kongresových pretekoch.
DNC
Riadiaci orgán Demokratickej strany USA, Demokratický národný výbor, je zodpovedný za organizáciu celkovej stratégie demokratov, ako aj za organizáciu nominácie a potvrdenia kandidáta na prezidenta v každej voľbe.
Hillary Clintonová
Bývalá ministerka zahraničných vecí Obamu Hillary Clintonová porazila Bernieho Sandersa, ktorý sa stal prezidentským kandidátom demokratov vo voľbách v roku 2016, čím sa dostala do povedomia Donalda Trumpa a ruskej vlády.
Ján Podesta
John Podesta, dlhoročný veterán z politiky DC, pôsobil v predchádzajúcich dvoch demokratických prezidentoch predtým, ako pôsobil ako predseda prezidentskej kampane Hillary Clintonovej v roku 2016.
GRU dvanásť
Všetkých dvanásť podozrivých hackerov pracuje pre GRU - elitnú zahraničnú spravodajskú organizáciu ruskej vlády. Všetci sú vojenskými dôstojníkmi rôznych hodností a všetci boli súčasťou jednotiek osobitne poverených zvrátením priebehu volieb.
Podľa Muellerovej obžaloby bola jednotka 26165 zodpovedná za hacknutie DNC, DCCC a osôb zapojených do Clintonovej kampane. Jednotka 74455 mala zjavne za úlohu pôsobiť ako skrytí propagandisti, zverejňovať ukradnuté dokumenty a zverejňovať obsah proti Clintonovi a Demokratom prostredníctvom rôznych online kanálov.
Bezpečnostní pracovníci môžu byť viac oboznámení s krycími názvami, ktoré dostali tieto dve jednotky, keď boli prvýkrát objavené v roku 2016: Cosy Bear a Fancy Bear.
O 12 zúčastnených hackeroch sa tvrdí, že sú:
názov | Rola | Poradie |
Viktor Borisovič Netyksho | Veliteľ jednotky 26165 zodpovedný za hacknutie DNC a ďalších cieľov | Neznáme |
Boris Alekseyevich Antonov | Dohliadali na spearphishingové kampane pre jednotku 26165 | Major |
Dmitrij Sergejevič Badin | Asistent vedúceho katedry v Antonove | Neznáme |
Ivan Sergejevič Yermakov | Vykonal hackerské operácie pre jednotku 26165 | Neznáme |
Aleksey Viktorovič Lukašev | Vedené útoky typu spearphishing na jednotku 26165 | 2. poručík |
Sergej Aleksandrovič Morgachev | Dohliadal na vývoj a správu škodlivého softvéru pre jednotku 26165 | podplukovník |
Nikolay Yuryevich Kozachek | Vyvinutý malware pre jednotku 26165 | Kapitán poručíka |
Pavel Vyacheslavovič Yershov | Testovaný malware pre jednotku 26165 | Neznáme |
Artem Andrejevič Malyšev | Monitorovaný malware pre jednotku 26165 | 2. poručík |
Aleksandr Vladimirovič Osadčuk | Veliteľ jednotky 74455 zodpovedný za únik ukradnutých dokumentov | Plukovník |
Aleksey Aleksandrovič Potemkin | Kontrolovaná správa IT infraštruktúry | Neznáme |
Anatolij Sergejevič Kovalev | Vykonal hackerské operácie pre jednotku 74455 | Neznáme |
PREČÍTAJTE SI ĎALŠIE: Technologické spoločnosti poskytujúce vaše údaje vláde
Ako bol hack naplánovaný
Kľúčom k úspešnému kybernetickému útoku je plánovanie a prieskum, takže prvou úlohou pre agentov jednotky 26165 bolo zistiť slabé miesta v infraštruktúre Clintonovej kampane - slabiny, ktoré je možné následne zneužiť.
15. marca:
Ivan Yermakov začína skenovať infraštruktúru DNC s cieľom identifikovať pripojené zariadenia. Začína tiež uskutočňovať výskum v sieti DNC, ako aj vo výskume Clintonovej a demokratov všeobecne.
19. marca:
John Podesta sa zamiluje na podvodný e-mail, ktorý údajne vytvoril Aleksey Lukashev a bol maskovaný ako bezpečnostné upozornenie spoločnosti Google, vďaka čomu dostali Rusi prístup k jeho osobnému e-mailovému účtu. V ten istý deň Lukašev používa útoky typu spearphishing na zacielenie na ďalších vysokých funkcionárov kampane, vrátane manažéra kampane Robby Mooka.
21. marca:
Osobný e-mailový účet Podesty vyčistili Lukašev a Yermakov; celkovo odchádzajú s viac ako 50 000 správ.
28. marca:
Lukaševova úspešná podvodná kampaň vedie k odcudzeniu prihlasovacích údajov do e-mailov a k tisícom správ od rôznych ľudí spojených s Clintonovou kampaňou.
6. apríla:
Rusi vytvárajú falošnú e-mailovú adresu pre známu osobnosť v tábore Clintonovcov, iba s jedným písmenovým rozdielom od mena osoby. Túto e-mailovú adresu potom použije Lukašev na podvádzanie phishingu najmenej 30 rôznych pracovníkov kampane a zamestnankyňa DCCC je podvedená, aby odovzdala svoje prihlasovacie údaje.
PREČÍTAJTE SI ĎALŠIE: Ako spoločnosť Google objavila dôkazy o zasahovaní ruských volieb do USA
Ako bolo porušené DNC
Počiatočné prípravné práce sú teraz hotové. Rusi sa vďaka vysoko účinnej kampani zameranej na oštepy stali silnou oporou siete demokratov. Ďalším krokom bolo využitie tejto opory na získanie ďalšieho prístupu.
7. apríla:
Rovnako ako pri prvom marcovom prieskume, Yermakov skúma pripojené zariadenia v sieti DCCC.
12. apríla:
Pomocou prihlasovacích údajov odcudzených nevedomému zamestnancovi DCCC získajú Rusi prístup do vnútorných sietí DCCC. Od apríla do júna inštalujú najmenej na desať počítačov DCCC rôzne verzie škodlivého softvéru s názvom „X-Agent“, ktorý umožňuje vzdialené zaznamenávanie klávesov a snímanie obrazovky infikovaných zariadení.
Tento malware prenáša údaje z postihnutých počítačov na arizonský server prenajatý Rusom, ktorý označujú ako panel AMS. Na tomto paneli môžu vzdialene monitorovať a spravovať svoj malvér.
14. apríla:
Počas osemhodinového obdobia Rusi používajú agenta X-Agent na kradnutie hesiel pre programy zhromažďovania finančných prostriedkov DCCC a programy oslovovania voličov, tvrdí Muellerova obžaloba, ako aj na monitorovanie komunikácie medzi zamestnancami DCCC, ktorá zahŕňala osobné informácie a bankové údaje. Konverzácie zahŕňajú aj informácie o financiách DCCC.
15. apríla:
Rusi hľadajú na jednom z napadnutých počítačov DCCC rôzne kľúčové výrazy, napríklad „Hillary“, „Cruz“ a „Trump“. Tiež kopírujú kľúčové priečinky, ako napríklad priečinok s názvom „Benghazi Investigations“.
18. apríla:
ako exportujem záložky google chrome
Sieť DNC je narušená Rusmi, ktorí získavajú prístup pomocou prihlasovacích údajov pracovníka DCCC s povolením prístupu do systémov DNC.
19. apríla:
Yershov a Nikolay Kozachek zjavne zriadili tretí počítač mimo USA, ktorý slúži ako sprostredkovateľ medzi arizonským panelom AMS a malvérom X-Agent s cieľom zamaskovať ich spojenie.
22. apríla:
Niekoľko gigabajtov údajov odcudzených z počítačov DNC sa skomprimuje do archívu. Tieto údaje zahŕňajú opozičný výskum a plány pre operácie v teréne. V priebehu budúceho týždňa Rusi použijú ďalší zakázaný malware - „X-Tunnel“ - na exfiltráciu týchto údajov zo siete DNC do iného prenajatého stroja v Illinois prostredníctvom šifrovaných pripojení.
13. mája:
V priebehu mája si DNC aj DCCC uvedomia, že boli kompromitované. Organizácie si najímajú firmu CrowdStrike zameranú na kybernetickú bezpečnosť, aby vyradila hackerov z ich systémov, zatiaľ čo Rusi začínajú podniknúť kroky na utajenie svojich aktivít, napríklad vymazanie protokolov udalostí z určitých strojov DNC.
25. mája:
V priebehu týždňa údajne Rusi po hacknutí do servera Microsoft Exchange Server od DNC ukradli tisíce pracovných e-mailov z pracovných účtov zamestnancov DNC, zatiaľ čo Yermakov skúma príkazy PowerShellu pre prístup a spustenie Exchange Serveru.
31. mája:
Yermakov začína uskutočňovať výskum CrowdStrike a jeho vyšetrovania X-Agent a X-Tunnel, pravdepodobne v snahe zistiť, koľko toho spoločnosť vie.
1. júna:
Nasledujúci deň sa Rusi pokúsia použiť CCleaner - freewarový nástroj určený na uvoľnenie miesta na pevnom disku - na zničenie dôkazov o ich aktivite v sieti DCCC.
PREČÍTAJTE SI ĎALŠIE: Stojí Rusko za globálnou hackerskou kampaňou v snahe ukradnúť oficiálne tajomstvá?
Narodenie Guccifera 2.0
Rusi teraz vyfiltrovali značné množstvo údajov z DNC. Tieto informácie v kombinácii s pokladom osobných e-mailov Podesty im dávajú všetku muníciu, ktorú potrebujú na útok na Clintonovu kampaň.
8. júna:
Stránka DCLeaks.com je spustená údajne Rusmi spolu so zodpovedajúcimi stránkami na Facebooku a účtoch na Twitteri ako spôsob šírenia materiálu, ktorý ukradli z Podesty a DNC. Stránka tvrdí, že ju prevádzkujú americkí hacktivisti, ale Muellerova obžaloba tvrdí, že ide o lož.
14. júna:
CrowdStrike a DNC odhaľujú, že organizácia bola napadnutá hackermi, a verejne obviňujú ruskú vládu. Rusko popiera akékoľvek zapojenie sa do útoku. V priebehu júna CrowdStrike začína podniknúť kroky na zmiernenie hackingu.
15. júna:
V reakcii na obvinenie CrowdStrike vytvárajú Rusi charakter Gucciferu 2.0 ako dymovej clony, tvrdí Mueller, ktorá má v úmysle zasiať pochybnosti o ruskej účasti v hackeroch. Tím Rusov, ktorý vystupoval ako jediný rumunský hacker, si za útok zaslúži.
Kto je Guccifer?
Aj keď je Guccifer 2.0 fiktívna osobnosť vytvorená ruskými agentmi, v skutočnosti je založená na skutočnej osobe. Pôvodný Guccifer bol skutočný rumunský hacker, ktorý sa stal známym v roku 2013 po zverejnení fotografií Georga W. Busha, ktoré boli napadnuté hackerom z účtu jeho sestry AOL. Názov je podľa neho portrétom autorov „Gucci“ a „Lucifer“.
Nakoniec bol zatknutý pre podozrenie z hacknutia viacerých rumunských úradníkov a vydaný do USA. Rusi pravdepodobne dúfali, že úradníci predpokladajú, že stojí aj za činmi Guccifera 2.0, a to aj napriek tomu, že sa už v máji priznal k federálnym obvineniam.
20. júna:
V tomto bode získali Rusi prístup k 33 koncovým bodom DNC. CrowdStrike medzitým vylúčil všetky inštancie X-Agenta zo siete DCCC - hoci minimálne jedna verzia X-Agenta zostane v systémoch DNC aktívna až do októbra.
Rusi sa viac ako sedem hodín neúspešne pokúšajú pripojiť k svojim inštanciám X-Agent so sieťou DCCC, rovnako ako sa snažia pomocou predtým odcudzených údajov získať prístup. Vyčistia tiež denníky aktivít panelu AMS vrátane všetkej histórie prihlásenia a údajov o použití.
22. júna:
WikiLeaks údajne posielajú Gucciferovi 2.0 súkromnú správu so žiadosťou, aby zaslali akýkoľvek nový materiál týkajúci sa Clintona a demokratov s tým, že bude mať oveľa väčší dopad ako to, čo robíte.
18. júla:
WikiLeaks potvrdzuje prijatie 1 GB archívu ukradnutých údajov DNC a uvádza, že bude zverejnený do týždňa.
22. júla:
WikiLeaks, pravdivo povedané, vydáva viac ako 20 000 e-mailov a dokumentov odcudzených z DNC, len dva dni pred Demokratickým národným zhromaždením. Najnovší e-mail zverejnený spoločnosťou WikiLeaks je datovaný 25. mája - približne v ten istý deň, keď bol napadnutý server Exchange DNC.
PREČÍTAJTE SI ĎALŠIE: WikiLeaks hovorí, že CIA môže pomocou inteligentných televízorov špehovať vlastníkov
27. júla:
Počas tlačovej konferencie prezidentský kandidát Donald Trump priamo a konkrétne žiada, aby ruská vláda našla tranžu Clintonových osobných e-mailov.
V ten istý deň sa Rusi zameriavajú na e-mailové účty, ktoré používa Clintonova osobná kancelária a ktoré hosťuje poskytovateľ tretej strany.
15. augusta:
Okrem WikiLeaks poskytuje Guccifer 2.0 ukradnuté informácie aj mnohým ďalším príjemcom. Patrí sem zjavne kandidát na americký kongres, ktorý žiada o informácie týkajúce sa ich oponenta. V tomto období Rusi tiež používajú Guccifer 2.0 na komunikáciu s jednotlivcom, ktorý je v pravidelnom kontakte s najvyššími členmi Trumpovej kampane.
22. augusta:
Guccifer 2.0 posiela 2,5 GB ukradnutých údajov (vrátane záznamov darcov a informácií umožňujúcich identifikáciu osôb o viac ako 2 000 demokratických darcoch) vtedajšiemu registrovanému štátnemu lobistovi a online zdroju politických správ.
Sedem:
Rusi niekedy v septembri získajú prístup k cloudovej službe, ktorá obsahuje testovacie aplikácie pre analýzu údajov DNC. Pomocou vlastných zabudovaných nástrojov cloudovej služby vytvárajú snímky systémov a potom ich prenášajú do účtov, ktoré ovládajú.
7. októbra:
WikiLeaks vydáva prvú várku e-mailov Podesty, čo vyvoláva kontroverzie a rozruch v médiách. V priebehu budúceho mesiaca organizácia zverejní všetkých 50 000 e-mailov, ktoré mu údajne ukradol Lukašev.
28. októbra:
Kovalev a jeho druhovia sa zameriavajú na štátne a krajské úrady zodpovedné za správu volieb v kľúčových štátoch s hojdačkou, ako sú Florida, Gruzínsko a Iowa, ktoré sú obžalovanými štátmi.
November:
Prvý novembrový týždeň, tesne pred voľbami, používa Kovalev podvodný e-mailový účet preštepte phish na viac ako 100 cieľov ktorí sa podieľajú na správe a dohľade nad voľbami na Floride - kde Trump vyhral o 1,2%. E-maily sú navrhnuté tak, aby vyzerali, akoby pochádzali od dodávateľa softvéru, ktorý poskytuje systémy overovania voličov, spoločnosti, ktorú Kovalev napadol v auguste, tvrdí Mueller.
8. novembra:
Na rozdiel od predpovedí odborníkov a anketárov vyhráva voľby televízna hviezda reality show Donald Trump, ktorá sa stáva prezidentom Spojených štátov.
PREČÍTAJTE SI ĎALŠIE: 16-krát, keď občan Trump upálil prezidenta Trumpa
Čo sa stane teraz?
Aj keď ide nepochybne o medzník v globálnej geopolitike aj v kybernetickej bezpečnosti, mnoho odborníkov poznamenalo, že obžaloba 12 agentov GRU je takmer výlučne symbolickým gestom a je nepravdepodobné, že by viedla k zatknutiu.
Rusko nemá s USA uzavretú zmluvu o vydávaní osôb, nie je preto povinné odovzdať obvinených mužov Muellerovi. Toto je mimochodom rovnaký dôvod, aký sa mal oznamovateľ NSA Edward Snowden v posledných rokoch obmedzovať na Rusko.
Podľa niektorých zdrojov je zámerom, aby tieto obžaloby slúžili ako výstraha a informovali Rusko (a svet) o tom, že USA vo svojom vyšetrovaní postupujú vpred.
Indikáciou môže prokuratúra zverejniť fakty a / alebo obvinenia, ktoré zistila veľká porota, uviedol obhajca trestnej činnosti Jean-Jacques Cabou. Ars Technica . V tomto prípade môže byť široká verejnosť jedným zamýšľaným publikom. Prokurátori ale tiež odpečatili obžaloby, aby poslali správu iným cieľom.
Očakáva sa, že Muellerovo vyšetrovanie bude pokračovať.
Tento článok sa pôvodne objavil na sesterskom webe Alphr IT Pro.