От Адам Шепърд
Историята за това, как 12 хакери твърдят, че са корумпирали най-мощната демокрация в света, за да поставят Доналд Тръмп на върха
След повече от две години обвинения, обвинения, отричания и спекулации, разследването на специалния адвокат Робърт Мюлер за потенциална намеса в президентските избори в САЩ през 2016 г. го доведе до Русия. Като част от широкомащабно разследване на влиянието на руските държавни участници върху изборите, Министерството на правосъдието официално обвини 12 членове на руското военно разузнаване за различни хакерски престъпления.
Президентът Владимир Путин отрече всички неправомерни действия от името на Русия и нейните агенти и е подкрепен публично от президента Тръмп. Въпреки осъждането от председателя на Камарата на представителите на САЩ Пол Райън, многобройни обществени и политически фигури и дори собствения си директор на националното разузнаване, Тръмп заяви, че не вижда причина Русия да се опита да повлияе на изборите.
Впоследствие той отстъпи от това твърдение, заявявайки, че приема заключенията на разузнавателната общност, че Русия се е намесила в изборите през 2016 г., но също така каза, че това може да са и други хора, като повтори твърденията си, че изобщо няма сговор.
Твърденията идват на фона на нарастваща руска агресия на световната сцена; страната все още контролира полуостров Крим, който е завладян със сила през 2014 г., има твърдения, че е участвала в организирането на победата за отпускане на гласа на референдума за Брекзит, а Великобритания обвини Русия в отравяне на хора на британска земя с помощта на смъртоносни нервни агенти.
Вижте свързаните Десетте най-добри техники за взлом на пароли, използвани от хакерите
Въпреки протестите на Тръмп, общностите за киберсигурност и разузнаване са почти единодушно съгласни, че Русия е откраднала изборите през 2016 г., използвайки кампания от усъвършенствана кибер и информационна война, за да осигури желания резултат.
Но ако да, как са го направили?
Благодарение на обвинителния акт, издаден срещу руските оперативни работници, сега имаме доста добра представа за това как се твърди, че е извършен хакът. Декларацията на Мюлер включва подробности като дати, методи и вектори на атаки, което ни позволява да изградим подробен график за това как точно 12 руски мъже може да са дерайлирали най-мощната демокрация в света. Тази статия разглежда как е могло да се случи това въз основа на обвиненията, посочени в обвинителния акт на Мюлер.
ПРОЧЕТЕТЕ СЛЕДВАЩО: Руските акаунти похарчиха 76 хиляди лири за реклами за избори през 2016 г.
Целите
Целта на руското правителство по време на изборите през 2016 г. изглежда ясна: да се улесни издигането на Доналд Дж Тръмп до кабинета на президента на Съединените щати, с всички необходими средства.
За да направят това, руснаците трябваше да намерят начин да свалят неговия кандидат-съперник извън борда, което ги накара да се насочат към четири основни партии със сложна и дългосрочна хакерска кампания.
DCCC
Комитетът за демократична конгресна конгресна кампания (или „D-trip“, както е познат в разговор) е отговорен за избирането на възможно най-много демократи в Камарата на представителите на САЩ, като осигурява подкрепа, насоки и финансиране на потенциални кандидати в състезанията в Конгреса.
DNC
Управляващият орган на Демократическата партия на Съединените щати, Демократичният национален комитет, отговаря за организирането на цялостната стратегия на демократите, както и за организирането на номинацията и потвърждаването на кандидата за президент на партията на всеки избор.
Хилари Клинтън
Бившият държавен секретар по времето на Обама Хилари Клинтън победи Бърни Сандърс, за да стане кандидат за президент на демократите на изборите през 2016 г., като я вкара в кръста на Доналд Тръмп и руското правителство.
Джон Подеста
Дългогодишен ветеран в политиката на DC, Джон Подеста е служил при предишните двама президенти на демократите, преди да действа като председател на президентската кампания на Хилари Клинтън през 2016 г.
Дванадесетте GRU
Всичките дванадесет заподозрени хакери работят за GRU - елитната организация за външно разузнаване на руското правителство. Всички са военни офицери от различен ранг и всички са били част от подразделения, специално натоварени да изкривят хода на изборите.
Според обвинението на Мюлер, отдел 26165 отговаря за хакерството на DNC, DCCC и лица, свързани с кампанията на Клинтън. Отдел 74455 очевидно е бил натоварен да действа като тайни пропагандисти, да изтича откраднати документи и да публикува антиклинтънско и антидемократично съдържание чрез различни онлайн канали.
Специалистите по сигурността може да са по-запознати с кодовите имена, дадени на тези две единици при първото им откриване през 2016 г .: Cosy Bear и Fancy Bear.
За 12-те замесени хакери се твърди, че са:
| Име | Роля | Ранг |
| Виктор Борисович Нетикшо | Командир на отдел 26165, отговорен за хакване на DNC и други цели | Неизвестно |
| Борис Алексеевич Антонов | Наблюдаваше кампаниите за подводен риболов за Раздел 26165 | Майор |
| Дмитрий Сергеевич Бадин | Помощник началник отдел на Антонов | Неизвестно |
| Иван Сергеевич Ермаков | Проведени хакерски операции за блок 26165 | Неизвестно |
| Алексей Викторович Лукашев | Проведени атаки за подводен риболов за блок 26165 | 2-ри лейтенант |
| Сергей Александрович Моргачев | Наблюдаваше разработването и управлението на зловреден софтуер за Unit 26165 | подполковник |
| Николай Юриевич Козачек | Разработен зловреден софтуер за Unit 26165 | Лейтенант капитан |
| Павел Вячеславович Йершов | Тестван зловреден софтуер за Unit 26165 | Неизвестно |
| Артем Андреевич Малишев | Наблюдава се злонамерен софтуер за Unit 26165 | 2-ри лейтенант |
| Александър Владимирович Осадчук | Командир на звено 74455, отговорен за изтичане на откраднати документи | Полковник |
| Алексей Александрович Потьомкин | Контролирано администриране на ИТ инфраструктура | Неизвестно |
| Анатолий Сергеевич Ковалев | Проведени хакерски операции за блок 74455 | Неизвестно |
ПРОЧЕТЕТЕ СЛЕД: Технологичните компании, които разкриват вашите данни на правителството
Как беше планирано хакването
Ключът към всяка успешна кибератака е планирането и разузнаването, така че първата задача за оперативните служители на отдел 26165 беше да идентифицират точките на слабост в инфраструктурата на кампанията на Клинтън - слабости, които след това могат да бъдат използвани.
15 март:
Иван Ермаков започва да сканира инфраструктурата на DNC, за да идентифицира свързаните устройства. Той също така започва да провежда изследвания на мрежата на DNC, както и изследвания на Клинтън и демократите като цяло.
19 март:
Джон Подеста си пада по подводен имейл, за който се твърди, че е създаден от Алексей Лукашев и маскиран като сигнал за сигурност на Google, като дава на руснаците достъп до личния му имейл акаунт. Същия ден Лукашев използва атаки с подводен фишинг, за да се насочи към други висши служители в предизборната кампания, включително ръководителя на кампанията Роби Мук.
21 март:
Личният имейл акаунт на Podesta се изчиства от Лукашев и Ермаков; те изчезват с общо над 50 000 съобщения.
28 март:
Успешната кампания за подводни фигури на Лукашев води до кражба на идентификационни данни за вход по имейл и хиляди съобщения от различни хора, свързани с кампанията на Клинтън.
6 април:
Руснаците създават фалшив имейл адрес за добре позната фигура в лагера Клинтън, само с една буква разлика от името на човека. След това този имейл адрес се използва от Лукашев, за да копира фиши на поне 30 различни служители на кампанията, а служител на DCCC е подмамен да предаде своите идентификационни данни за вход.
ПРОЧЕТЕТЕ СЛЕДВАЩО: Как Google откри доказателства за намеса в руските избори в САЩ
Как е нарушен DNC
Първоначалната подготвителна работа вече приключи, руснаците имаха силна опора в мрежата на демократите благодарение на високоефективна кампания за подводен фишинг. Следващата стъпка беше да се използва тази опора, за да се получи по-нататъшен достъп.
7 април:
Както при първоначалното разузнаване през март, Йермаков изследва свързани устройства в мрежата на DCCC.
12 април:
Използвайки идентификационни данни, откраднати от неволен служител на DCCC, руснаците получават достъп до вътрешните мрежи на DCCC. Между април и юни те инсталират различни версии на парче зловреден софтуер, наречено „X-Agent“ - което позволява отдалечено регистриране на ключове и заснемане на екрана на заразени устройства - на поне десет компютъра DCCC.
Този зловреден софтуер предава данни от засегнати компютри на сървър в Аризона, нает от руснаците, който те наричат AMS панел. От този панел те могат дистанционно да наблюдават и управляват своя зловреден софтуер.
14 април:
В продължение на осем часа руснаците използват X-Agent за кражба на пароли за набиране на средства от DCCC и програми за повишаване на гласовете, твърди обвинението на Мюлер, както и за наблюдение на комуникациите между служителите на DCCC, които включват лична информация и банкови данни. Разговорите включват и информация за финансите на DCCC.
15 април:
Руснаците търсят в един от хакнатите компютри на DCCC различни ключови термини, включително „Хилари“, „Круз“ и „Тръмп“. Те също копират ключови папки, като например етикетът „Бенгази разследвания“.
18 април:
как да изтриете множество съобщения във
Мрежата на DNC е нарушена от руснаците, които получават достъп, използвайки идентификационните данни на служител на DCCC с разрешение за достъп до системите на DNC.
19 април:
Йершов и Николай Козачек очевидно са създали трети компютър извън САЩ, за да действат като реле между базирания в Аризона панел AMS и зловредния софтуер X-Agent, за да затъмнят връзката между двамата.
22 април:
Няколко гигабайта данни, откраднати от DNC компютри, се компресират в архив. Тези данни включват опозиционни изследвания и планове за полеви операции. През следващата седмица руснаците използват друга персонализирана част от зловреден софтуер - „X-Tunnel“ - за да дефилтрират тези данни от мрежата на DNC до друга наета машина в Илинойс, чрез криптирани връзки.
13 май:
По някое време през май и DNC, и DCCC осъзнават, че са компрометирани. Организациите наемат фирмата за киберсигурност CrowdStrike, за да изкоренят хакерите от техните системи, докато руснаците започват да предприемат стъпки за прикриване на дейностите си, като например изчистване на регистрационните файлове на събитията от определени DNC машини.
25 май:
В продължение на една седмица руснаците твърдят, че крадат хиляди имейли от работните акаунти на служителите на DNC, след като са проникнали в Microsoft Exchange Server на DNC, докато Ермаков изследва PowerShell команди за достъп и работа с Exchange Server.
31 май:
Йермаков започва да провежда изследвания на CrowdStrike и разследването на X-Agent и X-Tunnel, вероятно в опит да види колко много знае компанията.
1 юни:
На следващия ден руснаците се опитват да използват CCleaner - безплатен инструмент, предназначен да освободи място на твърдия диск - за унищожаване на доказателства за тяхната дейност в мрежата на DCCC.
ПРОЧЕТЕТЕ СЛЕДВАЩО: Стои ли Русия зад глобална хакерска кампания в опит да открадне служебна тайна?
Раждането на Guccifer 2.0
Сега руснаците са извлекли значително количество данни от DNC. Тази информация, съчетана със съкровищницата на личните имейли на Подеста, им дава всички боеприпаси, необходими за атака на кампанията на Клинтън
8 юни:
DCLeaks.com стартира, както се твърди от руснаците, заедно със съответстващи страници във Facebook и Twitter акаунти, като начин за разпространение на материала, който са откраднали от Podesta и DNC. Сайтът твърди, че се управлява от американски хактивисти, но обвинението на Мюлер твърди, че това е лъжа.
14 юни:
CrowdStrike и DNC разкриват, че организацията е хакната, и публично обвиняват руското правителство. Русия отрича всякакво участие в атаката. През юни CrowdStrike започва да предприема действия за смекчаване на хака.
15 юни:
В отговор на обвинението на CrowdStrike руснаците създават характера на Guccifer 2.0 като димна завеса, твърди Мюлер, целяща да породи съмнение относно руското участие в хаковете. Представяйки се за един румънски хакер, отборът на руснаците приема кредит за атаката.
Кой е Гучифер?
Докато Guccifer 2.0 е измислена персона, създадена от руски оперативни служители, всъщност се основава на реален човек. Оригиналният Guccifer беше истински румънски хакер, който придоби известност през 2013 г., след като пусна снимки на Джордж Буш, които бяха хакнати от акаунта на сестра му в AOL. Името, казва той, е портманто на „Гучи“ и „Луцифер“.
В крайна сметка той бе арестуван по подозрение за хакерство на редица румънски служители и екстрадиран в САЩ. Предполага се, че руснаците се надяват, че служителите ще приемат, че той също стои зад действията на Guccifer 2.0, въпреки факта, че той вече се е признал за виновен по федерални обвинения през май.
20 юни:
Към този момент руснаците са получили достъп до 33 крайни точки DNC. Междувременно CrowdStrike елиминира всички случаи на X-Agent от мрежата на DCCC - въпреки че поне една версия на X-Agent ще остане активна в системите на DNC до октомври.
Руснаците прекарват повече от седем часа безуспешно в опит да се свържат със своите копия на X-Agent с мрежата DCCC, както и да се опитват да използват откраднати преди това идентификационни данни за достъп до нея. Те също така прочистват регистрационните файлове за активността на панела на AMS, включително цялата история на влизане и данни за използването.
22 юни:
Твърди се, че WikiLeaks изпраща лично съобщение до Guccifer 2.0 с искане да изпращат нови материали, свързани с Клинтън и демократите, заявявайки, че това ще има много по-голямо въздействие от това, което правите.
18 юли:
WikiLeaks потвърждава получаването на 1 GB архив от откраднати DNC данни и заявява, че ще бъде публикуван в рамките на седмицата.
22 юли:
Верен на думата си, WikiLeaks публикува над 20 000 имейла и документи, откраднати от DNC, само два дни преди Демократичната национална конвенция. Последният имейл, пуснат от WikiLeaks, е от 25 май - приблизително същия ден, в който е бил хакнат Exchange Server на DNC.
ПРОЧЕТЕТЕ СЛЕДВАЩО: WikiLeaks казва, че ЦРУ може да използва интелигентни телевизори, за да шпионира собствениците
27 юли:
По време на пресконференция кандидатът за президент Доналд Тръмп директно и конкретно иска от руското правителство да намери транш от личните имейли на Клинтън.
Същия ден руснаците са насочени към имейл акаунти, използвани от личния офис на Клинтън и хоствани от доставчик на трета страна.
15 август:
В допълнение към WikiLeaks, Guccifer 2.0 доставя и редица други бенефициенти с открадната информация. Това очевидно включва кандидат за конгрес в САЩ, който иска информация, свързана с опонента им. През този период руснаците също използват Guccifer 2.0, за да комуникират с човек, който е в редовен контакт с топ членове на кампанията на Тръмп.
22 август:
Guccifer 2.0 изпраща 2,5 GB откраднати данни (включително донорски записи и лична информация за над 2000 донори-демократи) до регистриран тогава държавен лобист и онлайн източник на политически новини.
Седем:
По някое време през септември руснаците получават достъп до облачна услуга, която съдържа тестови приложения за анализ на данните от DNC. Използвайки собствените вградени инструменти на облачната услуга, те създават моментни снимки на системите, след което ги прехвърлят в акаунти, които контролират.
7 октомври:
WikiLeaks пуска първата част от имейлите на Подеста, предизвиквайки противоречия и шум в медиите. През следващия месец организацията ще пусне всички 50 000 имейла, за които се твърди, че са откраднати от неговата сметка от Лукашев.
28 октомври:
Ковалев и неговите другари са насочени към щатски и окръжни служби, отговорни за администрирането на избори в ключови суинг щати, включително Флорида, Джорджия и Айова, се казва в обвинението на Мюлер.
Ноември:
През първата седмица на ноември, точно преди изборите, Ковалев използва фалшив имейл акаунт за копие на фиши над 100 цели които участват в администрирането и надзора на изборите във Флорида - където Тръмп спечели с 1,2%. Имейлите са предназначени да изглеждат така, сякаш са дошли от доставчик на софтуер, който предоставя системи за проверка на избирателите, компания, която Ковалев хакна още през август, твърди Мюлер.
8 ноември:
Противно на прогнозите на експерти и анкетьори, риалити звездата Доналд Тръмп печели изборите и става президент на САЩ.
ПРОЧЕТЕТЕ СЛЕДВАЩО: 16 пъти гражданин Тръмп изгаря президента Тръмп
Какво се случва сега?
Макар че това е безспорно знаков момент както в световната геополитика, така и в киберсигурността, много експерти отбелязват, че обвинението срещу 12-те агенти на GRU е почти изцяло символичен жест и е малко вероятно да доведе до арести.
Русия няма договор за екстрадиция със САЩ, така че не е задължена да предаде обвиняемите на Мюлер. Това, между другото, е същата причина, поради която доносникът на НСА Едуард Сноудън е бил затворен в Русия през последните няколко години.
Някои източници предполагат, че тези обвинителни актове действат като предупреждение, като уведомяват Русия (и света), че САЩ продължават напред с разследването си.
Чрез указване на обвиненията, прокуратурата може да предостави публично достояние фактите и / или твърденията, открити от голямото жури, каза адвокатът по наказателна защита Жан-Жак Кабу пред Ars Technica . Тук широката публика може да е една предвидена аудитория. Но прокурорите също отпечатват обвинителни актове, за да изпратят съобщение до други цели.
Очаква се разследването на Мюлер да продължи.
Тази статия първоначално се появи на сестринския сайт на Alphr IT Pro.
