Adam Shepherd
Příběh o tom, jak 12 hackerů údajně poškodilo nejmocnější demokracii na světě, aby dostali Donalda Trumpa na vrchol
Po více než dvou letech obviňování, obviňování, popírání a spekulací ho vyšetřování zvláštního právního zástupce Roberta Muellera ohledně možného zasahování do amerických prezidentských voleb v roce 2016 přivedlo do Ruska. V rámci rozsáhlého průzkumu vlivu ruských státních aktérů na volby ministerstvo spravedlnosti formálně obvinilo 12 příslušníků ruských vojenských zpravodajských služeb z různých přestupků.
Prezident Vladimir Putin popřel veškerá provinění jménem Ruska a jeho agentů a byl veřejně podporován prezidentem Trumpem. Navzdory odsouzení mluvčího Sněmovny reprezentantů USA Paula Ryana, mnoha veřejných a politických osobností a dokonce i jeho vlastního ředitele národních zpravodajských služeb Trump řekl, že nevidí žádný důvod, proč by se Rusko pokusilo ovlivnit volby.
Následně ustoupil od tohoto tvrzení a uvedl, že přijímá závěry zpravodajské komunity, které Rusko zasáhlo do voleb v roce 2016, ale zároveň uvedl, že by to mohli být i další lidé, a zopakoval svá tvrzení, že k žádné tajné dohodě vůbec nedošlo.
Obvinění přicházejí na pozadí rostoucí ruské agresi na globální scéně; země stále ovládá Krymský poloostrov, kterého se zmocnila silou v roce 2014, existují tvrzení, že se podílela na organizaci vítězství Hlasovací dovolené v referendu o brexitu, a Spojené království obvinilo Rusko z otravy lidí na britské půdě smrtícími nervovými agenty.
Viz související Deset nejlepších technik prolomení hesla, které používají hackeři
Navzdory Trumpovým protestům se kybernetická bezpečnost a zpravodajské komunity téměř jednomyslně shodly na tom, že Rusko volby v roce 2016 ukradlo, a to pomocí kampaně sofistikované kybernetické a informační války k zajištění požadovaného výsledku.
Ale pokud ano, jak to udělali?
Díky obvinění vznesenému proti ruským agentům máme nyní docela dobrou představu o tom, jak byl hack údajně proveden. Muellerova dokumentace obsahuje podrobnosti, jako jsou data, metody a vektory útoků, což nám umožňuje sestavit podrobnou časovou osu o tom, jak přesně 12 ruských mužů mohlo vykolejit nejmocnější demokracii na světě. Tento článek zkoumá, jak se to mohlo stát, na základě obvinění uvedených v Muellerově obžalobě.
PŘEČTĚTE SI DALŠÍ: Ruské účty utratily za volební reklamy v roce 2016 76 000 liber
Cíle
Cíl ruské vlády během voleb v roce 2016 se zdá být jasný: usnadnit povýšení Donalda J. Trumpa na úřad prezidenta Spojených států, a to jakkoli nezbytnými prostředky.
Aby toho dosáhli, potřebovali Rusové najít způsob, jak dostat svého soupeře z rady, což je vedlo k cílení na čtyři hlavní strany pomocí sofistikované a dlouhodobé hackerské kampaně.
DCCC
Výbor pro demokratickou kongresovou kampaň (neboli „D-trip“, jak je hovorově známý) je odpovědný za získání co největšího počtu demokratů zvolených do Sněmovny reprezentantů USA, jak je to možné, a poskytuje podporu, vedení a financování potenciálním kandidátům v kongresových závodech.
DNC
Řídící orgán Demokratické strany Spojených států, Demokratický národní výbor, má na starosti organizaci celkové strategie demokratů, jakož i organizaci jmenování a potvrzování kandidáta na prezidenta strany při každých volbách.
Hillary Clintonová
Bývalá ministryně zahraničí za Obamy Hillary Clintonová porazila Bernie Sandersovou, která se stala prezidentskou kandidátkou demokratů ve volbách v roce 2016, čímž se dostala do nitra Donalda Trumpa a ruské vlády.
John Podesta
John Podesta, dlouholetý veterán politiky DC, působil u předchozích dvou demokratických prezidentů, předtím působil jako předseda prezidentské kampaně Hillary Clintonové v roce 2016.
GRU dvanáct
Všech dvanáct podezřelých hackerů pracuje pro GRU - elitní zahraniční zpravodajskou organizaci ruské vlády. Všichni jsou vojenští důstojníci v různých řadách a všichni byli součástí jednotek, jejichž úkolem bylo zvrátit průběh voleb.
Podle Muellerovy obžaloby byla jednotka 26165 odpovědná za hackování DNC, DCCC a jednotlivců přidružených k Clintonově kampani. Jednotka 74455 měla zjevně za úkol působit jako skrytí propagandisté, prosakovat ukradené dokumenty a publikovat anti-Clintonův a antidemokratický obsah prostřednictvím různých online kanálů.
Bezpečnostní profesionálové mohou znát kódové názvy těchto dvou jednotek, když byly poprvé objeveny v roce 2016: Cozy Bear a Fancy Bear.
O 12 zúčastněných hackerech se tvrdí, že jsou:
| název | Role | Hodnost |
| Viktor Borisovič Netyksho | Velitel jednotky 26165 odpovědný za hacknutí DNC a dalších cílů | Neznámý |
| Boris Alekseyevich Antonov | Dohlížel na spearphishingové kampaně pro jednotku 26165 | Hlavní, důležitý |
| Dmitrij Sergejevič Badin | Asistent vedoucí katedry u Antonova | Neznámý |
| Ivan Sergejevič Yermakov | Provedl hackerské operace pro jednotku 26165 | Neznámý |
| Aleksey Viktorovich Lukašev | Provedl spearphishing útoky pro jednotku 26165 | 2. poručík |
| Sergey Aleksandrovich Morgachev | Dohlížel na vývoj a správu malwaru pro jednotku 26165 | podplukovník |
| Nikolay Yuryevich Kozachek | Vyvinutý malware pro jednotku 26165 | Kapitáne poručíku |
| Pavel Vyacheslavovich Yershov | Testovaný malware pro jednotku 26165 | Neznámý |
| Artem Andreyevich Malyshev | Monitorovaný malware pro jednotku 26165 | 2. poručík |
| Aleksandr Vladimirovich Osadchuk | Velitel jednotky 74455 odpovědný za únik odcizených dokumentů | Plukovník |
| Aleksey Aleksandrovich Potemkin | Kontrolovaná správa IT infrastruktury | Neznámý |
| Anatolij Sergejevič Kovalev | Provedl hackerské operace pro jednotku 74455 | Neznámý |
PŘEČTĚTE SI DALŠÍ: Technologické společnosti prozrazují vaše údaje vládě
Jak byl hack naplánován
Klíčem k jakémukoli úspěšnému kybernetickému útoku je plánování a průzkum, takže prvním úkolem operativců jednotky 26165 bylo zjistit slabiny v infrastruktuře Clintonovy kampaně - slabiny, které pak lze zneužít.
15. března:
Ivan Yermakov začíná skenovat infrastrukturu DNC za účelem identifikace připojených zařízení. Začíná také provádět výzkum v síti DNC, stejně jako výzkum Clintonové a demokratů obecně.
19. března:
John Podesta se zamiluje do podvodného e-mailu, který údajně vytvořil Aleksey Lukashev a který se maskuje jako bezpečnostní upozornění Google, což Rusům umožňuje přístup k jeho osobnímu e-mailovému účtu. Téhož dne Lukašev pomocí útoků kopím zaútočil na další vyšší funkcionáře kampaně, včetně manažera kampaně Robby Mooka.
21. března:
Osobní e-mailový účet Podesty vyčistili Lukašev a Yermakov; dělají celkem více než 50 000 zpráv.
28. března:
Lukaševova úspěšná spearphishing kampaň vede ke krádeži přihlašovacích údajů k e-mailu a tisícům zpráv od různých lidí spojených s Clintonovou kampaní.
6. dubna:
Rusové vytvořili falešnou e-mailovou adresu pro známou postavu v táboře Clinton, pouze s jedním písmenným rozdílem od jména osoby. Tuto e-mailovou adresu poté používá Lukašev k vyzvednutí phishu nejméně 30 různých zaměstnanců kampaně a zaměstnankyně DCCC je podvedena k předání svých přihlašovacích údajů.
PŘEČTĚTE SI DALŠÍ: Jak Google objevil důkazy o zasahování ruských voleb do USA
Jak bylo porušeno DNC
Počáteční přípravné práce jsou nyní dokončeny, Rusové měli silnou oporu v síti demokratů díky vysoce účinné kampani provádějící spearphishing. Dalším krokem bylo využití této opory k získání dalšího přístupu.
7. dubna:
Stejně jako při prvním průzkumu v březnu, Yermakov zkoumá připojená zařízení v síti DCCC.
12. dubna:
Pomocí přihlašovacích údajů odcizených nevědomému zaměstnanci DCCC získávají Rusové přístup do interních sítí DCCC. Mezi dubnem a červnem instalují různé verze malwaru s názvem „X-Agent“, který umožňuje vzdálené protokolování klíčů a snímání obrazovky infikovaných zařízení, alespoň na deseti počítačích DCCC.
Tento malware přenáší data z postižených počítačů na arizonský server pronajatý Rusy, který označují jako panel AMS. Z tohoto panelu mohou vzdáleně sledovat a spravovat svůj malware.
14. dubna:
Během osmi hodin Rusové pomocí X-Agenta ukradli hesla pro DCCC fundraisingové a volební programy, tvrdí Muellerova obžaloba, stejně jako monitorování komunikace mezi zaměstnanci DCCC, která zahrnovala osobní údaje a bankovní údaje. Konverzace také zahrnují informace o financích DCCC.
15. dubna:
Rusové hledají na jednom z napadených počítačů DCCC různé klíčové výrazy, například „Hillary“, „Cruz“ a „Trump“. Rovněž kopírují klíčové složky, například jednu s názvem „Benghazi Investigations“.
18. dubna:
nelze stáhnout video z fotografií Google
Síť DNC je narušena Rusy, kteří získávají přístup pomocí přihlašovacích údajů pracovníka DCCC s povolením přístupu do systémů DNC.
19. dubna:
Yershov a Nikolay Kozachek zřejmě založili třetí počítač mimo USA, aby fungoval jako přenos mezi arizonským panelem AMS a malwarem X-Agent, aby zmařil spojení mezi nimi.
22. dubna:
Několik gigabajtů dat odcizených z počítačů DNC je komprimováno do archivu. Tato data zahrnují výzkum opozice a plány polních operací. Během příštího týdne použijí Rusové další vlastní malware - „X-Tunnel“ - k exfiltraci těchto dat ze sítě DNC na další pronajatý stroj v Illinois pomocí šifrovaných připojení.
13. května:
Někdy v květnu si DNC i DCCC uvědomili, že byly kompromitovány. Organizace najímají společnost CrowdStrike pro kybernetickou bezpečnost, aby vykořenila hackery ze svých systémů, zatímco Rusové začínají podnikat kroky k utajení svých aktivit, například vymazání protokolů událostí z určitých strojů DNC.
25. května:
V průběhu týdne Rusové údajně po hacknutí do Microsoft Exchange Serveru DNC ukradli tisíce pracovních e-mailů z pracovních účtů zaměstnanců DNC, zatímco Yermakov zkoumá příkazy PowerShellu pro přístup a spuštění Exchange Serveru.
31. května:
Yermakov začíná provádět výzkum CrowdStrike a jeho vyšetřování X-Agent a X-Tunnel, pravděpodobně ve snaze zjistit, kolik toho společnost ví.
1. června:
Následujícího dne se Rusové pokoušejí použít CCleaner - freewarový nástroj určený k uvolnění místa na pevném disku - ke zničení důkazů o jejich aktivitě v síti DCCC.
PŘEČTĚTE SI DALŠÍ: Stojí Rusko za globální hackerskou kampaní ve snaze ukrást oficiální tajemství?
Zrození Guccifera 2.0
Rusové nyní vyfiltrovali značné množství dat z DNC. Tyto informace v kombinaci s pokladem osobních e-mailů Podesty jim dávají veškerou munici, kterou potřebují k útoku na Clintonovu kampaň.
8. června:
DCLeaks.com je spuštěn, údajně Rusy, spolu s odpovídajícími stránkami Facebooku a účty Twitter, jako způsob šíření materiálu, který ukradli z Podesty a DNC. Stránka tvrdí, že ji provozují američtí hacktivisté, ale Muellerova obžaloba tvrdí, že jde o lež.
14. června:
CrowdStrike a DNC odhalují, že organizace byla napadena hackery, a veřejně obviňují ruskou vládu. Rusko popírá jakoukoli účast na útoku. V průběhu června začne CrowdStrike podnikat kroky ke zmírnění hackingu.
15. června:
V reakci na obvinění CrowdStrikeho Rusové vytvářejí charakter Gucciferu 2.0 jako kouřovou clonu, tvrdí Mueller, který má v úmyslu zasít pochybnosti o ruském zapojení do hacků. Tým Rusů, který vystupoval jako jediný rumunský hacker, má za útok zásluhy.
Kdo je Guccifer?
Zatímco Guccifer 2.0 je fiktivní osobnost vytvořená ruskými agenty, ve skutečnosti je založena na skutečné osobě. Původní Guccifer byl skutečný rumunský hacker, který se proslavil v roce 2013 poté, co vydal fotografie George W. Bushe, které byly hacknuty z účtu jeho sestry AOL. Jméno, jak říká, je portmanteau „Gucci“ a „Lucifer“.
Nakonec byl zatčen pro podezření z hackerství řady rumunských úředníků a vydán do USA. Rusové pravděpodobně doufali, že úředníci předpokládají, že je také za akcí Guccifer 2.0, a to navzdory skutečnosti, že se již v květnu přiznal k federálním obviněním.
20. června:
V tomto bodě získali Rusové přístup k 33 koncovým bodům DNC. CrowdStrike mezitím odstranil všechny instance X-Agent ze sítě DCCC - ačkoli alespoň jedna verze X-Agenta zůstane v systémech DNC aktivní až do října.
Rusové tráví více než sedm hodin neúspěšným pokusem o připojení k jejich instancím X-Agent se sítí DCCC, stejně jako se snaží použít dříve odcizené přihlašovací údaje k přístupu. Rovněž vyčistí protokoly aktivit panelu AMS, včetně veškeré historie přihlášení a údajů o použití.
22. června:
WikiLeaks údajně zasílá soukromou zprávu Gucciferovi 2.0 s požadavkem, aby zasílali jakýkoli nový materiál týkající se Clintona a demokratů s tím, že bude mít mnohem větší dopad než to, co děláte.
18. července:
WikiLeaks potvrzuje přijetí 1GB archivu odcizených dat DNC a uvádí, že bude vydán do týdne.
22. července:
Přesně řečeno, WikiLeaks vydává více než 20 000 e-mailů a dokumentů odcizených z DNC, pouhé dva dny před Demokratickým národním shromážděním. Nejnovější e-mail vydaný WikiLeaks je datován 25. května - přibližně ve stejný den, kdy došlo k napadení Exchange Serveru DNC.
PŘEČTĚTE SI DALŠÍ: WikiLeaks říká, že CIA může pomocí inteligentních televizí špehovat vlastníky
27. července:
Během tiskové konference prezidentský kandidát Donald Trump přímo a konkrétně požaduje, aby ruská vláda našla tranši Clintonových osobních e-mailů.
Téhož dne se Rusové zaměřují na e-mailové účty používané Clintonovou osobní kanceláří a hostované externím poskytovatelem.
15. srpna:
Kromě WikiLeaks poskytuje Guccifer 2.0 také ukradené informace řadě dalších příjemců. Patří sem zjevně kandidát na kongres v USA, který žádá o informace týkající se jejich oponenta. Během tohoto období Rusové také používají Guccifer 2.0 ke komunikaci s jednotlivcem, který je v pravidelném kontaktu s předními členy kampaně Trump.
22. srpna:
Guccifer 2.0 zasílá 2,5 GB odcizených dat (včetně záznamů dárců a údajů umožňujících zjištění totožnosti o více než 2 000 demokratických dárcích) tehdy zaregistrovanému státnímu lobbistovi a online zdroji politických zpráv.
Sedm:
V určitém okamžiku v září získávají Rusové přístup ke cloudové službě, která obsahuje testovací aplikace pro analýzu dat DNC. Pomocí vlastních integrovaných nástrojů cloudové služby vytvářejí snímky systémů a poté je přenášejí na účty, které ovládají.
7. října:
WikiLeaks vydává první várku e-mailů Podesty, což vyvolává kontroverze a rozruch v médiích. Během příštího měsíce organizace uvolní všech 50 000 e-mailů, které mu údajně ukradl Lukašev.
28. října:
Kovalev a jeho kamarádi se zaměřují na státní a krajské úřady odpovědné za správu voleb v klíčových houpacích státech, včetně Floridy, Gruzie a Iowy, Muellerových obžalobních států.
Listopad:
V prvním listopadovém týdnu, těsně před volbami, používá Kovalev podvodný e-mailový účet spear phish přes 100 cílů kteří se podílejí na správě a dohledu nad volbami na Floridě - kde Trump vyhrál o 1,2%. E-maily jsou navrženy tak, aby vypadaly, jako by pocházely od dodavatele softwaru, který poskytuje systémy ověřování voličů, společnosti, kterou Kovalev hackl již v srpnu, tvrdí Mueller.
8. listopadu:
Na rozdíl od předpovědí vědátorů a průzkumníků veřejného mínění vyhrává volby televizní hvězda televizní reality společnosti Donald Trump a stává se prezidentem Spojených států.
PŘEČTĚTE SI DALŠÍ: 16krát, kdy občan Trump upálil prezidenta Trumpa
Co se stane teď?
I když je to nepochybně mezník v globální geopolitice i kybernetické bezpečnosti, mnoho odborníků si všimlo, že obžaloba 12 agentů GRU je téměř zcela symbolickým gestem a je nepravděpodobné, že by vedla k zatčení.
Rusko nemá s USA žádnou smlouvu o vydávání, takže není povinno předat obviněné muže Muellerovi. To je mimochodem stejný důvod, proč byl informátor NSA Edward Snowden posledních několik let uzavřen v Rusku.
Záměrem, jak naznačují některé zdroje, je, aby tyto obžaloby sloužily jako varování a aby Rusko (a svět) věděli, že USA ve svém vyšetřování postupují kupředu.
Označením může obžaloba zveřejnit fakta a / nebo obvinění zjištěná velkou porotou, řekl právník kriminální obrany Jean-Jacques Cabou Ars Technica . Tady může být široká veřejnost jedním zamýšleným publikem. Prokurátoři však také odpečetují obvinění, aby poslali zprávu jiným cílům.
Očekává se, že Muellerovo vyšetřování bude pokračovat.
Tento článek se původně objevil na sesterském webu Alphr IT Pro.
